Что такое DNS-туннелирование и как его предотвратить

Пакеты данных DNS часто не проверяются и могут содержать конфиденциальную информацию в случае взлома. Вот способы обнаружения и предотвращения атак с туннелированием DNS.

Сервер доменных имен (DNS) — это сервер, который сопоставляет IP-адреса с именем домена. Поскольку невозможно запомнить длинный IP-адрес каждого домена, например www.itechtics.com, DNS автоматически предоставляет соответствующий IP-адрес для доменного имени, выполняя поиск.

DNS-туннелирование — это тип кибератаки, при которой злоумышленник пользуется тем фактом, что большая часть DNS-трафика не контролируется и может легко обойти даже самые сложные брандмауэры. При такой атаке украденная информация инкапсулируется в DNS-запросах и ответах, и, таким образом, брандмауэры позволяют ей проходить незамеченной.

Независимо от того, являетесь ли вы домашним пользователем или сотрудником организации, вы можете стать жертвой туннелирования DNS. Поскольку эту кибератаку трудно обнаружить, в ваших интересах знать, что это такое, как она работает, как обнаружить атаку с туннелированием DNS и как ее предотвратить.

Что такое DNS-туннелирование?

DNS-туннелирование — это форма кибератаки, при которой похищается конфиденциальная информация. Обычно эта информация находится за безопасными брандмауэрами, и к ней невозможно получить доступ обычными несанкционированными методами. Таким образом, злоумышленникам необходимо применить более отчаянный подход и украсть эту информацию с помощью туннелирования DNS.

При туннелировании DNS злоумышленник заражает целевой компьютер вредоносным ПО, которое затем устанавливает соединение с DNS-сервером злоумышленника, откуда он контролирует трафик. Таким образом, пакеты данных DNS, которые остаются неконтролируемыми и незамеченными за брандмауэрами, содержат конфиденциальную информацию, которая переправляется злоумышленнику.

Входящие пакеты DNS содержат команды, а исходящие пакеты DNS содержат конфиденциальную информацию, необходимую злоумышленнику. Злоумышленник также может получить домен, сервер домена которого используется для перенаправления трафика на DNS-сервер злоумышленника.

Поскольку обычный DNS-трафик использует порт номер 53, любые данные, инкапсулированные с теми же данными, также будут автоматически использовать тот же порт.

Как работает DNS-туннелирование

Туннелирование DNS работает по модели клиент-сервер. Злоумышленнику нужен DNS-сервер, который находится под его контролем, и клиентский компьютер, который он может использовать. При выполнении туннельной атаки DNS необходимо выполнить несколько шагов.

  1. Злоумышленник получает домен

    Первым шагом процесса является получение домена для вредоносных целей. Злоумышленник приобретает домен, сервер имен которого затем используется для перенаправления трафика на DNS-сервер, контролируемый злоумышленником.

  2. Настройте DNS-сервер

    Следующим этапом процесса является настройка DNS, который находится под контролем злоумышленника. Используя этот DNS, злоумышленник связывается с клиентским устройством, которое было скомпрометировано.

  3. Злоумышленник устанавливает вредоносное ПО

    Еще одним важным шагом в атаке является запуск вредоносного ПО на клиентском устройстве. Обычно это устройство находится за брандмауэром организации, поэтому для установки вредоносного ПО необходимо использовать другие методы, например фишинг.

    Клиентский ПК отправляет запрос DNS-преобразователю, и, поскольку ограничений на DNS-трафик нет, пакеты данных перенаправляются на вредоносный DNS-сервер, а не на легитимный.

  4. DNS-туннельная атака осуществлена.

    После того как соединение с DNS-контроллером злоумышленника установлено, он продолжает отправлять пакеты данных туда и обратно, отправляя команды и получая конфиденциальные данные.

Именно так осуществляется туннельная атака DNS. Теперь, если у специалистов по безопасности организации будет острый глаз, они смогут определить, что атака осуществляется. Однако, если у них нет базовой подготовки и надлежащих проверок безопасности, злоумышленник может продолжать отправлять DNS-пакеты туда и обратно, не будучи обнаруженным.

Как обнаружить и предотвратить туннелирование DNS

Как упоминалось ранее, DNS-туннелирование представляет собой атаку, которую трудно обнаружить, поскольку все процессы происходят в фоновом режиме. Пакеты DNS крошечные, и поэтому клиентское устройство не дает существенной информации о том, используются ли ресурсы или полоса пропускания в значительной степени.

