什么是 DNS 通過強制門戶進行隧道傳輸

強制門戶

DNS隧道，即利用DNS請求和響應來承載經過編碼或加密的數據內容，攻擊者需要接管某個域名的NS服務器，使得對該域名的所有子域解析請求最終到達該臺NS服務器上，最終，一條通信信道將在受控機器和攻擊者的NS服務器之間建立（中間可能經過更多的NS節點），信道的建立、維持和通信基于DNS查詢的請求和響應。

強制網絡門戶（captive portal）是一個Web頁面，它是使用公共訪問網絡的用戶在被授予訪問權限前必須訪問和交互的頁面。強制網絡門戶通常在為因特網用戶提供免費的Wi-Fi熱點服務的商業中心、機場、賓館大廳、咖啡廳和其他公共場所中使用。

在一個帶有強制網絡門戶的網絡中，一個用戶第一次登錄的時候，在被授予因特網的訪問權限之前，會看到一個要求做一些特定動作的Web頁面。一個簡單的強制網絡門戶會強制用戶至少看一眼(如果不是讀的話)可接受用戶策略頁面，然后點擊一個按鈕表示同意策略條款。這大概是因為這樣在碰到有用戶在登錄之際犯罪或做了其他破壞性的動作時可以為服務提供者免責的緣故。在有些強制網絡門戶中，會顯示服務提供者的贊助商的廣告，用戶在被授予因特網訪問權限之前必須點擊一下或者關閉出現的窗口。還有一些強制網絡門戶在用戶獲得因特網訪問權限之前會要求給出預設的用戶ID和密碼信息。這種認證可以打消使用無限熱點作為犯罪活動的站點的積極性。大部分帶有強制網絡門戶的服務器都同時裝有反病毒和防火墻程序，用來保護用戶的計算機免受攻擊，這種攻擊可能是來自因特網的，也可能來自同一個網絡中的計算機。

即使是一個帶有簡單強制網絡門戶的免費公共訪問網絡，總會有人會不斷地連接網絡，以一種連續的方式使用網絡來下載音樂、視頻或其他大文件。這種行為稱作帶寬扭曲。這在強制網絡門戶中可以通過附加的編程來使其最小化。這種編程可以控制哪些大文件可下載、限制可下載文件的大小（以千字節或兆字節為單位），限制在單個會話中同時下載的數目或者阻塞那些通常用來下載大文件的Web站點。這被稱作帶寬扼殺或流量修整。

強制門戶實現原理

強制門戶有兩種實現方法：

1.當WAN側網絡斷開的情況下，DNS請求被欺騙為接入網絡設備的 IP, 請求的HTTP目標地址，被跳轉到在接入網絡設備上部署的頁面， 此屬于非典型門戶。主要用于診斷設備的連通性， 給用戶以提示設備異常的機會。

如果是HTTPS請求， 瀏覽器不會對主動跳轉到門戶頁面上，需要用戶點擊繼續（由于服務器證書不對） 。

2.當WAN側網絡連通的情況下，DNS工作正常，對于所有的HTTP請求，在設備的防火墻中被終止，不繼續由路由模塊轉送到目的主機上，同時防火墻模塊給客戶端會送 HTTP 302 跳轉報文， 客戶端收到后跳轉到目的門戶頁面上。

請注意此處凡是可重定向的請求，都是HTTP報文，不是HTTPS。

回答所涉及的環境：聯想天逸510S、Windows 10。