html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Обходим любые файрволы: проброс IP через DNS-трафик


С помощью nstx возможно создать IP-туннель внутри DNS. Одноименный протокол позволяющий достичь этого называется «NSTX» и расшифровывающийся как «NameServer Transfer Protocol».

Итак, предположим, провайдер выдаёт и разрешает использовать вам свой сервер DNS. Представим обычный DNS запрос: мы запрашиваем информацию на сервере имен провайдера, сервер провайдера передаёт запрос другому серверу имен, который отвечает за нужную нам зону. А последний DNS-сервер, в цепочке, отправляет полученный ответ по тому же маршруту обратно.

А теперь представьте, что можно оформить IP-пакеты в DNS-запросы сервера имен и «сформировать» входящий трафик в нужные нам пакеты. И вот у нас уже есть все, что бы построить полноценный «IP over DNS» — свой собственный скрытый туннель для проброса трафика через почти любые сторонние файрволы!

DNS взлом тест тестирование пентест ddos nstx

Теперь остается только настроить фальшивый сервер имен и клиент, но на практике сделать это не всегда так просто.

Максимальный размер пакета, который можно передать — максимум 512 байт по протоколу UDP. Поэтому нам потребуется механизм сборщик / разборщик, который будет собирать и разбирать фрагментированные пакеты и проверять их на корректность. В такой схеме наш фальшивый DNS-клиент может связываться с нашим же фальшивым сервером DNS постоянно, а вот наш DNS-сервер может только отвечать. Поэтому клиент будет ответственен за сверку и поддержание двухсторонней связи.

Впервые, я попробовал сделать это в 2008 году. Две недели неспешно я разбирался с этим пакетом, правил исходных текст под себя, перечитывал руководства, и в результате — я получил работающий туннель успешно проложенный через сверхзащищенный файрволл нашей корпоративной сети. Тогда для меня это было просто невероятно!

Вообще, немного желания, времени, и вы самостоятельно можете запустить фальшивый сервер имен клиента для создания тоннеля «IP-over-DNS».

Играйтесь, пробуйте. Ищите способы защиты от этого. Заранее предупреждаю, что здесь очень много технических нюансов

В дополнение скажу, идеи nstx не новы — эти идеи витают в воздухе уже много лет. Но вот практических наработок (в паблике) пока мало. В прошлом году Рон Боус реализовал dnscat — тулзу, которая также позволяет туннелировать трафик в DNS-запросах. Кроме того, он написал шелл-код, который на основе этой утилиты четко туннелирует консоль управления, используя DNS-запросы вида TXT (в них можно больше инфы впихнуть в рамках одного запроса).

Подводим черту

Каков вывод из этой короткой заметки? Давечи я видел личинку бота на сервере клиента, которая общалась с внешним миром полностью через DNS-трафик, при том при всем, что наш очень ортодоксальный и пароноидальный админ зафильтровал всякие левые http, ftp... по самые помидоры. В данном случае — это его (админа, а не бота) не спасло.

Ну, а потом пришёл я :) Берегите себя и свои сети, ребята. Этот мир катится фиг знает куда...

~

Дополнительная статья по теме nstx, и хоть этот материал немного уже устаревший, во многом все описанное там до сих пор верно: DNS-туннелинг или халявный dialup.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с blogerator.ru

703
    +685 surfers

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • pleshner
          • домен blogerator.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции