DNS transparent proxy pianetafibra

marko988 · 2022-10-27T09:05:25+00:00

Sono passato da poco a pianetafibra, ma noto delle cose strane che non succedevano su altra rete con le stesse configurazioni. Ho notato che se uso DNS diver...

edofullo

LATIITAY Tutto il discorso mi sembra vuoto perche' se hai una necessita' vera basta scrivergli e ti aprono l'IP

Questo potevi dirlo prima, senza attaccarmi dicendo di sparare disinformazione dopo che ho formulato un ipotesi che rispondeva a tutti i problemi dell'OP (cosa che è normale fare se non si hanno informazioni precise su cosa esattamente sta succedendo, l'importante è non fare passare ipotesi come fatti, cosa che non ho fatto).

Preferirei chiudessimo qui il discorso, chiedere lo sblocco mi sembra la soluzione ottimale per OP se non vuole tenere DoH (che comunque male non fa)

LATIITAY Non e' come i blocchi delle 25/tcp o chissa' quali altre porte di certi altri provider dove sono inflessibili punto e basta...

Concordo su questo

LATIITAY

edofullo Questo potevi dirlo prima

E l'ho pure fatto...

LATIITAY Apri un ticket a PF specificando gli indirizzi esatti dei server DNS impattati che non rispondono.

edofullo Preferirei chiudessimo qui il discorso

Concordo...

edofullo DoH (che comunque male non fa)

Beh dipende da chi e' il provider DoH, ma questo e' un altro discorso... 😅

LucaTheHacker

LATIITAY Ti sei risposto da solo

Direi di no, DoQ passa sulla 8853, che non è la 443.
È DoH a passare sulla 443.

LATIITAY Solo quic anche detto "HTTP/3"

Dici poco, ve?

LATIITAY E cmq... Tutto il discorso mi sembra vuoto perche' se hai una necessita' vera basta scrivergli e ti aprono l'IP, eh.

Conosco gente che lo ha fatto per farsi sbloccare dei DNS aziendali e si è vista arrivare una risposta negativa.

LATIITAY Non e' come i blocchi delle 25/tcp o chissa' quali altre porte di certi altri provider dove sono inflessibili punto e basta.

Peccato che un blocco sulla 25 sia comprensibile ed accettabile, un blocco sulla 53 e sulla 443 un po' meno, almeno per quanto mi riguarda.

LATIITAY

LucaTheHacker DoQ passa sulla 8853

Ma che bello, l'ennesima porta da bloccare per evitare bypass... Grazie, mi era sfuggita. EDIT pero' e' 853 quella definitiva in RFC 9250, non 8853...

LucaTheHacker Conosco gente che lo ha fatto per farsi sbloccare dei DNS aziendali e si è vista arrivare una risposta negativa.

Che vuoi che ti dica? Cioe', sul forum di PF ci sono invece testimonianze, pubbliche, che dimostrano quel che dicevo io...

LucaTheHacker Peccato che un blocco sulla 25 sia comprensibile ed accettabile, un blocco sulla 53 e sulla 443 un po' meno, almeno per quanto mi riguarda.

Io invece preferisco un blocco costante piuttosto che uno intermittente come mi sembra proponessi tu prima... Almeno so che o cambiando porta o facendomi whitelistare il problema e' risolto sempre, e non a volte.

Cmq boh, non so te, ma io in passato ho avuto modo di mitigare alcuni DDoS in entrata (gigabit simmetrica su altro provider un po' di anni fa, DDoS volumetrici da 800 Mbps, nulla di che) e uno dei filtri statici piu' appropriati per non floodare male i """firewall""" a valle (che servivano pezzi di rete che non gestivo io purtroppo, e che per la tua gioia erano dei bellissimi TP-Link """enterprise""" con porte Fast Ethernet... 🤦) era proprio quello che andava a droppare pacchetti UDP con porta sorgente 53 e 443, visto che si trattava di flood di tanti pacchetti con IP sorgente spoofati e con molte poche altre caratteristiche in comune, tra cui pero' guarda caso proprio queste due porte sorgenti.
Per cui personalmente io questi filtri statici li ritengo una contromisura appropriata e molto efficace nella pratica, per quanto "brutti" teoricamente possano essere. Cioe', lamentiamoci piuttosto con gli script kiddies o come li chiamano oggi che hanno programmato in questa maniera i "cannoni" delle botnet... (E in realta' non lamentiamoci neanche troppo, che io preferisco 2 porte e basta piuttosto che tutte e 65536... [si', compresa la 0 perche' e' una porta valida, solo che non si puo' scegliere con le API UNIX/BSD dei socket]) 😉

L4ky

LucaTheHacker Conosco gente che lo ha fatto per farsi sbloccare dei DNS aziendali e si è vista arrivare una risposta negativa.

Potresti indicare i dns e dimostrare il rifiuto dell' ISP a sbloccarlo ?
Mi sono stati sbloccati DNS "sconosciuti" nel giro di poche ore.

LucaTheHacker

LATIITAY EDIT pero' e' 853 quella definitiva in RFC 9250, non 8853...

Non saprei, sta di fatto che secondo APNIC le porte sono queste:

UDP/784, /853, and /8853

LATIITAY Io invece preferisco un blocco costante piuttosto che uno intermittente come mi sembra proponessi tu prima... Almeno so che o cambiando porta o facendomi whitelistare il problema e' risolto sempre, e non a volte.

