Recentemente, assisti a um seminário on-line que mostrou um ataque de encapsulamento de DNS. Na seção de resposta da pergunta do webinar, alguém perguntou como esse encapsulamento pode ser evitado. O conselho era não permitir que os servidores DNS internos resolvessem endereços externos e executassem toda a resolução externa através de um proxy. Alguém pode explicar por que isso vai impedir o tunelamento. Se o cliente estiver executando algo que envie um pacote DNS criado para o proxy com a carga oculta, ele não alcançará o servidor DNS relevante e será retornado ao cliente por meio do proxy?
Resposta curta: Os proxies com reconhecimento de aplicativo são capazes de analisar o conteúdo do pacote de uma maneira inteligente do protocolo e podem determinar se a carga útil de um pacote remontado passando está em conformidade com as estruturas de dados para esse protocolo. Dessa forma, o proxy está ciente de que você está tentando encapsular dados HTTP (por exemplo) em segmentos DNS.
Outra coisa que um proxy pode fazer (ou algo que eu faria se estivesse preocupado com o tunelamento - e não requer um proxy - apenas um roteador decente) - é simplesmente limitar bastante a quantidade de tráfego na porta 53. não impediria totalmente o tunelamento, mas reduziria muito sua utilidade. (Por exemplo, permita dizer 100kbit de dados em um intervalo de 120 segundos. Isso equivale a uma taxa de transferência máxima de < 100 bytes por segundo, portanto, você não pode obter muitos dados fora dessa conexão)