Jump to content
  • 33
keenet07

Функция перенаправления транзитного DNS трафика на DNS роутера

Question

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. 

Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером.

Данная функция должна легко включаться и при необходимости отключаться.

Реализовать можно как отдельный фильтр в Интернет-фильтрах.

 

Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей.

Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился.

 

Данная тема так же имела обсуждение здесь 

В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

Edited by keenet07
  • Thanks 1
  • Upvote 5

Share this post


Link to post
Share on other sites

2 answers to this question

Recommended Posts

  • 0

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере.

То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде.

Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. 

Давайте закроем эту брешь ещё на уровне роутера.

В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше.

Профи конечно могут и самостоятельно настроить соответствующим образом iptables. 

Edited by keenet07
  • Upvote 4

Share this post


Link to post
Share on other sites
  • 0

 

@Le ecureuil Up.

3 минуты назад, Le ecureuil сказал:

Отличная фича кстати, вот только на днях внутри обсуждали ее. Если есть тема развитии - не сочтите за трудность ее там апнуть.

Даже более того, у нас сейчас при таком перехвате уже блокируются транзитные dot/doh и dnscrypt, так что втупую обойти не выйдет. :)

Edited by keenet07
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...