<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Snort on Fuchsbau</title><link>https://this-is-fine.io/tags/snort/</link><description>Recent content in Snort on Fuchsbau</description><generator>Hugo</generator><language>de-DE</language><lastBuildDate>Thu, 02 Jul 2026 15:30:00 +0200</lastBuildDate><atom:link href="https://this-is-fine.io/tags/snort/index.xml" rel="self" type="application/rss+xml"/><item><title>wisp: eine Reverse-Shell über DNS — und warum das Protokoll immer noch ein Sicherheitsproblem ist</title><link>https://this-is-fine.io/posts/20260701-wisp-dns-tunnel-poc/</link><pubDate>Wed, 01 Jul 2026 16:00:00 +0200</pubDate><guid>https://this-is-fine.io/posts/20260701-wisp-dns-tunnel-poc/</guid><description>&lt;p&gt;DNS ist das Protokoll, das jeder Firewall durchlässt. Nicht aus Konfigurationsfehler, sondern aus Notwendigkeit: Ohne Namensauflösung funktioniert in einem modernen Netz schlicht nichts — also bleibt Port 53/udp offen, fast immer sowohl Richtung des rekursiven Resolvers des Hauses als auch, häufig genug, Richtung beliebiger öffentlicher Resolver im Internet. Genau das ist der Spalt, durch den sich Exfiltration und Command-and-Control seit drei Jahrzehnten quetschen. 

&lt;a href="https://github.com/iagox86/dnscat2" rel="external noopener" target="_blank"&gt;dnscat2&lt;/a&gt;
 hat das 2014 vorgemacht; das Tool ist in die Jahre gekommen, das &lt;strong&gt;Prinzip&lt;/strong&gt; nicht.&lt;/p&gt;
&lt;p&gt;Dieser Beitrag stellt &lt;strong&gt;wisp&lt;/strong&gt; (ursprünglich &lt;code&gt;dc&lt;/code&gt; - für dnscat) vor — ein Projekt, das ich als Machbarkeitsstudie gebaut habe, um zwei Dinge zu zeigen: erstens, dass ein modernes, kryptografisch hartes DNS-Tunnel-Tool heute ohne viel Aufwand möglich ist, und zweitens — und das ist mir mindestens genauso wichtig —, &lt;strong&gt;dass die Verteidigungsseite das nur erkennt, wenn sie es aktiv sucht&lt;/strong&gt;. wisp ist zugleich Angriffs-POC &lt;em&gt;und&lt;/em&gt; Argument für DNS-Firewalling, Response-Rate-Limiting, Egress-Filtering freier Resolver und DoH-Blocking. Wer nur eines davon macht, verliert schon. Zur Reverse-Shell kommt eine &lt;code&gt;!get&lt;/code&gt;-Exfiltration über denselben E2E-Kanal — und ein Bootstrap-Modell, das &lt;strong&gt;kein PSK jemals ausliefert&lt;/strong&gt;: jedes gestempelte Binary trägt sein eigenes Token, das beim ersten Frame verbraucht wird.&lt;/p&gt;
&lt;div class="alert alert-error"&gt;&lt;strong&gt;POC — nur für autorisierte Systeme.&lt;/strong&gt; wisp ist eine Machbarkeitsstudie für Security-Research und autorisierte Red-Team-Demonstrationen. &lt;strong&gt;Es darf ausschließlich in Netzen und an Systemen betrieben werden, die man selbst besitzt oder für die man ausdrücklich autorisiert ist.&lt;/strong&gt; Unerlaubter Einsatz ist illegal. E2E verschlüsselt den &lt;em&gt;Inhalt&lt;/em&gt; des Tunnels, &lt;strong&gt;nicht seine Existenz&lt;/strong&gt; — wer einen solchen Kanal aufbaut, erzeugt messbaren DNS-Verkehr, und genau dieser Verkehr ist, wie der zweite Teil des Beitrags zeigt, erkennbar.&lt;/div&gt;</description></item></channel></rss>