Credo che la causa principale del tunneling DNS sia perché agli host interni è permesso fare query ricorsive di domini esterni. Affinché il tunneling DNS funzioni, un host interno dovrebbe essere in grado di inviare query al dominio controllato da un utente malintenzionato dnstunnel.xyz.com.
Mi chiedevo se limitassimo le query DNS ai soli server DNS conosciuti / autorevoli, impediremo questo attacco? Per chiarire, quando eseguiamo nslookup per un dominio esterno all'interno dell'organizzazione che utilizza un server DNS di terze parti, non verrebbe risolto.
C:\Users\bAdb0y>nslookup cisco.com 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
Ho provato a configurare un tunnel DNS usando Iodio con e senza le impostazioni precedenti. Non è riuscito a stabilire il tunnel quando le query ricorsive erano limitate ai server DNS interni. Il tunnel ha funzionato come un fascino altrimenti. Quindi questa correzione è efficace? O devo disabilitare completamente la query ricorsiva dai computer interni?