Ева Опубликовано 17 июля, 2014 Здравствуйте профессионалы! Кто-нить борется/живет с http://xgu.ru/wiki/DNS-tunneling По поиску ничего не нашла... Исторически ДНС-ы на реальных IP оба. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 17 июля, 2014 Добрый день. Что вы хотите получить в результате борьбы? Есть реальные примеры эксплуатации DNS-tunneling ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ева Опубликовано 17 июля, 2014 Добрый день. Что вы хотите получить в результате борьбы? Есть реальные примеры эксплуатации DNS-tunneling ? Судя по netflow очень похоже, с закономерной периодичностью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 17 июля, 2014 Если есть netflow, то вы же видите ip адрес своего пользователя и ip адрес DNS с туннелем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 июля, 2014 (изменено) Шейпить dst port 53 порядка сотни кбс? Изменено 17 июля, 2014 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 17 июля, 2014 А какой смысл фильтрации? Ваш рекурсивный сервер страдает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ева Опубликовано 17 июля, 2014 Если есть netflow, то вы же видите ip адрес своего пользователя и ip адрес DNS с туннелем? Найти и пальчиком показать ну-ну могу, хочется что-то более системное Шейпить dst port 53 порядка сотни кбс? Спасибо что по сути! Попробуем А какой смысл фильтрации? Ваш рекурсивный сервер страдает? Сервер страдает по ночам, не в ЧНН, да и самой неприятно от безконтрольности Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 17 июля, 2014 Ну видимо логично шейпить именно свой сервер, а не клиентскую полосу? Я правильно понял? У меня, кстати, была презентация на тему IOD, но о response rate limiting я как-то тогда не задумывался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 17 июля, 2014 У нас есть студенческий тариф с ограничениями днем и безлимитом ночью. Шейпим днем весь dns трафик до 32кбит/с. ДНС туннели не прям чтоб хорошо работали и напрягали, но дело принципа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 17 июля, 2014 Весь? То есть если клиент dns-tunnel строит через гугл или через vps - шейпите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 21 июля, 2014 Шейпится все, что летит на порт 53. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 21 июля, 2014 Плохой подход. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 21 июля, 2014 Зато дешего, надежно и практично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 22 июля, 2014 Хорошо, что я не ваш клиент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ева Опубликовано 22 июля, 2014 А какой хороший подход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 22 июля, 2014 Response rate limit на ваших DNS-серверах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 22 июля, 2014 А если клиент использует публичные DNS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 июля, 2014 Ну по хорошему больше тарифа через туннель не прокачает, такшо пофих ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 22 июля, 2014 Когда есть интернет у клиента ему нет смысла заморачиваться с туннелями. Начинаются движения, например, когда интернет отключили и перенаправляют на страницу авторизации. ДНС в этом случае должны резолвить адреса, иначе перенаправление не случится. Тут-то и вылазит кейс с туннелями. Я вижу 3 варианта: 1. Разрешать доступ только до своих ДНС, там использовать фичу от ipaddr.ru. Пользователи с 8.8.8.8 идут лесом и звонят в техподдержку. 2. Тупо шейпить весь днс трафик, позволяя клиенту пользоваться любым днс на свой вкус. Отключенные пользователи в теории имеют возможность зафигачить днс туннель. На практике он почти не работает. Я так и сделал и навсегда потерял ipaddr.ru как клиента. 3. Можно еще перехватывать все ДНС запросы и перенаправлять их на свой ДНС, где уже применять Response rate limit. Такой метод не тестировал, вообще должно быть ОК. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 22 июля, 2014 3. Можно еще перехватывать все ДНС запросы и перенаправлять их на свой ДНС, где уже применять Response rate limit. Такой метод не тестировал, вообще должно быть ОК. И тут вам ничто не мешает подменять ответы на youtube.com, редиректить на яндекс-family-dns и делать прочие забавные глупости. В 21 веке такой метод уже вероятно не сработает, т.к. отвалятся валидирующие DNSSEC-клиенты. По факту DNS-туннель через public DNS (из них кто-то ещё не делает RRL???) будет работать со скоростью до сотни килобит в секунду. Я лично не вижу смысла с ними бороться - кино за разумное время не скачать, сёрфинг страдает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 22 июля, 2014 И тут вам ничто не мешает подменять ответы на youtube.com, редиректить на яндекс-family-dns и делать прочие забавные глупости. В 21 веке такой метод уже вероятно не сработает, т.к. отвалятся валидирующие DNSSEC-клиенты. По озвученной вами же причине и не тестировал. По факту DNS-туннель через public DNS (из них кто-то ещё не делает RRL???) будет работать со скоростью до сотни килобит в секунду. Я лично не вижу смысла с ними бороться - кино за разумное время не скачать, сёрфинг страдает. Ну вот вы уже ушли в сторону целесообразности, а не методов. У нас, например, есть свои веские причины не допускать 100 кбит нахаляву. Насколько я понял, альтернативы нашему плохому методу вы не знаете? Жаль, хотелось научиться чему-то новому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 22 июля, 2014 Насколько я понял, альтернативы нашему плохому методу вы не знаете? Ну только базовый - трубу рубить и с клиента долги требовать. Всю клиентскую трубу в 64к не пробовали зарезать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...