The Domain Name System (DNS) protocol is one of the most widely used and trusted protocols on the Internet. However, DNS tunneling attacks abuse this protocol to sneak malicious traffic past an organization’s defenses. By using malicious domains and DNS servers, an attacker can use DNS to evade network defenses and perform data exfiltration.
簡而言之,DNS 是互聯網的電話目錄。 瀏覽網路時,大多數使用者喜歡輸入他們想要造訪的網站的網域或網址(例如https://www.checkpoint.com )。但是,互聯網的服務器和基礎架構使用 IP 位址來識別流量的目的地並將其路由到那裡。
DNS 提供網域名稱和 IP 位址之間的轉換。 它組織為具有不同子域的服務器的階層系統。 訪問網站 checkpoint.com 的訪客會詢問 .com 檢查點網站 DNS 伺服器的 IP 位址的 DNS 伺服器。 然後,對此 DNS 服務器的第二個請求將提供託管所需網頁的服務器的 IP 位址。 用戶現在可以訪問他們所需的網站。
DNS 是互聯網的基本協議之一。 沒有它提供的查找服務,幾乎不可能在互聯網上找到任何東西。 要訪問網站,您需要知道託管它的服務器的確切 IP 地址,這是不可能的。 因此,DNS 流量是互聯網上最受信任的流量之一。 組織允許其通過防火牆(入站和出站),因為內部員工需要訪問外部站點,外部用戶需要找到他們的網站。
DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.
DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.
DNS 隧道涉及濫用基礎 DNS 通訊協定。 惡意軟體不是使用 DNS 請求和回覆來執行合法的 IP 位址查找,而是使用它的處理程序來實現命令和控制通道。
DNS 的靈活性使其成為數據洩漏的好選擇;但是,它有其限制。 網路上 DNS 隧道的一些指標可能包括:
所有這些因素本身都可能是良性的。 但是,如果組織遇到多個或所有這些異常情況,則可能表示 DNS 隧道惡意軟體在網路中存在且處於活動狀態。
反映意見