Недавно я просмотрел вебинар, посвященный тестированию, который продемонстрировал атаку по туннелированию DNS В разделе «Вопрос-ответ» вебинара кто-то спросил, как можно предотвратить такое туннелирование. Совет заключался в том, чтобы не позволять внутренним DNS-серверам разрешать внешние адреса и запускать все такие внешние разрешения через прокси-сервер. Может кто-нибудь объяснить, почему это предотвратит туннелирование. Если клиент выполняет что-то, что отправляет созданный пакет DNS на прокси-сервер со скрытой полезной нагрузкой, не будет ли он в конечном итоге достигнуть соответствующего DNS-сервера и будет возвращен клиенту через прокси-сервер?
2 ответа
0
Краткий ответ: прокси-серверы, поддерживающие приложения, способны анализировать содержимое пакета интеллектуальным протоколом и могут определить, соответствует ли полезная нагрузка повторно собранного пакета, проходящего через него, структурам данных для этого протокола. Таким образом, прокси-сервер знает, если вы пытаетесь туннелировать данные HTTP (например) в сегментах DNS.
0
Еще одна вещь, которую прокси-сервер может сделать (или что-то, что я бы сделал, если бы беспокоился о туннелировании - и не требует прокси-сервера - только приличный маршрутизатор) - это просто сильно ограничил объем трафика на порту 53. Это не полностью предотвратило бы туннелирование, но значительно уменьшило бы его полезность. (Например, допустим, например, 100 кбит данных за 120-секундный интервал. Это соответствует максимальной пропускной способности <100 байт в секунду, поэтому вы не сможете получить огромное количество данных из этого соединения)