Tunelamento DNS
O que é Tunelamento DNS?
Tunelamento DNSCanal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
O tunelamento DNS abusa do fato de que o trafego DNS (UDP/TCP porta 53) e quase sempre permitido e raramente inspecionado em profundidade. O malware codifica bytes do payload em labels de subdominio (por exemplo, blocos base32 sob attacker.example.com) e o servidor autoritativo do atacante responde com registros TXT, CNAME ou NULL contendo a resposta ou os comandos. Ferramentas como dnscat2, Iodine ou o C2 DNS do Cobalt Strike usam esse padrao. A largura de banda e baixa, mas o canal e furtivo. A deteccao se apoia em alta taxa de consultas por host, labels muito longos, alta entropia de subdominios, padroes base64/hex, tipos de registro atipicos e feeds de threat intel. As defesas incluem proxy DNS, sinkholing, limites de taxa, analitica de anomalias em EDR/NDR e bloqueio de resolvers desconhecidos no firewall de saida.
● Exemplos
- 01
Um host infectado envia consultas como a1b2c3.exfil.attacker.com cujos labels codificam dados roubados.
- 02
O dnscat2 estabelece um shell baseado em TXT sobre DNS para contornar um proxy de saida que so libera HTTP.
● Perguntas frequentes
O que é Tunelamento DNS?
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Tunelamento DNS?
Canal encoberto que codifica dados arbitrarios em consultas e respostas DNS na UDP/TCP 53, frequentemente usado para comando e controle e exfiltracao de dados.
Como funciona Tunelamento DNS?
O tunelamento DNS abusa do fato de que o trafego DNS (UDP/TCP porta 53) e quase sempre permitido e raramente inspecionado em profundidade. O malware codifica bytes do payload em labels de subdominio (por exemplo, blocos base32 sob attacker.example.com) e o servidor autoritativo do atacante responde com registros TXT, CNAME ou NULL contendo a resposta ou os comandos. Ferramentas como dnscat2, Iodine ou o C2 DNS do Cobalt Strike usam esse padrao. A largura de banda e baixa, mas o canal e furtivo. A deteccao se apoia em alta taxa de consultas por host, labels muito longos, alta entropia de subdominios, padroes base64/hex, tipos de registro atipicos e feeds de threat intel. As defesas incluem proxy DNS, sinkholing, limites de taxa, analitica de anomalias em EDR/NDR e bloqueio de resolvers desconhecidos no firewall de saida.
Como se defender contra Tunelamento DNS?
As defesas contra Tunelamento DNS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tunelamento DNS?
Nomes alternativos comuns: DNS C2, Exfiltracao via DNS.
● Termos relacionados
- network-security№ 1188
UDP
Protocolo de transporte sem conexao (RFC 768) que entrega datagramas individuais entre portas com sobrecarga minima, sem garantias de confiabilidade ou ordem.
- attacks№ 335
Ataque de amplificação de DNS
Ataque DDoS por reflexão que abusa de resolvers DNS abertos enviando consultas pequenas com o IP da vítima falsificado, fazendo com que enviem grandes respostas DNS à vítima.
- attacks№ 338
Sequestro de DNS
Ataque que redireciona a resolução de DNS para respostas controladas pelo atacante, alterando definições do cliente, configurações do router, respostas do resolver ou registos DNS autoritativos.
- attacks№ 337
Envenenamento de cache DNS
Ataque que insere registos forjados na cache de um resolver DNS, fazendo com que consultas seguintes devolvam endereços do atacante até expirar o TTL.
- network-security№ 508
ICMP
Protocolo de controle e diagnostico da camada de rede (RFC 792 para IPv4 e RFC 4443 para IPv6) usado por hosts e roteadores para reportar erros e sinalizar condicoes do caminho.
- network-security№ 1112
Tomada de subdominio
Ataque em que um registro DNS orfao (geralmente um CNAME) aponta para um recurso de nuvem ou SaaS nao reivindicado, permitindo que um atacante o registre e personifique o subdominio.
● Veja também
- № 398Exfiltração
- № 407Fast flux