A story about bypassing air Canada's in-flight network restrictions 💬 Длинная дискуссия
Во время 12-часового перелёта из Канады в Гонконг на борту Air Canada автор обнаружил, что бесплатный Wi-Fi ограничен только мессенджерами. Вместо того, чтобы заплатить 30 CAD за полный доступ, он решил «взломать» систему. С помощью эксперта по безопасности сетей они попробовали три подхода: самоподписанный SSL-сертификат, маскировка DNS-запросов и туннелирование DNS. Первые два метода провалились из-за жёсткой фильтрации IP и отсутствия UDP. Третий подход оказался рабочим: туннель через DNS позволил обойти ограничения и получить полный доступ к GitHub и другим сайтам.
Комментарии (153)
- Пользователи обсуждают, что если ICMP-запросы не проходят, это не обязательно означает блокировку IP-адреса — возможно, просто блокируется ICMP.
- Участники обсуждают, что если DNS-запросы проходят, то можно использовать DNS-туннель, чтобы обойти ограничения.
- Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
- Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
- Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
Images over DNS
Многие ошибочно полагают, что TXT-записи в DNS ограничены 255 байтами, но на самом деле лимит определяется размером DNS-пакета. Для UDP это около 1232 байт, а при использовании TCP можно передавать до 64 КБ данных. Это демонстрируется через сервис Google Public DNS с JSON API, где большие изображения передаются в бинарном виде без кодирования Base64 для экономии места.
Такой подход позволяет обходить традиционные ограничения и может иметь последствия для безопасности, так как злоумышленники могут использовать DNS для туннелирования крупных payload прямо в браузер. Низкое значение TTL (10 секунд) предотвращает засорение кэшей, но теоретически его увеличение превратило бы DNS-резолверы в бесплатный распределённый CDN.
Комментарии (49)
- Использование DNS в качестве транспортного механизма для передачи данных (изображений, HTML, видео) и обхода ограничений или платы за трафик.
- DNS-туннелирование (например, с помощью проекта Iodine) позволяет создавать каналы связи через порт 53, часто открытый в фаервллах.
- Техника может использоваться для эксфильтрации данных, обхода captive-порталов и межсетевых экранов, но современные системы защиты научились это детектировать и блокировать.
- Существуют технические ограничения (размер записи ~64KB), которые обходятся с помощью множественных TXT-записей или использования TCP.
- Обсуждение носит исследовательский и экспериментальный характер, мотивированный любопытством и желанием обойти ограничения.