Кроме того, большинству брандмауэров разрешено пропускать почти все DNS-запросы, поскольку пользователь потенциально может найти любое доменное имя. Таким образом, без надлежащего мониторинга даже межсетевые экраны пропускают вредоносный DNS-трафик.

Следовательно, единственный способ контролировать DNS-туннелирование — это постоянное наблюдение за DNS-трафиком. Существуют инструменты мониторинга DNS и анализа полезной нагрузки, которые разделяют пакеты данных, чтобы увидеть, что находится внутри. Вот несколько известных инструментов мониторинга DNS:

Используя эти инструменты, вы можете постоянно следить за своим DNS-трафиком и устанавливать оповещения о любых нерегулярных действиях. Обратите внимание, что некоторые из этих инструментов глубокой проверки пакетов могут вызывать задержки, что приводит к снижению скорости интернета, поскольку этим инструментам необходимо разбивать пакеты и проверять их на наличие вредоносного содержимого.

С помощью этих инструментов вы можете отслеживать следующие характеристики DNS-пакетов:

  • Необычные доменные запросы: Данные закодированы в запрошенном доменном имени, которое может показаться необычным, например «Data_Content.maliciousdomain.com», и такой трафик может помочь вам отличить законный и вредоносный DNS-трафик.
  • Редкие доменные имена: DNS-туннелирование работает только в том случае, если у злоумышленника есть собственный DNS. Если вы видите необычные доменные имена в пакетах DNS, это потенциально может указывать на туннельную атаку DNS.
  • Необычно высокий DNS-трафик: Внезапные всплески трафика DNS могут означать потенциальную атаку туннелирования DNS, поскольку злоумышленник общается со скомпрометированным клиентом через пакеты данных DNS.

Это то, на что вам следует обратить внимание в случае атаки туннелирования DNS. Для превентивного предотвращения атаки рекомендуется использовать следующие рекомендации:

  • Блокируйте печально известные домены и IP-адреса

    Вы можете использовать черные списки, чтобы заблокировать доступ к уже известным вам вредоносным доменам и IP-адресам. В Интернете имеется множество информации об известных атаках, а также о доменах/IP-адресах, использованных во время этих атак. Таким образом, вы можете заранее блокировать возможные атаки туннелирования DNS.

  • Установите правила брандмауэра, чтобы блокировать определенные DNS-запросы.

    Вы можете настроить правила в брандмауэре для автоматической блокировки DNS-трафика, если внутри каких-либо пакетов обнаружены определенные строки данных. Аналогичным образом вы также можете блокировать трафик в зависимости от длины, типа и размера входящих или исходящих DNS-запросов.

  • Проведите обучение по фишингу

    Поскольку один из этапов успешной туннельной атаки DNS включает установку вредоносного ПО на клиентское устройство, вы должны убедиться, что все сотрудники организации прошли достаточную подготовку для защиты своих активов и данных от методов фишинга и целевого фишинга.

  • Используйте передовые инструменты мониторинга сети

    Постоянный мониторинг сети является критически важным компонентом как для обнаружения, так и для предотвращения атак туннелирования DNS, в противном случае они могут остаться незамеченными. Поэтому рекомендуется использовать сложный инструмент сетевого мониторинга, который предупреждает специалистов по безопасности при обнаружении аномалии.

Заключение

DNS-туннелирование, пожалуй, самая простая форма кибератаки. Тем не менее, он по-прежнему один из самых полезных для здоровья. В этой статье рассказывается все, что нужно знать об атаках с туннелированием DNS, в том числе о том, как они работают и какие шаги для этого необходимо предпринять. Он также информирует вас о способах предотвращения атак туннелирования DNS, чтобы вы не стали их жертвой.

Как для обнаружения, так и для предотвращения атак туннелирования DNS рекомендуется использовать инструменты профессионального уровня для мониторинга сети и анализа полезной нагрузки для мониторинга DNS-трафика. Эти инструменты обычно платные, поэтому их используют только крупные организации.

В любом случае, если вы стали жертвой такой атаки, рекомендуется принять необходимые превентивные меры, защитить свои активы даже за брандмауэром и использовать такие сложные инструменты.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *