PDF de programación - Evadiendo portales cautivos en hoteles o aeropuertos - Túneles DNS

10/04/2015

Evadiendo portales cautivos 
en hoteles o aeropuertos.

Túneles DNS.
Gabriel Maciá Fernández

Índice del taller

• ¿Qué es un portal cautivo?
• ¿Qué es un túnel?
• ¿Qué es DNS?
• Túneles DNS. Cómo funcionan. 
• Defensas frente a túneles DNS.

© Gabriel Maciá Fernández

1

10/04/2015

¿QUÉ ES UN PORTAL CAUTIVO?

© Gabriel Maciá Fernández

2

10/04/2015

Acceso en Barajas

© Gabriel Maciá Fernández

3

10/04/2015

Acceso en Barajas

15 primeros minutos gratuitos
30 m
1h
24h

5€ + IVA
7,5€ + IVA
15€ + IVA

¿Dónde los encontramos?

• Universidades
• Estaciones de tren, aeropuertos, 
autobús (pago)
• Hoteles (de pago)
• Establecimientos públicos

© Gabriel Maciá Fernández

4

10/04/2015

Vulnerabilidades del portal cautivo

• No se cifra el tráfico entre el cliente y el AP

– Ataques de captura de tráfico (spoofing, 

hijacking…)

• En muchos de los portales no se controla el 

tráfico DNS
– Esto permite el sortear el control del portal 

cautivo utilizando Túneles DNS.

¿Hay control de tráfico DNS?

© Gabriel Maciá Fernández

5

10/04/2015

¿QUÉ ES UN TÚNEL?

¿Qué es un túnel?

• Encapsulamiento de datos de unos protocolos 

en otra torre de protocolos diferente

© Gabriel Maciá Fernández

6

10/04/2015

Ejemplo de un túnel

IPA

IPB

Datos

TCP

IP

DATOS

X.25

ATM

Veamos un ejemplo 
práctico de túnel

© Gabriel Maciá Fernández

7

10/04/2015

¿QUÉ ES DNS?

¿Qué es DNS?

• DNS es uno de los protocolos más utilizados 

en la red
– Permite traducción de nombres a IP 
– Comunicaciones de tipo UDP en puerto 53
– Varios tipos de registro

• Tipo A, SOA, NS
• Tipo TXT

• Servidor con autoridad sobre un dominio

© Gabriel Maciá Fernández

8

10/04/2015

¿Qué es DNS?

• Payload de DNS

TÚNELES DNS

© Gabriel Maciá Fernández

9

10/04/2015

¿Para qué se utilizan?

• Evasión de 
información 
corporativa

• Evasión de políticas 

de red y de 
seguridad

• Evasión de portales 
cautivos. Uso más 
extendido.

¿Cómo funciona?

• Oscar Pearson (Bugtraq) Abril 1998
• Elementos

1

Dominio: 

ejemplo.com

4

payload

2

Servidor DNS

3

Cliente

© Gabriel Maciá Fernández

10

10/04/2015

Ejemplos de payload

• Realizar una query tipo A al siguiente dominio: 
lainformacionquequieromandar.ejemplo.com

• Variantes: 

– Uso de diferentes codificaciones

• Base 32, Base64, Binary 8, Netbios, Hex

– Diferentes tipos de técnicas

• Descubrimiento del mejor encoding
• Spoofing de IP
• Uso de diferentes tipos de registro

Aspectos a implementar
• DNS tiene límite de 512 bytes/paquete

– Puede no ser suficiente para TCP/IP
– Uso de EDNS (payloads > 512 bytes)

• DNS es tráfico UDP

– No se garantiza reensamblado correcto de 

paquetes

• Los servidores DNS solo envían paquetes 

como respuesta y no de forma independiente
– Polling continuo

© Gabriel Maciá Fernández

11

10/04/2015

Algunas herramientas

IODINE

• NSTX
• OzymanDNS
• Psudp
• Squeeza
• Tcp‐over‐dns
• TUNS
• DNScapy
• Dns2tcp
• DeNiSe

Algunas herramientas

© Gabriel Maciá Fernández

12

10/04/2015

Algunas herramientas

• IODINE 

– Modelo cliente – servidor
– Alto rendimiento: cada respuesta puede contener 

hasta 1KB de datos comprimidos

– Portabilidad: Win32, Unix (Linux, MacOS, Android..) 

Servidor y cliente con plataformas diferentes. 

– Seguridad. Permite acceso con contraseña (hash 

MD5). Ignora paquetes de otras IPs. 

– Facilidad de uso. Hasta 16 clientes al mismo tiempo.

Veamos un ejemplo

CONFIGURACIÓN SIMPLE DE IODINE

© Gabriel Maciá Fernández

13

10/04/2015

Configuración completa

• Premisa: La conexión al servidor IODINE está 

bloqueada

• Uso de DNS relay a través del DNS local

– Configuración del DNS server:
• Compra del dominio prueba.com
• Configuración de registros

MÉTODOS DE DEFENSA

© Gabriel Maciá Fernández

14

10/04/2015

Métodos de defensa

PREVENCIÓN

DETECCIÓN

RESPUESTA

• Prevención

– Control del tráfico DNS en tu red

• Servidor propio DNS
• Split DNS
• Detección:

– Análisis de payload
– Análisis de tráfico

Métodos de defensa

• Análisis de payload

– Tamaño de las peticiones y las respuestas
– Entropía de los hostnames
– Análisis estadístico 

• E.g. Consonantes o números repetidos (Lockington, 2012)
– Detección de peticiones a tipos de registro inusuales 

(e.g. TXT).

– Violaciones de políticas (e.g. paso de peticiones DNS a 

un DNS local). 

– Firmas específicas

© Gabriel Maciá Fernández

15

10/04/2015

Métodos de defensa

• Análisis de tráfico

– Volumen de tráfico DNS por IP
– Volumen de tráfico DNS por dominio
– Número de hostnames por dominio
– Localización geográfica del servidor DNS 

consultado

– Peticiones DNS huérfanas
– …

Métodos de defensa

PREVENCIÓN

DETECCIÓN

RESPUESTA

• Respuesta

– Hosts no autenticados tienen DNS restringido 

(Split DNS).

– Bloqueo de tráfico DNS sospechoso (anomaly

detection)

– Asignar cuota de uso de tráfico DNS
– Denegar uso de algunos tipos de registro

© Gabriel Maciá Fernández

16

10/04/2015

Gracias por su atención

© Gabriel Maciá Fernández

17