Rilevamento del tunneling DNS

Naviga le tue risposte
1

Ho cercato di rilevare / stabilire DNS tunneling. Prima di tutto ho effettuato il logout dal mio account utente del captive portal. Risultati:

$ nslookup <somesite> // works fine $ ping <somesite> // Destination Net Prohibited

Perché le uscite di nslookup e ping sono diverse. Sul retro entrambi utilizzano il protocollo ICMP , non riesco a capirlo.

Inoltre, poiché nslookup funziona correttamente; quindi le query DNS funzionano correttamente. Ho provato a fare DNS tunneling collegandomi a un VPN Server che funziona sulla porta 25000 usando UDP . Sono stato in grado di fare netcat alla porta e sono stato in grado di connettermi alla VPN mentre sono connesso. Ma quando sono disconnesso non si connette. Quindi, cosa indica?

    
posta darxtrix 04.07.2016 - 16:23
fonte

1 risposta

3

DNS non usa ICMP. Utilizza la porta UDP (e raramente TCP) 53.

Il firewall / router controllato dal captive portal non blocca quella porta o è il server DNS e sta rispondendo.

Tutti gli altri tipi di traffico sono ovviamente bloccati fino al login.

Risposta a commento :

Per 2), UDP non ha controllo di sessione, cioè invia semplicemente un pacchetto senza verificare se è stato ricevuto o se ce n'è anche uno per riceverlo. Quindi è impossibile sapere se una connessione ha funzionato a meno che tu non sia riuscito a ricevere una risposta dal server in base ai dati che hai inviato.

Se hai ricevuto risposta, è possibile che i pacchetti UDP siano completamente sbloccati (che potrei considerare come un progetto scadente per un captive portal).

Per 1), il ping in sistemi diversi utilizza un meccanismo diverso. Molti usano i messaggi Echo ICMP, ma alcuni tentano connessioni TCP o inviano pacchetti UDP speciali per forzare una risposta. A volte le regole del firewall non sono impostate per bloccarle in modo coerente, quindi il ping non è sempre affidabile in configurazioni di rete insolite.

    
risposta data 04.07.2016 - 16:36
fonte

Leggi altre domande sui tag

È una vulnerabilità se i cookie di un'applicazione contengono informazioni sensibili? Come posso controllare tutte le richieste del mio sito web? [chiuso]