新闻详情

DNS云学堂 | 入口保卫战,探究DNS隧道“隐秘的角落”

66
发表时间:2020-07-15 10:40作者:ZDNS

DNS在整个互联网体系中处于入口的重要位置,近年来利用或针对DNS的网络攻击呈愈演愈烈之势,而DNS隧道就是其中典型的攻击形式。DNS隧道指基于DNS封装其他协议(例如SSH、HTTP或自定义私有协议)的方法。利用DNS隧道窃取数据已成为APT攻击的重要组成部分,而DNS服务端口UDP 53通常不会被防火墙管控,这也为攻击者利用DNS进行隐蔽通信提供了便利的条件。


DNS隧道已经存在很长时间,常见的攻击工具包括dns2tcp、dnscat2、Iodine、OzymanDNS、SplitBrain、TCP overDNS、TUNS等,如何有效的检测和防护DNS隧道是一个值得高度关注的问题。本文以dnscat2和dns2tcp开源工具为基础,搭建实验环境并模拟泄露过程,分析其通信数据,分享针对DNS隧道可能的防护维度(工具的搭建过程不在本文介绍范畴)。enjoy:


dns2tcp环境搭建示例:


server端启动服务


client端连接建立会话


数据传输:


client启用远程nc服务


server端启动接收


client端发起数据传输


实验使用同一个文件进行测试,dns2tcp和dnscat2文件传输过程抓包数据如下:


dns2tcp泄露文件通信过程(部分)


dnscat2泄露文件通信数据(部分)


结合以上抓包数据以及DNS协议的元数据(如域名、请求应答类型、IP、应答信息等)分析,可以得到以下针对DNS隧道的防护手段:

1.请求域名检测:
随机域名:从报文可以看到,请求的数据中存在大量随机域名,随机域名是传输文件信息的载体,通过随机域名将信息发送到服务器,再重组资料。通过对随机域名的分析和检测可以及时判断异常的DNS请求行为;

威胁情报:域名的随机性更多体现在构造的子域名上,但域名后缀也可以作为一个检测的维度,如果攻击关联非法组织,可以通过威胁情报做一层过滤,及时阻断外联;

2.应答内容分析:利用DNS隧道通信,response的信息中会包含大量的控制信息,这些信息加密后,与正常应答信息对比也存在较大差异,也可以作为一个异常判定的维度。

3.请求和应答类型检测:本次测试主要以TXT类型完成,因为TXT单次请求相对于A和AAAA可以传输更多的数据。对于利用DNS泄露数据检测,TXT类型可以作为一种检测维度,持续高频的TXT类型请求通常比较少见,但其并非唯一的检测类型,dnscat2可通过A、AAAA、CNAME、MX、TXT多种类型请求外传,对这些常见请求类型泄露数据的检查,还需配合其它策略判定。

4.请求频率监控:利用隧道传输数据基本上采用尽力而为的方式完成传输,所以在传输数据时,会在短时间高频次发生请求。如果传输文件较大,这种高频传输会更加明显。

5.请求数据包大小过滤:本次测试传输文件的每个请求数据包都在200byte以上,通常合法的DNS请求包在100byte以下,一般不会超过这个阈值或不会持续高频超过。

6.负载分析:通过DNS隧道传输数据,请求数据包大小和应答数据包短时间内快速增大,超出正常请求状态的数据包大小,可以通过提前训练并存储域名正常请求状态下的负载,对比实现异常DNS请求行为的判定。

7.异常流量监控:流量检测与负载检测相似,也是基于异常流量分析DNS隧道行为,但是流量分析需依赖更多的报文交互,而且容易误判,更侧重于事后人为研判。

综上所述,DNS隧道的防护是需要多维度策略综合研判,最终输出评估结果,但各维度判定的阈值、分析窗口等需要长期的训练甚至结合实际业务请求进行评估,同时DNS隧道防护需要权衡防护的时效性以及降低误判率,还要保证解析性能,而且DNS隧道防护还有更多其他维度,是一个综合性较强的研究内容。

而放大到整个DNS的安全防护,将是一个更复杂的问题。ZDNS研发的Safeguard安全威胁管控系统提供了一个系统解决DNS安全难题的方案,通过DNS协议深度防护和威胁情报检测技术,扼住网络通信的咽喉要道,保护合规业务正常通信,阻断网络攻击外联,成为保障网络应用安全访问的“门神”。


_______________
_______________
_______________
_______________
友情互联:
___________________________________________________________________________________________________________________
邮箱:web@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
___________________________________________________________________________________________________________________
京ICP备15027496号-3 | 京公网安备11010802021115号 | All rights reserved
扫码了解更多详情
DNS 云解析