95% организаций столкнулись с кибератаками и уязвимостями, связанными с DNS. Как от них защититься?

Доменная инфраструктура или Domain Name System (DNS) представляет собой распределённую систему, которая преобразует понятные человеку имена в IP-адреса и тем самым обеспечивает быстрый поиск адреса получателя пакета информации. Проще говоря, DNS выполняет функцию «телефонной книги» для сети: вместо плохо запоминающихся четырех чисел IP-адреса сервера пользователю нужно запомнить понятное по смыслу доменное имя — система автоматически найдёт соответствующий IP-адрес и подключит его к нужному ресурсу.

Хотя кажется, что эта инфраструктура является необязательной – IP-адреса для обеспечения непрерывности взаимодействия в интернет важнее. Однако с распространением облачной идеологии, при которой ресурс находится в облаке по неизвестным адресам, которые динамически распределяются во время получения запроса, она также стала обязательной. В результате, проблемы в доступе к DNS-серверам доменов приравниваются к недоступности всей инфраструктуры, связанной с этим доменом.

Классическим примером такой атаки, которая была направлена на DNS-инфраструктуру, является инцидент с охранным агентством Delta, который случился в январе 2026 года. В нем были выведены из строя оба DNS-сервера для домена delta.ru, в результате все ресурсы этого агентства стали недоступны настолько, что пользователи сервисов компании не могли завести машины или войти в здания, которые находились под охраной этой структуры.

Опасности

Поскольку полностью заблокировать DNS-запросы для корпоративных пользователей невозможно, то злоумышленники стараются использовать эту технологию для решения своих целей – скрытого получения информации из корпоративной сети или управления проникшим внутрь вредоносным ПО. Такие атаки на инфраструктуру DNS можно разделить на следующие три категории:

●     Атаки на инфраструктуру DNS. Частично они направлены на вывод доменной инфраструктуры конкретных компанией или организаций из строя, а частично – на загрязнение локального кеша посторонними данными. Пример первого типа атак приведен выше. Для этого могут быть использованы как распределенные DoS-атаки (DNS-flood или DDoS) на сервера, так и эксплуатация уязвимостей в ПО DNS-серверов, которые выводят их из строя несколькими пакетами. Второй тип атак направлен на отравление кеша корпоративных серверов, в результате чего корпоративные пользователи обращаются не по реальным IP-адресам популярных сервисов, а через сервера-посредники, которые позволяют перехватывать и прослушивают трафик. Кроме того, домены могут быть перехвачены злоумышленниками, если их владельцы пропустят сроки регистрации.

●     Злоупотребление DNS-инфраструктурой. К этому типу можно отнести как DNS-туннелирование, так и усиление DDoS-атак с помощью незащищенных DNS-серверов. В первом случае протокол DNS используется для передачи секретной информации в DNS-запросах и ответах, что позволяет обойти правила фильтрации DLP. Секретный канал создается с помощью обращения изнутри корпоративной инфраструктуры к внешним специально подготовленным DNS-серверам. Второй вариант злоупотребления – использование DNS-серверов, которые без проверки отвечают на запрос трансфера зоны, для усиления DDoS-атак. Для этого злоумышленник посылает UDP-запрос, указывая в качестве адреса получателя уязвимы DNS-сервер, а в качестве получателя – IP-адрес жертвы. В результате ответ сервера обрушивается на ничего не подозревающую жертву и блокирует ее каналы связи.

●     Генерация доменов контрольных серверов.  (Domain Generation Algorithms – DGA). Это технология предназначена для обхода репутационных механизмов безопасности с помощью генерирования доменных имен по определенным правилам для подключения к контрольным серверам (C&C) зомби-сетей или злоумышленников. Эта технология используется в целенаправленных атаках, чтобы управлять зараженным компьютером (зомби) с помощью запросов к подконтрольным хакерам серверам.

Понятно, что простой фильтрацией DNS-запросов и ответов внешних серверов защититься от современных сложных атак уже невозможно. Согласно отчету Forrester за 2025 год 95% организаций столкнулись с кибератаками или уязвимостями, связанными с DNS, за последние 12 месяцев. В то же время Центробанк в своем отчете о компьютерных атаках на финансовый сектор в 2024 году заявил, что DNS-туннелирование – это самый популярный способ организации скрытого канала передачи данных.

Для защиты DNS инфраструктуры уже появился целый класс решений информационной безопасности, которые позволяют обнаружить все типы злоупотреблений и попыток разрушения DNS-инфраструктуры. Правда, речь идет, скорее, о защите от двух последних типов атак, поскольку атаки на саму инфраструктуру DNS лучше реализовать с помощью классических anti-DDoS-сервисов и правильной распределенной инфраструктуры самой DNS. В частности, не стоит пренебрегать созданием резервных DNS-серверов у специализированных провайдеров, которые часто связаны с регистраторами, для сохранения защищенной резервной копии собственной зоны.