Un antiddos fatto a modo ti lascia quasi del tutto operativo sempre, non ti devi preoccupare di farti whitelistare (anche perché andare avanti a whitelist non è un gran sistema, metti che prima o poi qualcuno faccia whitelistare roba sporca e poi l'attacco entri ancora meglio).

LATIITAY Per cui personalmente io questi filtri statici li ritengo una contromisura appropriata e molto efficace nella pratica, per quanto "brutti" teoricamente possano essere

Finché stai gestendo una rete "finale" sotto il tuo controllo mi può anche stare bene, è la tua rete e fai quel che vuoi, ma la rete di un ISP non dovrebbe filtrare in questo modo, a mio parere.

Immagina se la prossima volta il DDoS arrivasse su una porta udp utilizzata dai giochi, ogni volta che qualcuno vuole giocare deve aprire il ticket con l'IP del server di gioco (che cambia ogni volta)?

LATIITAY [si', compresa la 0 perche' e' una porta valida, solo che non si puo' scegliere con le API UNIX/BSD dei socket

#til

L4ky Purtroppo non essendo una mia esperienza diretta non so quanto la persona voglia essere tirata in causa, probabilmente leggerà questo thread e, se lo riterrà necessario, aggiungerà i dovuti dettagli.
Andando nello specifico del caso permetterebbe di identificare il cliente in questione e la cosa potrebbe causare problemi.

LATIITAY

LucaTheHacker Non saprei, sta di fatto che secondo APNIC le porte sono queste:

Quello e' un documento/blogpost chiamato "A first look at DNS over QUIC" di marzo scorso che appunto analizza il deployment delle versioni sperimentali di DNS-over-QUIC, un paio di mesi prima della standardizzazione definitiva con la pubblicazione come RFC 9250 avvenuta a maggio.

A quanto risulta, 784 era la prima porta sperimentale (draft -01), poi venne 8853 (draft -02), e poco dopo 853 (dalla draft -03 in poi), che ora e' quella standard.

LucaTheHacker Un antiddos fatto a modo ti lascia quasi del tutto operativo sempre, non ti devi preoccupare di farti whitelistare (anche perché andare avanti a whitelist non è un gran sistema, metti che prima o poi qualcuno faccia whitelistare roba sporca e poi l'attacco entri ancora meglio).

Cmq se ho capito bene quello che dovrebbe succedere, tra circa due mesi si passa a tutt'altra rete "nuova", per questo la rete attuale viene mantenuta diciamo in piedi cosi' com'e' senza interventi importanti... Sono d'accordo che alcune cose non sono al momento perfette diciamo, ma d'altro canto non vai ad investire in qualcosa che stai per smantellare... (*lacrimuccia* perche' se fosse la mia rete mi dispiacerebbe non poco...)

LucaTheHacker Purtroppo non essendo una mia esperienza diretta non so quanto la persona voglia essere tirata in causa, probabilmente leggerà questo thread e, se lo riterrà necessario, aggiungerà i dovuti dettagli.
Andando nello specifico del caso permetterebbe di identificare il cliente in questione e la cosa potrebbe causare problemi.

Pero' scusami eh, non per essere, pero' tu sei sempre quello che porta esempi fumosi di esperienze di gente che conosci e che non vuole mai essere "esposta"... 🙈

LucaTheHacker

LATIITAY Pero' scusami eh, non per essere, pero' tu sei sempre quello che porta esempi fumosi di esperienze di gente che conosci e che non vuole mai essere "esposta"...

Ed il motivo per cui riesco a continuare a portarne è proprio quello, nessuno sa chi sono le mie fonti, di conseguenza è come una partita di campo minato, ma senza indicazioni sulla posizione delle mine.

matteoc

LATIITAY Non spargiamo disinformazione a caso, grazie!

Sapete quanto ci tengo alla qualità degli interventi ma le supposizioni non sono vietate.
E non è corretto accostare disinformazione ad una supposizione, proprio perché è solo ipotetica.
L'importante, come dico spesso, è non spacciare supposizioni per certezze, e non mi sembra questo il caso (visto il "magari", anche in grassetto).

LATIITAY

matteoc ... e' cmq opinabile, visto che nel resto del messaggio viene usato il presente e non il condizionale... Quel magari anche se in grassetto puo' facilmente venire tralasciato, e il messaggio letto come affermazione e certezza, invece che come mera opinione non rappresentante la realta' e non circostanziata. Certo se poi uno si sofferma magari si accorge che c'e' anche quel magari che vorrebbe cambiarne il significato... Vabeh, lasciamo perdere, l'autore si e' gia' chiarito.

L4ky

LucaTheHacker Ed il motivo per cui riesco a continuare a portarne è proprio quello, nessuno sa chi sono le mie fonti, di conseguenza è come una partita di campo minato, ma senza indicazioni sulla posizione delle mine.

Tanti casi, così fumosi che vista la quantità di prove portate, ovvero ZERO, potrebbero essere (oppure sono) tranquillamente storie inventate vista la tua ormai manifestata antipatia verso l' ISP in questione.

Insomma contributi di una qualità persino inferiore alle chiacchere da bar che, a parer mio, puoi tranquillamente risparmiarti.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile