最具破坏性的DNS攻击:DNS隧道

2020-04-30 17:11:31 云杰 110

最具破坏性的DNS攻击:DNS隧道


DNS隧道是隐蔽信道的一种,通过将其他协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS隧道也经常在僵尸网络和APT攻击中扮演着重要的角色。

域名系统或DNS是将人类友好的UR转换为机器友好的IP地址(例如199.168.11.132)的协议。网络罪犯知道DNS已被广泛使用和信任。此外,由于DNS并非用于数据传输,因此许多组织不会监视其DNS流量中是否存在恶意活动。结果,如果针对公司网络发起多种类型的基于DNS的攻击就可以有效。DNS隧道就是这样一种攻击。

 

DNS隧道依据其实现方式大致可分为直连和中继两类。

直连隧道用户端直接和指定的目标DNS服务器建立连接,然后将需要传输的数据编码封装在DNS协议中进行通信。这种方式的优点是具有较高速度,但蔽性弱、易被探测追踪的缺点也很明显。另外直连方式的限制比较多,如目前很多的企业网络为了尽可能的降低遭受网络攻击的风险,一般将相关策略配置为仅允许与指定的可信任DNS服务器之间的流量通过。

中继隧道:通过DNS迭代查询而实现的中继DNS隧道,这种方式及其隐秘,且可在绝大部分场景下部署成功。但由于数据包到达目标DNS服务器前需要经过多个节点的跳转,数据传输速度和传输能力较直连会慢很多。

 

DNS隧道如何工作

DNS隧道利用DNS协议通过客户端-服务器模型来隧道恶意软件和其他数据。

攻击者注册了一个域,例如baidu.com。域名服务器指向攻击者的服务器,在该服务器上安装了隧道恶意软件程序。

攻击者用恶意软件感染通常位于公司防火墙后面的计算机。由于始终允许DNS请求移入和移出防火墙,因此允许受感染的计算机向DNS解析器发送查询。DNS解析器是将IP地址请求中继到根域服务器和顶级域服务器的服务器。

DNS解析器将查询路由到安装了隧道程序的攻击者的命令和控制服务器。现在,通过DNS解析器在受害者和攻击者之间建立了连接。该隧道可用于泄露数据或用于其他恶意目的。由于攻击者和受害者之间没有直接连接,因此跟踪攻击者的计算机更加困难。