DNS-туннели

19 декабря, 2025, 14:54

DNS-туннели (DNS Tunneling) — это техника злоумышленного использования протокола DNS для создания скрытого канала передачи данных, который обходит традиционные средства сетевой безопасности (межсетевые экраны, прокси-серверы). Атакующие инкапсулируют данные других протоколов (например, HTTP, SSH) в DNS-запросы и ответы, превращая DNS-сервер в прокси для несанкционированной передачи информации, управления ботами или обхода контроля доступа.

Возможности и принцип работы DNS-туннелей:

  • Обход ограничений сети: Во многих корпоративных сетях исходящий DNS-трафик (UDP/TCP порт 53) разрешен по умолчанию, в то время как другие протоколы (прямой HTTP, SSH) строго фильтруются. Туннелирование использует этот разрешенный канал.
  • Создание скрытого канала:
    1. Клиентская часть (на зараженном хосте): Преобразует украденные данные (логины, файлы) или команды управления в строку, которая кодируется в поддомене DNS-запроса (например, [encoded_data].tunnel.evil.com).
    2. DNS-запрос: Этот запрос отправляется на локальный корпоративный DNS-сервер, который перенаправляет его в интернет на авторитативный DNS-сервер злоумышленника.
    3. Серверная часть (у атакующего): Сервер evil.com извлекает закодированные данные из строки поддомена, декодирует их и может отправить ответ, также закодированный в DNS-ответе (часто в поле TXT-записи).
  • Цели использования:
  • Эксфильтрация данных (Data Exfiltration): Похищение конфиденциальной информации из внутренней сети небольшими порциями.
  • Командование и управление (C2): Скрытное управление ботнетом, когда боты периодически отправляют DNS-запросы для получения инструкций.
  • Обход контроля доступа: Получение доступа в интернет из строго контролируемой сети.

Обнаружение DNS-туннелей сложно, так как трафик маскируется под легитимный. Однако существуют признаки аномалий: аномально высокий объем DNS-трафика от одного хоста, запросы к необычным или подозрительным доменам, запросы нестандартных типов записей (TXT, NULL, KEY), запросы с очень длинными именами поддоменов. Для защиты используются специализированные системы обнаружения DNS-туннелейDNS-брандмауэры, анализ поведения DNS-трафика с помощью SIEM и UEBA, а также политики блокировки внешних DNS-запросов, кроме разрешенных корпоративных DNS-серверов.

Продолжение ниже

Боссы российского кибербеза

Упоминания