What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

OBTENIR UNE DÉMO Guide d'achat du FNGW

What is DNS Tunneling?

Qu'est-ce que le DNS ?

En termes simples, le DNS est l'annuaire téléphonique de l'internet. Lorsqu'ils naviguent sur Internet, la plupart des utilisateurs préfèrent taper le domaine ou l'URL du site web qu'ils souhaitent visiter (comme https://www.checkpoint.com). Cependant, les serveurs et l'infrastructure de l'internet utilisent les adresses IP pour identifier la destination du trafic et l'acheminer.

 

Le DNS assure la conversion entre les noms de domaine et les adresses IP. Il est organisé comme un système hiérarchique avec des serveurs pour différents sous-domaines. Un visiteur du site checkpoint.com demanderait à ce que l'on lui envoie un fichier .com. Serveur DNS pour l'adresse IP du serveur DNS checkpoint.com. Une deuxième demande à ce serveur DNS fournit alors l'adresse IP du serveur hébergeant la page web souhaitée. L'utilisateur peut maintenant visiter le site qu'il souhaite.

Comment fonctionne le tunnel DNS ?

Le DNS est l'un des protocoles fondamentaux de l'internet. Sans les services de recherche qu'il fournit, il serait pratiquement impossible de trouver quoi que ce soit sur l'internet. Pour visiter un site web, vous devez connaître l'adresse IP exacte du serveur qui l'héberge, ce qui est impossible. Par conséquent, le trafic DNS est l'un des trafics les plus fiables sur l'internet. Les organisations autorisent le passage à travers leur pare-feu (à la fois en entrée et en sortie) parce qu'il est nécessaire pour leurs employés internes de visiter des sites externes et pour les utilisateurs externes de trouver leurs sites web.

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

Détection des attaques par tunnel DNS

Le tunneling DNS implique une utilisation abusive du protocole DNS sous-jacent. Au lieu d'utiliser les requêtes et les réponses DNS pour effectuer des recherches légitimes d'adresses IP, le logiciel malveillant s'en sert pour mettre en place un canal de commande et de contrôle avec son gestionnaire.

 

La flexibilité du DNS en fait un bon choix pour l'exfiltration de données, mais il a ses limites. Voici quelques indicateurs de l'existence d'un tunnel DNS sur un réseau :

  • Demandes de domaines inhabituelles : Le DNS tunneling logiciel malveillant encode des données dans un nom de domaine demandé (comme DATA_HERE.baddomain.com). L'inspection des noms de domaine demandés dans les requêtes DNS peut permettre à une organisation de différencier le trafic légitime des tentatives de tunneling DNS.
  • Demandes pour des domaines inhabituels : Le tunnel DNS ne fonctionne que si l'attaquant possède le domaine cible, de sorte que les requêtes DNS sont envoyées à son serveur DNS. Si une organisation connaît une augmentation soudaine des demandes pour un domaine inhabituel, cela peut indiquer un tunnel DNS, en particulier si ce domaine a été créé récemment.
  • Volume élevé de trafic DNS : Le nom de domaine contenu dans une requête DNS a une taille maximale (253 caractères). Cela signifie qu'un attaquant aura probablement besoin d'un grand nombre de requêtes DNS malveillantes pour exfiltrer des données ou mettre en œuvre un protocole de commande et de contrôle hautement interactif. Le pic de trafic DNS qui en résulte peut être un indicateur de tunneling DNS.

 

Tous ces facteurs peuvent être bénins en soi. Cependant, si une organisation présente plusieurs ou toutes ces anomalies, cela peut indiquer que le tunneling DNS logiciel malveillant est présent et actif au sein du réseau.

Comment se protéger contre les tunnels DNS

La protection contre le tunneling DNS nécessite un système avancé de prévention des menaces réseau capable de détecter et de bloquer cette tentative d'exfiltration de données. Un tel système doit inspecter le trafic du réseau et avoir accès à de solides renseignements sur les menaces pour permettre l'identification du trafic dirigé vers des domaines malveillants et du contenu malveillant qui peut être intégré dans le trafic DNS.

 

Les Pare-feu de nouvelle génération (NGFW) de Check Point offrent des capacités de pointe en matière de détection des menaces et de sécurité des réseaux. Pour en savoir plus sur les solutions de Check Point et sur la façon dont elles peuvent améliorer la sécurité du réseau de votre organisation, contactez-nous. Vous pouvez également  demander une démonstration pour voir Check Point NGFWs en action.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK