cyberscoperyesterday at 01:47

DNS TXT как канал доставки конфигов: тихо, надёжно, неубиваемо?

Easy

5 min

12K

Network technologies * System administration * Python * Open source * Information Security *

Case

+21

Comments 22

CitizenOfDreams yesterday at 03:37

через выбор канала который блокировать политически сложно.

Единственный канал, который политически сложно блокировать - это "Первый канал" телевизора.

MrShandy yesterday at 03:53

А если будет утерян ключ шифрования, как быть? У клиента то он был зашит при первом подключении (или просто зашит в клиент??).

Ситуация гипотетическая, там и с другими реализациями куча проблем будет, но тут вообще непонятно как решать. Нужно как то всем оперативно выдать новый ключ шифрования, а это проблема

Но сама идея интересная

zarazaexe yesterday at 05:13

тоже об этом думал

просто будут блочить TXT в DNS

GennPen yesterday at 05:27

Передавать в записях домена. Это до 16 байт информации на одну запись.

zarazaexe yesterday at 05:29

а, реально

хотя тут можно использовать активное зондирование, но решается страничкой заглушкой

kuza2000 yesterday at 05:30

Ну да. Как мне кажется, заблокировать этот канал очень легко. Делаешь форк dns сервера, который вырезает эти записи.

vesper-bot yesterday at 06:43

Если зону подписать, то форкнуть не выйдет. Но она требует DoH/DoT, которые уже режутся на уровне протокола.

vikarti yesterday at 17:35

С чего это DNSSEC требует обязательно DoT/DoH?

MrShandy yesterday at 05:41

А как они doh заблокируют? Никак по идее

zarazaexe yesterday at 07:23

запретят HTTPS

GennPen yesterday at 08:22

Не запретят, но потребуют пользоваться национальным сертификатом. Кстати, что с ним? А то что-то бухтение по этому поводу приутихло.

zarazaexe yesterday at 09:24

ну про запрет HTTPS шутка была, хотя...

а сертификаты? да затерпели как всегда

ну вот я автор той статьи самой

LaoSan yesterday at 05:26

Этот способ будет работать до тех порт, пока Тов.Майор и его Миньоны не отреверсят ваше ПО или его Трафик и не найдут алгоритм распространения. Апосля забанить/заблочить/зафильтровать уже дело техники.

(Как вариант могут приехать к вам, и вы отдадите им все явки/пароли)

nooblik yesterday at 09:15

Как ты заблочишь запросы DNS без ломания этого днс?

LaoSan yesterday at 05:35

Вот вам вариант с каналом распространения (на подумать).

Шифровать и размещать полезную нагрузку в отдельном слое в картинке JPG.
Саму картинку например размещать аки аватарку/фотку/в коментах на популярном публичном портале. (том же ВК, ОК. Дзене, Рутрубе)
К картинке обращаться не сразу напрямую, а, в куче других запросов к выбранному порталу.

nooblik yesterday at 09:21

Саму картинку например размещать аки аватарку/фотку/в коментах на популярном публичном портале. (том же ВК, ОК. Дзене, Рутрубе)
___________________
Картинки сжимаются при загрузке в сервисы. Есть не хилая вероятность того что лишнее отрежется

Давай я придумаю более бредовый метод. В чат wow на сервере пишите конфиг каждые 5 минут. Клиенты авторизуются и слушают эти чаты и достают их оттуда.

А на самом деле вы слишком преувеличиваете.

В комментариях на хабре публикуете новый конфиг и всё.

Хабр никто не заблочит весь.

Если администрация пойдёт на уступки и удалит пост - гитхаб/гитлаб любой другой сервис где можно выложить свой текст. Его не заблочат. Если заблочат то только весь изза https.

iamkisly yesterday at 09:33

Есть не хилая вероятность того что лишнее отрежется

Некоторое время назад у ВК была преза, где они рассказывали как в hot patch пережимали жипеги на webp. В целом было очень интересно послушать как скорость доставки влияет на удержание пользователей.

s5384 yesterday at 16:21

Довольно наивно, есть места поинтереснее и более подходящие. JPG часто подвергается перекодированию, лишние теги срежутся. Тут остаётся либо теги выбирать, которые не будут трогать, либо другой формат, например, PNG.

Можно хранить в тексте к аудиозаписи ВК, который по API можно каждый раз получать. И, как вариант, иметь несколько вариантов хранения, чтобы был ключ и конфиг в зашифрованном виде

thereisnocolor yesterday at 07:37

Загуглите уже для себя слово стеганография. Столько методов прятоть информацию у всех на виду найдете, что просто офигеете)

ewill 17 hours ago

Действительно интересный подход! Даже не думал о таком применении DNS TXT.
Спасибо.

cyberscoper 10 hours ago

Есть еще ряд идей как это можно реализовать, буду писать!

oforum 10 hours ago

С учётом всего этого, не думали ли добавить к такой схеме ещё слой версионирования/подписи — например, хранить в TXT не только URI, но и версию с подписью (HMAC/ED25519), чтобы клиент мог отличать подменённый ответ провайдера от легитимного обновления конфига?