Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 382

DNS-Tunneling

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist DNS-Tunneling?

DNS-TunnelingVerdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.


DNS-Tunneling missbraucht, dass DNS-Verkehr (UDP/TCP-Port 53) fast uberall erlaubt und selten tief inspiziert wird. Malware kodiert Nutzdaten-Bytes in Subdomain-Labels (etwa Base32-Stucke unter attacker.example.com), und der autoritative Server des Angreifers antwortet mit TXT-, CNAME-, NULL- oder A-Records, die die Antwort oder Befehle tragen. Da die Auflosung rekursiv erfolgt, fliessen die Daten selbst dann ab, wenn der Host nur einen internen Resolver erreichen kann und die IP des Angreifers nie direkt beruhrt. Werkzeuge wie dnscat2, Iodine und das DNS-C2 von Cobalt Strike setzen dieses Muster um; der Durchsatz ist gering, dafur tarnt es sich gut.

Reale Kampagnen verlassen sich darauf. Die SUNBURST-Backdoor von 2020 in SolarWinds Orion nutzte einen Domain-Generation-Algorithmus, um Subdomains von avsvmcloud.com zu bilden, und kodierte dann die interne Active-Directory-Domane des Opfers sowie die Liste der installierten Sicherheitsprodukte als bidirektionalen C2-Kanal in diese DNS-Abfragen. Die mit dem Iran verbundenen Operationen OilRig/APT34 und DNSpionage stutzten sich ebenfalls auf DNS-Tunneling fur Befehlsubertragung und Exfiltration.

Die Erkennung beruht auf Signalen, die Angreifer schwer verbergen konnen: hohe Anfragerate pro Host, ungewohnlich lange Labels, hohe Subdomain-Entropie (Base32-/Base64-/Hex-Zeichenketten), untypische Record-Typen wie TXT oder NULL und nie zuvor gesehene Domanen. Schutzmassnahmen umfassen das erzwungene Leiten aller Clients uber kontrollierte Resolver, das Blockieren des direkten ausgehenden Ports 53 an der Egress-Firewall, DNS-Sinkholing, Query-Rate-Limits und Anomalie-Analytics in EDR/NDR.

flowchart LR
  M[Infected host] -->|"data.b32label.attacker.com"| R[Internal resolver]
  R -->|recursive lookup| AUTH[Attacker authoritative NS]
  AUTH -->|"TXT/CNAME reply = command"| R
  R --> M
  AUTH -.reassembles.-> D[(Stolen data and C2)]

Beispiele

  1. 01

    Ein infizierter Host sendet Anfragen wie a1b2c3.exfil.attacker.com, deren Labels gestohlene Daten kodieren.

  2. 02

    dnscat2 baut eine TXT-basierte Shell uber DNS auf und umgeht so einen reinen HTTP-Egress-Proxy.

Häufige Fragen

Was ist DNS-Tunneling?

Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.

Was bedeutet DNS-Tunneling?

Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.

Wie schützt man sich gegen DNS-Tunneling?

Schutzmaßnahmen gegen DNS-Tunneling kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für DNS-Tunneling?

Übliche alternative Bezeichnungen: DNS-C2, DNS-Exfiltration.

Verwandte Begriffe

Siehe auch