Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 382

Tunelamento DNS

Revisado porCybersecurity entrepreneur & security researcher

O que é Tunelamento DNS?

Tunelamento DNSCanal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.


O tunelamento DNS abusa do fato de que o trafego DNS (UDP/TCP porta 53) e permitido em quase todos os lugares e raramente inspecionado em profundidade. O malware codifica bytes do payload em labels de subdominio (por exemplo, blocos base32 sob attacker.example.com) e o servidor autoritativo do atacante responde com registros TXT, CNAME, NULL ou A que carregam a resposta ou os comandos. Como a resolucao e recursiva, os dados saem mesmo quando o host so consegue alcancar um resolver interno e nunca toca diretamente no IP do atacante. Ferramentas como dnscat2, Iodine e o C2 DNS do Cobalt Strike implementam esse padrao; a vazao e baixa, mas furtiva.

Campanhas reais dependem disso. O backdoor SUNBURST de 2020 no SolarWinds Orion usou um algoritmo de geracao de dominios para construir subdominios de avsvmcloud.com e, em seguida, codificou o dominio interno do Active Directory da vitima e a lista de produtos de seguranca instalados nessas consultas DNS, como um canal de C2 bidirecional. As operacoes ligadas ao Ira OilRig/APT34 e DNSpionage tambem se apoiaram no tunelamento DNS para envio de tarefas e exfiltracao.

A deteccao se apoia em sinais que os atacantes tem dificuldade de esconder: alta taxa de consultas por host, labels excepcionalmente longos, alta entropia de subdominios (strings base32/base64/hex), tipos de registro atipicos como TXT ou NULL e dominios nunca vistos antes. As defesas incluem forcar todos os clientes a passar por resolvers controlados, bloquear a porta 53 de saida direta no firewall de saida, sinkholing DNS, limites de taxa de consultas e analitica de anomalias em EDR/NDR.

flowchart LR
  M[Infected host] -->|"data.b32label.attacker.com"| R[Internal resolver]
  R -->|recursive lookup| AUTH[Attacker authoritative NS]
  AUTH -->|"TXT/CNAME reply = command"| R
  R --> M
  AUTH -.reassembles.-> D[(Stolen data and C2)]

Exemplos

  1. 01

    Um host infectado envia consultas como a1b2c3.exfil.attacker.com cujos labels codificam dados roubados.

  2. 02

    O dnscat2 estabelece um shell baseado em TXT sobre DNS para contornar um proxy de saida que so libera HTTP.

Perguntas frequentes

O que é Tunelamento DNS?

Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados. Pertence à categoria Segurança de rede da cibersegurança.

O que significa Tunelamento DNS?

Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.

Como se defender contra Tunelamento DNS?

As defesas contra Tunelamento DNS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Tunelamento DNS?

Nomes alternativos comuns: DNS C2, Exfiltracao via DNS.

Termos relacionados

Ver também