Tunelización DNS
¿Qué es Tunelización DNS?
Tunelización DNSCanal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP 53, muy utilizado para C2 y exfiltración de datos.
La tunelización DNS abusa de que el tráfico DNS (UDP/TCP puerto 53) suele estar permitido en todas partes y rara vez se inspecciona en profundidad. El malware codifica bytes de su carga útil en etiquetas de subdominio (por ejemplo, trozos en base32 bajo attacker.example.com) y el servidor autoritativo del atacante responde con registros TXT, CNAME o NULL que contienen la respuesta o los comandos. Herramientas como dnscat2, Iodine o el C2 DNS de Cobalt Strike usan este patrón. El ancho de banda es bajo pero discreto. La detección se apoya en tasas elevadas de consultas por host, etiquetas inusualmente largas, alta entropía de subdominios, patrones base64/hex, tipos de registro atípicos y feeds de threat intel. Las defensas incluyen DNS proxying, sinkhole, límites de tasa, analítica de anomalías en EDR/NDR y bloqueo de resolvers DNS desconocidos en el firewall de salida.
● Ejemplos
- 01
Un host infectado envía consultas como a1b2c3.exfil.attacker.com cuyas etiquetas codifican datos robados.
- 02
dnscat2 monta un shell basado en TXT sobre DNS para sortear un proxy de salida que sólo permite HTTP.
● Preguntas frecuentes
¿Qué es Tunelización DNS?
Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP 53, muy utilizado para C2 y exfiltración de datos. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Tunelización DNS?
Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP 53, muy utilizado para C2 y exfiltración de datos.
¿Cómo funciona Tunelización DNS?
La tunelización DNS abusa de que el tráfico DNS (UDP/TCP puerto 53) suele estar permitido en todas partes y rara vez se inspecciona en profundidad. El malware codifica bytes de su carga útil en etiquetas de subdominio (por ejemplo, trozos en base32 bajo attacker.example.com) y el servidor autoritativo del atacante responde con registros TXT, CNAME o NULL que contienen la respuesta o los comandos. Herramientas como dnscat2, Iodine o el C2 DNS de Cobalt Strike usan este patrón. El ancho de banda es bajo pero discreto. La detección se apoya en tasas elevadas de consultas por host, etiquetas inusualmente largas, alta entropía de subdominios, patrones base64/hex, tipos de registro atípicos y feeds de threat intel. Las defensas incluyen DNS proxying, sinkhole, límites de tasa, analítica de anomalías en EDR/NDR y bloqueo de resolvers DNS desconocidos en el firewall de salida.
¿Cómo defenderse de Tunelización DNS?
Las defensas contra Tunelización DNS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Tunelización DNS?
Nombres alternativos comunes: DNS C2, Exfiltración por DNS.
● Términos relacionados
- network-security№ 1188
UDP
Protocolo de transporte sin conexión (RFC 768) que entrega datagramas individuales entre puertos con muy poca sobrecarga, sin garantías de fiabilidad ni orden.
- attacks№ 335
Ataque de amplificación de DNS
Ataque DDoS por reflexión que abusa de resolutores DNS abiertos: envía pequeñas consultas con la IP de la víctima falsificada para que los resolutores le devuelvan grandes respuestas DNS.
- attacks№ 338
Secuestro de DNS
Ataque que redirige la resolución DNS a respuestas controladas por el atacante alterando ajustes del cliente, configuración del router, respuestas del resolutor o registros DNS autoritativos.
- attacks№ 337
Envenenamiento de caché DNS
Ataque que inserta registros falsos en la caché de un resolutor DNS, de modo que las consultas devuelven direcciones del atacante hasta que expire el TTL.
- network-security№ 508
ICMP
Protocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino.
- network-security№ 1112
Apropiación de subdominio
Ataque en el que un registro DNS huérfano (a menudo un CNAME) apunta a un recurso cloud o SaaS no reclamado, permitiendo a un atacante registrarlo y suplantar el subdominio.
● Véase también
- № 398Exfiltración
- № 407Fast flux