der datentransport funktioniert so:
der client A will daten aus dem netz schmuggeln.
dazu macht er jeweils eine DNS-anfrage bei dem für ihn zuständigen
DNS-server im firmennatz.
wie lautet die IP für "diese.boese-domaene.org"
wie lautet die IP für "daten.boese-domaene.org"
wie lautet die IP für "werden.boese-domaene.org"
wie lautet die IP für "aus.boese-domaene.org"
wie lautet die IP für "dem.boese-domaene.org"
wie lautet die IP für "netz.boese-domaene.org"
wie lautet die IP für "geschmuggelt.boese-domaene.org"
und der DNS-server sagt sich: kenn ich nicht, da muss sich mal
nachfragen.
also wird, direkt oder über mehrere stufen, der von dieser firma im
internet eingerichtete DNS-server gefragt.
welche das ergebnis auch nicht kennt, und also bei dem DNS-server,
der für die domäne "boese-domaene.org" zuständig ist, dirket
nachfragt.
dieser DNS melde irgendwelche IP-adressen zurück (man kann auch noch
weiteren text mitschmuggeln,...alles, das das liebe DNS so zulässt
oder gar erwartet)
der client nimmt die zurückgelieferten daten und sieht, dass die von
ihm gelieferten daten erfolgreich aus dem firmennetz
hinausgeschmuggelt wurde.
wenn der client daten ins internet übertragen darf, so z.b. zu einem
speziellen zweck und ziel, fällt solche eine DNS-abfrage nicht
wirklich sofort auf
und verhindern kann man sie nur, wenn der DNS-server, der für den
client zuständig ist (und NUR dieser) eine white-list hat von den
domänen, auf die der client zugreifen darf.
der client A will daten aus dem netz schmuggeln.
dazu macht er jeweils eine DNS-anfrage bei dem für ihn zuständigen
DNS-server im firmennatz.
wie lautet die IP für "diese.boese-domaene.org"
wie lautet die IP für "daten.boese-domaene.org"
wie lautet die IP für "werden.boese-domaene.org"
wie lautet die IP für "aus.boese-domaene.org"
wie lautet die IP für "dem.boese-domaene.org"
wie lautet die IP für "netz.boese-domaene.org"
wie lautet die IP für "geschmuggelt.boese-domaene.org"
und der DNS-server sagt sich: kenn ich nicht, da muss sich mal
nachfragen.
also wird, direkt oder über mehrere stufen, der von dieser firma im
internet eingerichtete DNS-server gefragt.
welche das ergebnis auch nicht kennt, und also bei dem DNS-server,
der für die domäne "boese-domaene.org" zuständig ist, dirket
nachfragt.
dieser DNS melde irgendwelche IP-adressen zurück (man kann auch noch
weiteren text mitschmuggeln,...alles, das das liebe DNS so zulässt
oder gar erwartet)
der client nimmt die zurückgelieferten daten und sieht, dass die von
ihm gelieferten daten erfolgreich aus dem firmennetz
hinausgeschmuggelt wurde.
wenn der client daten ins internet übertragen darf, so z.b. zu einem
speziellen zweck und ziel, fällt solche eine DNS-abfrage nicht
wirklich sofort auf
und verhindern kann man sie nur, wenn der DNS-server, der für den
client zuständig ist (und NUR dieser) eine white-list hat von den
domänen, auf die der client zugreifen darf.