DNS-туннелирование
Что такое DNS-туннелирование?
DNS-туннелированиеСкрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации.
DNS-туннелирование злоупотребляет тем, что трафик DNS (UDP/TCP-порт 53) почти везде разрешён и редко глубоко проверяется. Вредоносное ПО кодирует байты полезной нагрузки в метках поддоменов (например, base32-фрагменты внутри attacker.example.com), а авторитетный сервер злоумышленника отвечает записями TXT, CNAME или NULL, содержащими ответ или команды. Этот приём используют dnscat2, Iodine и DNS-C2 в Cobalt Strike. Пропускная способность невелика, но канал скрытен. Обнаружение опирается на высокую частоту запросов с хоста, необычно длинные метки, высокую энтропию поддоменов, шаблоны base64/hex, нетипичные типы записей и TI-фиды. Защита включает DNS-прокси, sinkhole, ограничение скорости запросов, аналитику аномалий в EDR/NDR и блокировку неизвестных DNS-резолверов на исходящем межсетевом экране.
● Примеры
- 01
Заражённый хост отправляет запросы вида a1b2c3.exfil.attacker.com, в метках которых закодированы похищенные данные.
- 02
dnscat2 поднимает shell через TXT-записи DNS, обходя egress-прокси, разрешающий только HTTP.
● Частые вопросы
Что такое DNS-туннелирование?
Скрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DNS-туннелирование?
Скрытый канал, кодирующий произвольные данные в DNS-запросах и ответах на UDP/TCP-порту 53; часто используется для C2 и эксфильтрации.
Как работает DNS-туннелирование?
DNS-туннелирование злоупотребляет тем, что трафик DNS (UDP/TCP-порт 53) почти везде разрешён и редко глубоко проверяется. Вредоносное ПО кодирует байты полезной нагрузки в метках поддоменов (например, base32-фрагменты внутри attacker.example.com), а авторитетный сервер злоумышленника отвечает записями TXT, CNAME или NULL, содержащими ответ или команды. Этот приём используют dnscat2, Iodine и DNS-C2 в Cobalt Strike. Пропускная способность невелика, но канал скрытен. Обнаружение опирается на высокую частоту запросов с хоста, необычно длинные метки, высокую энтропию поддоменов, шаблоны base64/hex, нетипичные типы записей и TI-фиды. Защита включает DNS-прокси, sinkhole, ограничение скорости запросов, аналитику аномалий в EDR/NDR и блокировку неизвестных DNS-резолверов на исходящем межсетевом экране.
Как защититься от DNS-туннелирование?
Защита от DNS-туннелирование обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DNS-туннелирование?
Распространённые альтернативные названия: DNS C2, Эксфильтрация через DNS.
● Связанные термины
- network-security№ 1188
UDP
Транспортный протокол без установления соединения (RFC 768), доставляющий отдельные датаграммы между портами с минимальными накладными расходами, без гарантий надёжности и порядка.
- attacks№ 335
DNS-амплификация
Reflection-DDoS, использующий открытые DNS-резолверы: маленькие запросы с подделанным IP жертвы заставляют резолверы отправлять большие DNS-ответы жертве.
- attacks№ 338
Захват DNS
Атака, при которой DNS-разрешение перенаправляется на ответы под контролем злоумышленника через изменение настроек клиента, маршрутизатора, ответов резолвера или авторитативных DNS-записей.
- attacks№ 337
Отравление DNS-кэша
Атака, при которой в кэш DNS-резолвера внедряются поддельные записи, и до истечения TTL запросы возвращают адреса, выбранные злоумышленником.
- network-security№ 508
ICMP
Сетевой протокол управления и диагностики (RFC 792 для IPv4 и RFC 4443 для IPv6), которым узлы и маршрутизаторы сообщают об ошибках и состоянии пути.
- network-security№ 1112
Захват поддомена
Атака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен.
● См. также
- № 398Эксфильтрация
- № 407Fast flux