Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 7
Пахнет гуглтранслейтом, извините. Вроде бы слова понятные, но в предложения не складываются. Тут описано использование DoH в качестве транспорта? Прокатывает, потому что его админы должны добавить в White-правила фаервола?
Кажущиеся шестнадцатеричными символы справа на самом деле являются десятичными символами, используемыми для построения закодированной полезной нагрузки.
А кажущиеся десятичные символы на самом деле являются шестнадцатеричными символами.
На первый взгляд значение поля «данные», возвращаемое DNS-запросом Google, может выглядеть как подпись DKIM. Это значение похоже на строку в кодировке base64, но попытка декодировать всю строку приводит к получению бессмысленных данных.
Так обыный ничего не значимый набор данных. Такой-же набор данных можно получить при отправке CONNECT на сервер и получения бессмысленных данных, вместо публичного ключа.
Так и в открытый порт можно записать набор данных, без кодировки в Base64, которые будут контролировать заражённые машины. Одна из самых распространённых атак такого рода заканчивалась переполнением буфера и внедрением зловреда, а не для передаче контрольных комманд.
Уж очень завуалировано… В тексте Base64, могут передавать не Base64, ожидаемые клиентом, а Base64 для контроля заражённых машин. Ну так и WebPush можно передать с payload подставившись те-же гуглом (хромом), тут и без DoH получится получить коммандный пакет.
Так звучит, словно не использование туннелирования DNS как-то убережет от такого способа качания вредоноса (да и вообще чего угодно).
С тем же успехом можно писать «iOS умеет качать вирусы через DNS» — заголовок «богатый», но ОС тут вовсе не при чем (как и DNS как протокол).
«Байты не пахнут», ресурсу пофиг.
С тем же успехом можно писать «iOS умеет качать вирусы через DNS» — заголовок «богатый», но ОС тут вовсе не при чем (как и DNS как протокол).
«Байты не пахнут», ресурсу пофиг.
DNS-over-HTTPS это ведь тот же DNS, долько с другим транспортом? И так же как в обычном DNS, можно прятать данные в записях TXT? Надо же…
Ну можно, только в обычный DNS можно подглядывать, и резать подозрительное, а что внутри DNS-over-HTTPS, корпоративному файерволлу/DNS-серверу не видно.
А чем это отличается от обычного https? Можно грузить с каких-то гугл драйвов, например или хоть поста с фейсбука (base64 в посте).
Серьезно, кто-то режет данные в TXT-записях именно как способ борьбы с вредоносами?
Да, есть маньячный подход не ресовить все зоны, кроме некоторого белого списка, вообще — но это в очень узких по применимости условиях. А чтобы в зонах не ресолвили отдельные записи. Не думаю, что это реалистичный подход.
Да, есть маньячный подход не ресовить все зоны, кроме некоторого белого списка, вообще — но это в очень узких по применимости условиях. А чтобы в зонах не ресолвили отдельные записи. Не думаю, что это реалистичный подход.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Злоумышленники используют DNS-через-HTTPS от Google для загрузки вредоносных программ