What is DNS Tunneling?

The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.

取得示範 NGFW 購買指南

What is DNS Tunneling?

什麼是 DNS?

簡而言之,DNS 是互聯網的電話目錄。 瀏覽網路時,大多數使用者喜歡輸入他們想要造訪的網站的網域或網址(例如https://www.checkpoint.com )。但是,互聯網的服務器和基礎架構使用 IP 位址來識別流量的目的地並將其路由到那裡。

 

DNS 提供網域名稱和 IP 位址之間的轉換。 它組織為具有不同子域的服務器的階層系統。 訪問網站 checkpoint.com 的訪客會詢問 .com 檢查點網站 DNS 伺服器的 IP 位址的 DNS 伺服器。 然後,對此 DNS 服務器的第二個請求將提供託管所需網頁的服務器的 IP 位址。 用戶現在可以訪問他們所需的網站。

DNS 隧道如何運作?

DNS 是互聯網的基本協議之一。 沒有它提供的查找服務,幾乎不可能在互聯網上找到任何東西。 要訪問網站,您需要知道託管它的服務器的確切 IP 地址,這是不可能的。 因此,DNS 流量是互聯網上最受信任的流量之一。 組織允許其通過防火牆(入站和出站),因為內部員工需要訪問外部站點,外部用戶需要找到他們的網站。

 

DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.

 

DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.

偵測 DNS 隧道攻擊

DNS 隧道涉及濫用基礎 DNS 通訊協定。 惡意軟體不是使用 DNS 請求和回覆來執行合法的 IP 位址查找,而是使用它的處理程序來實現命令和控制通道。

 

DNS 的靈活性使其成為數據洩漏的好選擇;但是,它有其限制。 網路上 DNS 隧道的一些指標可能包括:

  • 異常域請求: DNS 隧道惡意軟體在請求的網域名稱(如 DATA_HERE.baddomain.com)中對資料進行編碼。在 DNS 要求中檢查要求的網域名稱可能會使組織能夠區分合法流量與嘗試的 DNS 隧道。
  • 異常網域的請求:僅當攻擊者擁有目標網域,以便 DNS 請求轉到其 DNS 伺服器時才能運作 DNS 隧道。 如果組織遇到對異常網域的請求突然增加,則可能表示 DNS 通道,尤其是如果該網域只是最近建立的。
  • 高 DNS 流量:DNS 請求中的網域名稱大小上限為 253 個字元。 這意味著攻擊者可能需要大量惡意 DNS 請求來執行資料外洩或實作高度互動的命令和控制通訊協定。 因此,DNS 流量的突發可能是 DNS 隧道的指標。

 

所有這些因素本身都可能是良性的。 但是,如果組織遇到多個或所有這些異常情況,則可能表示 DNS 隧道惡意軟體在網路中存在且處於活動狀態。

如何防範 DNS 隧道

防禦 DNS 隧道需要先進的網路威脅防護系統,能夠偵測並阻止這種資料外洩嘗試。這樣的系統需要對網路流量進行檢查,並能夠存取強大的威脅情報,以支援識別指向惡意網域的流量以及可能嵌入在 DNS 流量中的惡意內容。

 

Check Point 的次世代防火牆(NGFW) 提供業界領先的威脅偵測和網路安全功能。要了解有關 Check Point 解決方案以及它們如何提高您組織的網路安全性的更多信息,請聯絡我們。我們也歡迎您要求演示,以了解 Check Point NGFW 的實際運作。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明