杂谈DNS隧道攻与防

 

理论基础

域名系统或 DNS 是将URL地址（例如 baidu.com）转换为机器友好的 IP 地址（例如 192.168.11.11）的协议。网络攻击者基于DNS被广泛使用和信任。由于DNS 并非用于数据传输，因此许多公司不会监控其DNS 流量是否存在恶意活动。如果针对公司网络发起多种类型的基于DNS 的攻击，应该是一个很有效的攻击，DNS 隧道就是这样的一种攻击。

DNS的普遍性（以及经常缺乏审查）可以实现优雅而微妙的方法来通信和共享超出协议意图的数据。网络攻击者基于DNS被广泛使用和信任，这使得 DNS 安全解决方案变得非常重要。

 

DNS隧道工作原理

DNS 隧道技术已经存在很多年。Morto和Feederbot恶意软件都被用于DNS隧道。

DNS隧道攻击它是通过利用DNS协议通过客户端-服务器模型通过隧道传输恶意软件和其他数据。

1、攻击者注册域，例如 baidu.com,域的名称服务器指向安装了隧道恶意软件程序的攻击者的服务器。

2、攻击者用恶意软件感染用于公司防火墙的电脑。由于始终允许DNS请求移入和移出防火墙，因此允许受感染的计算机向 DNS 解析程序发送查询。DNS解析器是将 IP地址请求中继到根域服务器和顶级域服务器的服务器。

3、DNS解析器将查询路由，安装了隧道程序的攻击者的命令和控制服务器。现在通过 DNS 解析器在受害者和攻击者之间建立连接。此隧道可用于泄露数据或用于其他恶意目的。由于攻击者和受害者之间没有直接连接，因此很难跟踪攻击者的计算机。

 

防御DNS隧道攻击

DNS 是一个非常强大的工具，几乎无处不在，它允许应用程序和系统查找与之交互的资源和服务。DNS 提供了一个通信基础，使更高级别和更强大的协议能够运行，但从安全的角度来看，它可能意味着它被忽视了，尤其是当考虑通过电子邮件协议传递或使用 HTTP 从 Web 下载的恶意软件数量时。

由于这些原因，DNS 是寻求始终开放、被忽视和低估的协议来利用与受感染主机进行通信的对手的完美选择。

企业可以通过许多不同的方式防御DNS隧道，防御可以采取许多不同的形式，例如但不限于以下内容：

1、根据已知威胁或感知到的威胁阻止域名（或 IP 或地理位置区域）。

2、有关出站和入站 DNS 查询的长度、类型或大小的规则。

3、客户端操作系统的一般强化，了解名称解析功能及其特定的搜索顺序。

4、自动发现异常的用户和/或系统行为分析，例如访问新域，尤其是在访问方法和频率异常时。

 

DNS安全实践

 

1、对员工安全培训

实施安全教育和意识计划，以培训员工识别恶意威胁。鼓励他们在点击链接时采取预防措施，以避免安装恶意软件。网络钓鱼培训可以帮助他们学习识别、避免和报告基于电子邮件的攻击。

2、实施威胁情报计划

了解威胁形势并设置威胁情报计划，以了解攻击者目前使用的不同类型的威胁和技术。有了这些基础，可以确保拥有正确的技术堆栈来确保网络安全。

3、了解 DNS 数据可以告诉你什么

不要只看 DNS 流量。除非你了解正在查看的内容，否则收集 DNS 数据日志几乎没有价值。通过了解数据，可以成功防止企业受到前所未有的 DNS 层威胁。

4、不可延迟 DNS 解析器

如果 DNS 服务器遭到入侵，它可能会向你提供错误响应，旨在将你的流量定向到其他受感染的系统或启用中间人攻击。

5、为远程办公制定风险

做好规划远程工作的风险， 为远程员工制定安全策略，因为他们可能会将敏感的公司数据置于风险之中。警告他们不要使用不安全、免费或公共的 Wi-Fi，因为对手很容易将自己置于员工和连接点之间。集成多重身份验证，为设备丢失或被盗的风险做好准备。

6、全面处理网络安全

采用全面的网络安全方法，确保拥有适当的功能，可以解决网络中的各种威胁向量，并轻松集成到整个安全堆栈中。在评估供应商解决方案时，在概念证明中进行直接比较非常重要。每个环境都是不同的，并且尚未建立独立的供应商中立的DNS层安全性测试。

7、自动响应，而不仅仅是警报

若要成功保护组织，需要自动响应，而不仅仅是警报。执行威胁的速度使警报和信号无效。当识别出威胁时，可能已经太晚了。您的安全团队需要能够在造成更多损害之前自动确定威胁并隔离可能受感染的系统。为了确保您的组织遵循最佳实践并优化帕洛阿尔托网络 DNS 安全服务，请进行最佳实践评估。

 

阅读完毕

 

原文始发于微信公众号（安全架构）：杂谈DNS隧道攻与防