Ева Posted July 17, 2014 · Report post Здравствуйте профессионалы! Кто-нить борется/живет с http://xgu.ru/wiki/DNS-tunneling По поиску ничего не нашла... Исторически ДНС-ы на реальных IP оба. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted July 17, 2014 · Report post Добрый день. Что вы хотите получить в результате борьбы? Есть реальные примеры эксплуатации DNS-tunneling ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ева Posted July 17, 2014 · Report post Добрый день. Что вы хотите получить в результате борьбы? Есть реальные примеры эксплуатации DNS-tunneling ? Судя по netflow очень похоже, с закономерной периодичностью. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted July 17, 2014 · Report post Если есть netflow, то вы же видите ip адрес своего пользователя и ip адрес DNS с туннелем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted July 17, 2014 (edited) · Report post Шейпить dst port 53 порядка сотни кбс? Edited July 17, 2014 by pppoetest Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 17, 2014 · Report post А какой смысл фильтрации? Ваш рекурсивный сервер страдает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ева Posted July 17, 2014 · Report post Если есть netflow, то вы же видите ip адрес своего пользователя и ip адрес DNS с туннелем? Найти и пальчиком показать ну-ну могу, хочется что-то более системное Шейпить dst port 53 порядка сотни кбс? Спасибо что по сути! Попробуем А какой смысл фильтрации? Ваш рекурсивный сервер страдает? Сервер страдает по ночам, не в ЧНН, да и самой неприятно от безконтрольности Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 17, 2014 · Report post Ну видимо логично шейпить именно свой сервер, а не клиентскую полосу? Я правильно понял? У меня, кстати, была презентация на тему IOD, но о response rate limiting я как-то тогда не задумывался. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 17, 2014 · Report post У нас есть студенческий тариф с ограничениями днем и безлимитом ночью. Шейпим днем весь dns трафик до 32кбит/с. ДНС туннели не прям чтоб хорошо работали и напрягали, но дело принципа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 17, 2014 · Report post Весь? То есть если клиент dns-tunnel строит через гугл или через vps - шейпите? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 21, 2014 · Report post Шейпится все, что летит на порт 53. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 21, 2014 · Report post Плохой подход. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 21, 2014 · Report post Зато дешего, надежно и практично. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 22, 2014 · Report post Хорошо, что я не ваш клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ева Posted July 22, 2014 · Report post А какой хороший подход? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 22, 2014 · Report post Response rate limit на ваших DNS-серверах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 22, 2014 · Report post А если клиент использует публичные DNS? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted July 22, 2014 · Report post Ну по хорошему больше тарифа через туннель не прокачает, такшо пофих ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 22, 2014 · Report post Когда есть интернет у клиента ему нет смысла заморачиваться с туннелями. Начинаются движения, например, когда интернет отключили и перенаправляют на страницу авторизации. ДНС в этом случае должны резолвить адреса, иначе перенаправление не случится. Тут-то и вылазит кейс с туннелями. Я вижу 3 варианта: 1. Разрешать доступ только до своих ДНС, там использовать фичу от ipaddr.ru. Пользователи с 8.8.8.8 идут лесом и звонят в техподдержку. 2. Тупо шейпить весь днс трафик, позволяя клиенту пользоваться любым днс на свой вкус. Отключенные пользователи в теории имеют возможность зафигачить днс туннель. На практике он почти не работает. Я так и сделал и навсегда потерял ipaddr.ru как клиента. 3. Можно еще перехватывать все ДНС запросы и перенаправлять их на свой ДНС, где уже применять Response rate limit. Такой метод не тестировал, вообще должно быть ОК. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 22, 2014 · Report post 3. Можно еще перехватывать все ДНС запросы и перенаправлять их на свой ДНС, где уже применять Response rate limit. Такой метод не тестировал, вообще должно быть ОК. И тут вам ничто не мешает подменять ответы на youtube.com, редиректить на яндекс-family-dns и делать прочие забавные глупости. В 21 веке такой метод уже вероятно не сработает, т.к. отвалятся валидирующие DNSSEC-клиенты. По факту DNS-туннель через public DNS (из них кто-то ещё не делает RRL???) будет работать со скоростью до сотни килобит в секунду. Я лично не вижу смысла с ними бороться - кино за разумное время не скачать, сёрфинг страдает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted July 22, 2014 · Report post И тут вам ничто не мешает подменять ответы на youtube.com, редиректить на яндекс-family-dns и делать прочие забавные глупости. В 21 веке такой метод уже вероятно не сработает, т.к. отвалятся валидирующие DNSSEC-клиенты. По озвученной вами же причине и не тестировал. По факту DNS-туннель через public DNS (из них кто-то ещё не делает RRL???) будет работать со скоростью до сотни килобит в секунду. Я лично не вижу смысла с ними бороться - кино за разумное время не скачать, сёрфинг страдает. Ну вот вы уже ушли в сторону целесообразности, а не методов. У нас, например, есть свои веские причины не допускать 100 кбит нахаляву. Насколько я понял, альтернативы нашему плохому методу вы не знаете? Жаль, хотелось научиться чему-то новому. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted July 22, 2014 · Report post Насколько я понял, альтернативы нашему плохому методу вы не знаете? Ну только базовый - трубу рубить и с клиента долги требовать. Всю клиентскую трубу в 64к не пробовали зарезать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...