Detección de túneles DNS

1

He estado tratando de detectar / establecer DNS tunneling. En primer lugar, me desconecté de mi cuenta de usuario del portal cautivo. Conclusiones:

$ nslookup <somesite> // works fine $ ping <somesite> // Destination Net Prohibited

Por qué las salidas de nslookup y ping son diferentes. En la parte posterior, ambos usan el protocolo ICMP , no puedo entenderlo.

Por otra parte, ya que nslookup funciona bien; así que las consultas DNS están funcionando bien. Intenté hacer un túnel de DNS conectándome a un servidor VPN que se ejecuta en el puerto 25000 usando UDP . Pude hacer netcat en el puerto y pude conectarme a la VPN mientras estoy conectado. Pero cuando estoy desconectado, no se conecta. Entonces, ¿qué indica?

    
pregunta darxtrix 04.07.2016 - 16:23
fuente

1 respuesta

3

DNS no utiliza ICMP. Utiliza el puerto UDP (y rara vez TCP) 53.

El firewall / enrutador que controla el portal cautivo no bloquea ese puerto o es el servidor DNS y responde.

Por supuesto, el resto del tráfico se bloquea hasta que inicie sesión.

Respuesta a comment :

Para 2), UDP no tiene control de sesión, es decir, simplemente envía un paquete sin verificar si se ha recibido o si hay alguno que lo reciba. Por lo tanto, es imposible saber si una conexión funcionó a menos que haya recibido alguna respuesta del servidor en función de los datos que envíe.

Si recibió una respuesta, es posible que los paquetes UDP estén completamente desbloqueados (lo que consideraría un diseño deficiente para un portal cautivo).

Para 1), el ping en diferentes sistemas usa un mecanismo diferente. Muchos usan mensajes de eco ICMP, pero algunos intentan conexiones TCP o envían paquetes UDP especiales para forzar una respuesta. A veces, las reglas de firewall no están configuradas para bloquearlas de manera consistente, por lo que el ping no siempre es confiable en configuraciones de red inusuales.

    
respondido por el billc.cn 04.07.2016 - 16:36
fuente

Lea otras preguntas en las etiquetas