Однако важно обеспечить защиту от злоупотреблений DNS-технологией и особенно от DGA, в которой все чаще начинают использовать искусственный интеллект.

Защитники

Собственно, перечисленные угрозы, которые несет DNS или которые направлены против доменной инфраструктуры, известны давно, поэтому отрасль уже разработала несколько методов защиты от вредоносной активности, направленной на эксплуатацию уязвимостей в DNS-протоколах.

В частности, появился целый ряд сервисов, которые позволяют защититься от атак на DNS. Речь не только о чистых DNS-серверах, типа хорошо запоминающегося IP-адреса 8.8.8.8, где расположен специальный сервис Google, а о защите от DDoS-атак на DNS-инфраструктуру. Обычно сервис очистки паразитного трафика или спама как раз меняет соответствующие DNS записи, чтобы перенаправить на себя неочищенный поток запросов. Он, как правило, с помощью фильтрации вредоносных запросов защищает от первого типа атак – на саму DNS-инфраструктуру.

Однако для защиты от двух других типов – злоупотребления DNS и DGA – он защитить не может. Для этого необходима фильтрация корпоративных DNS-запросов и ответов от внешних серверов. Именно так можно защититься и от DNS-туннелирования, и от обращения к контрольным серверам злоумышленников, и от усиления с помощью DNS-серверов. Такие решения есть в том числе и у российских разработчиков. В качестве примера можно привести SkyDNS, BI.Zone Secure DNS и KVILDNS. Есть и разработки иностранных производителей, которые сейчас в России не доступны.

Однако большая часть этих решений предполагают полную или частичную передачу корпоративного DNS трафика на внешние («облачные») серверы, поскольку именно там работают большинство механизмов принятия решений о вредоносности DNS-запросов и ответов. Однако далеко не всегда подобное поведение инструментов защиты допустимо. Не все компании готовы отдавать на сторону данные о своих DNS-запросах, поскольку они могут содержать конфиденциальную информацию.

Особняком стоит решение Efros DefOps Secure DNS (SDNS), которое представляет собой модуль для программного комплекса Efros DefOps, разработанного компанией «Газинформсервис». Впрочем, этот продукт можно установить и эксплуатировать отдельно. Оно обеспечивает решение следующих задач:

●     Защита корпоративной сети от DNS-туннелей и эксфильтрации данных;

●     Применение не только детерминированных способов фильтрации запросов, но и машинного обучения для выявления аномалий в трафике DNS для блокирования сложных атак;

●     Интеграции с SIEM системами для снятия нагрузки на работу операторов SOC.

Модуль работает сразу на нескольких уровнях. В первую очередь, в нем есть поддержка черных и белых списков. Далее DNS-трафик проходит анализ по сигнатурным правилам. На этом этапе, например, можно выявить атаки загрязнения локального кеша или детектировать конкретную технику использования зловредного ПО. В частности, модуль позволяет выявлять маячки Beacon вредоноса Cobalt Strike. И наконец, для купирования сложных и комплексных атак с помощью обнаружения аномалий в DNS-трафике используется модуль с технологией машинного обучения.

Причем SDNS может работать как в режиме активной блокировки, когда он ставится в разрыв DNS-трафика, так и для детектирования по копии трафика. Во втором случае он только анализирует DNS-трафик и выявляет в нем признаки нападения, но не может непосредственно заблокировать аномальный DNS-запрос. Этот режим предназначен для работы вместе с SIEM-платформами в центрах SOC, где блокировка вредоносной активности происходит на другом уровне и с помощью других инструментов.

Уникальность же разработки «Газинформсервис» в том, что сама модель машинного обучения устанавливается в инфраструктуре заказчика, что позволяет не только выявлять аномалии и работу DGA без обращения к внешним облачным сервисам, но и обучаться на реальных данных заказчика, которые не покидают периметра организации. Решение не требует регулярного обновления баз, но только локального переобучения на вновь полученных данных во время минимальной загрузки. Использование же технологий машинного обучения позволяет более эффективно выявлять вредоносную активность, поскольку и злоумышленники сейчас все чаще начинают применять различные модели ИИ, чтобы максимально затруднить обнаружение и блокирование их вредоносной активности.

Заключение

DNS сейчас является важной частью цифровой инфраструктуры организации, поэтому защита ее обязательна. А поскольку злоумышленники все чаще пользуются методами искусственного интеллекта для организации своих атак, то и в защитных механизмах также необходимо встраивать те же технологии. Одним из ключевых вариантов для быстрого внедрения искусственного интеллекта в механизмы защиты DNS инфраструктуры является применение Efros DefOps Secure DNS. Это поможет обеспечить непрерывность бизнеса, минимизировать сбои в ИТ инфраструктуре и предотвратить утечку данных за счет автоматического обнаружения DNS-атак.

Реклама. ООО «Газинформсервис», ИНН 7838017968, Erid: 2VtzqxMfXTt