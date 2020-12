Door Erik van Straten: Wat een onduidelijk plaatje. Het wekt bij mij de suggestie dat er sprake is van twee https verbindingen (tussen de client en de proxy. en tussen de proxy en de "Target"), maar dan zou de proxy alle DNS requests zien. Als dat niet zo is, waarom wordt de request in de client, proxy en target alle drie met "Q" aangeduid, en de responses allemaal met "Q"? (ik zou in de proxy dan op z'n minst iets als Q' en R' verwachten).

Verder kun je erop wachten tot cybercriminelen die proxy gaan misbruiken voor C&C en voor bestandsoverdracht van/naar gecompromitteerde PC's. De bedrijfsfirewall ziet alleen https verkeer met de vertrouwde proxy, maar ondertussen...

Aanvulling: ook bij (D)DoS aanvallen weet de aangevallen https server niet welke IP-adressen hem aanvallen c.q. vanuit welk land de https verbinding wordt opgezet (kan dus ook handig zijn om geo-IP-filters te bypassen, vind gewoon zo'n gratis proxy in de gewenste regio).

Natuurlijk ziet de proxybeheerder dit wel, maar bij gratis diensten zit daar vast geen groot 24x7 team op van mensen die snappen waar je het over hebt als je aan de bel trekt i.v.m. misbruik.



Dom idee dit.

Zonder al te diep in de ODoH specificaties te duiken (heb jij ook niet gedaan) alvast wat extra informatie. Die staat redelijk duidelijk uitgelegd in de tekst in het plaatje.De proxy is een SSL-pass-through proxy. De client maakt een verbinding via de proxy. De versleuteling wordt opgezet door de DoH server. Hierdoor ziet de proxy niet wat er in het pakketje zit. De DoH server ziet niet waar het verkeer vandaan komt, want hij ziet alleen het IP adres van de proxy.Natuurlijk vraagt dat wel om een goede configuratie van de proxy. De laatste tijd komen er nog al eens kwetsbaarheden naar boven waarbij het IP adres van de client wel op de een of andere manier wordt gelekt.Als je die proxy zo instelt dat ze alleen verkeer doorlaten naar de DoH servers van hun partners, is er voor de criminelen niet veel te compromiteren. En gebruik van DoH om queries van malware voor C&C servers te verbergen, is nu al mogelijk. Dat is een bekend probleem bij DoH. Dat maakt ODoH niet veiliger of onveiliger.Als mijn server aangevallen wordt, zie ik toch echt wel uit welk land dat IP adres afkomstig zou zijn. Dat is eenvoudig te blokkeren middels Geo-IP. Ja, ze kunnen deze proxy gebruiken, maar die worden toch wel beter beheerd dan al die SOCKS proxies op thuisaansluitingen. Voor een crimineel is het eenvoudiger om gebruik te maken van de miljoenen thuisproxies dan de paar ODoH proxies.En dan nog zie ik niet hoe een goed ingestelde ODoH proxy mee kan doen in een DDoS anders dan in eentje naar Cloudflare. Als dat gebeurt, dan weet Cloudflare die proxy beheerder wel snel te vinden.Van een paar van de genoemde aanbieders weet ik dat het gewoon een onderdeel is van de standaard dienstverlening voor hun klanten. Als je losse broodjes gaat halen bij de bakker, dan is de zak waar ze in gaan in principe gratis. Maar nog steeds kun je best klagen als die blijkt te scheuren en je broodjes over de straat rollen.Van een paar partijen week ik dat ze een zeer actieve 24-uurs security dienstverlening hebben. Ik heb daar nog wel eens gebruik van mogen maken.Peter