DNS-Tunneling
Was ist DNS-Tunneling?
DNS-TunnelingVerdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.
DNS-Tunneling missbraucht, dass DNS-Verkehr (UDP/TCP-Port 53) fast uberall erlaubt und selten tief inspiziert ist. Malware kodiert Nutzdaten in Subdomain-Labels (etwa Base32-Stucke unter attacker.example.com); der autoritative Server des Angreifers antwortet mit TXT-, CNAME- oder NULL-Records, die die Antwort oder Befehle enthalten. Werkzeuge wie dnscat2, Iodine oder das DNS-C2 von Cobalt Strike nutzen dieses Muster. Die Bandbreite ist gering, dafur tarnt es sich gut. Erkennung setzt auf hohe Anfragerate pro Host, ungewohnlich lange Labels, hohe Subdomain-Entropie, Base64-/Hex-Muster, untypische Record-Typen und Threat-Intel-Feeds. Schutz bieten DNS-Proxying, Sinkholing, Query-Rate-Limits, Anomalie-Analytics in EDR/NDR und das Blockieren unbekannter DNS-Resolver am Egress.
● Beispiele
- 01
Ein infizierter Host sendet Anfragen wie a1b2c3.exfil.attacker.com, deren Labels gestohlene Daten kodieren.
- 02
dnscat2 baut eine TXT-basierte Shell uber DNS auf und umgeht so einen reinen HTTP-Egress-Proxy.
● Häufige Fragen
Was ist DNS-Tunneling?
Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DNS-Tunneling?
Verdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.
Wie funktioniert DNS-Tunneling?
DNS-Tunneling missbraucht, dass DNS-Verkehr (UDP/TCP-Port 53) fast uberall erlaubt und selten tief inspiziert ist. Malware kodiert Nutzdaten in Subdomain-Labels (etwa Base32-Stucke unter attacker.example.com); der autoritative Server des Angreifers antwortet mit TXT-, CNAME- oder NULL-Records, die die Antwort oder Befehle enthalten. Werkzeuge wie dnscat2, Iodine oder das DNS-C2 von Cobalt Strike nutzen dieses Muster. Die Bandbreite ist gering, dafur tarnt es sich gut. Erkennung setzt auf hohe Anfragerate pro Host, ungewohnlich lange Labels, hohe Subdomain-Entropie, Base64-/Hex-Muster, untypische Record-Typen und Threat-Intel-Feeds. Schutz bieten DNS-Proxying, Sinkholing, Query-Rate-Limits, Anomalie-Analytics in EDR/NDR und das Blockieren unbekannter DNS-Resolver am Egress.
Wie schützt man sich gegen DNS-Tunneling?
Schutzmaßnahmen gegen DNS-Tunneling kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DNS-Tunneling?
Übliche alternative Bezeichnungen: DNS-C2, DNS-Exfiltration.
● Verwandte Begriffe
- network-security№ 1188
UDP
Ein verbindungsloses Transportprotokoll (RFC 768), das einzelne Datagramme mit minimalem Overhead zwischen Ports zustellt, ohne Zuverlassigkeits- oder Reihenfolgegarantien.
- attacks№ 335
DNS-Amplifikationsangriff
Reflection-DDoS, der offene DNS-Resolver missbraucht: kleine Anfragen mit gespooftem Quell-IP der Opfer-Adresse lösen große DNS-Antworten an das Opfer aus.
- attacks№ 338
DNS Hijacking
Angriff, der die DNS-Auflösung auf vom Angreifer kontrollierte Antworten umlenkt, indem Client-Einstellungen, Router-Konfigurationen, Resolver-Antworten oder autoritative DNS-Records geändert werden.
- attacks№ 337
DNS-Cache-Poisoning
Angriff, der gefälschte Einträge in den Cache eines DNS-Resolvers einschleust, sodass nachfolgende Abfragen bis zum TTL-Ablauf die vom Angreifer gewählten Adressen zurückgeben.
- network-security№ 508
ICMP
Steuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren.
- network-security№ 1112
Subdomain-Takeover
Angriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
● Siehe auch
- № 398Exfiltration
- № 407Fast Flux