首页
Nav
产品服务
Nav
解决方案
Nav
技术支持
Nav
合作伙伴
Nav
前沿研究
Nav
购买方式
Nav
新闻资讯
Nav
关于 ZDNS
Nav
标准产品系列
数据中心产品系列
专业级产品系列
安全产品系列
销售-标准产品系列
销售2-标准产品系列
产品型号及规格图
高可靠专用硬件
网络核心设备
分布式权威解析
递归缓存解析
DNS安全防护
注册配置工作流
智能解析 ( DNS )
可视化地址管理
高可靠 DHCP SERVER
网络动态感知
地址实名审计
自动化地址管理 ( DHCP/IPAM )
海量弹性数据报表
业务导向报表
运营大数据分析 ( AM )
综合管理平台
私有云虚拟化
云管理和虚拟化
ZDNS Safeguard
DNS 云解析
动态流量调度
CDN Balance
DNS 云容灾
ZDNS Cloud
.brand 品牌顶级域名
域名管家
新版-.brand 品牌顶级域名
注册局安全锁
TMCH
SSL
DPML
AdultBlock
TLD
注册局业务监测云
注册商业务支撑云
注册局业务支撑云
注册局业务统计云
顶级域名云平台
域名审核云
企业域名资产管理云
攻防演练解决方案
性能优化-了解详情
互联网安全
混合云路由
互联网行业解决方案
本地化运营解决方案
顶级域名解决方案
大型企业解决方案
教育行业解决方案
广电行业解决方案
新华社
北京航空航天大学
恒丰银行
中国劳动关系学院
华数传媒
陕西师范大学
泰康人寿
中国石油
信创产品
中国民生银行
金融行业解决方案
新-大型企业
新版-金融行业解决方案
新版-广电解决方案
新版-教育
新版-政府
新版-大型企业
服务保障
培训认证
在线学院
已是合作伙伴
售后工程师认证政策
申请认证培训
申请认证考试
证书查询
合作伙伴培训与认证
解决方案1
技术资料
ZDNS云学堂
资源中心
合作伙伴渠道政策
前沿技术
顶级域名手册
行业研究
行业标准
100+专利
软著
新版-招贤纳士
新版-联系我们
news
联系我们
图片链接
招贤纳士
ZDNS客户
党建
党建专题
psirt
法律声明
云服务登录
WHOIS查询
400-6688-876
云安全登录
新闻详情
DNS云学堂 | DNS的隐秘角落,隐藏性极强的隧道攻击分析
3045
发表时间:2021-03-15 13:27
DNS是网络服务入口,是所有业务访问必经之路。正常业务要通过DNS访问服务,恶意程序也需要通过DNS外联。数据显示,近91.3%的恶意程序被发现使用DNS作为主要入侵手段。这是因为DNS本身的协议脆弱性导致其很容易被利用,且攻击者可以很好地隐藏自己。DNS隧道攻击就是攻击者经常使用的攻击手段之一,本期云学堂解析DNS隧道攻击的原理,分享判断隧道攻击的基本思路,
enjoy
:
DNS隧道攻击
原理及特点
基本原理示意图
DNS隧道攻击原理概述
利用DNS查询过程,将非法数据压缩编码封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)。
DNS隧道攻击的应用
攻击者通过C&C服务器完成点对点数据传播,或者植入木马、蠕虫、恶意软件等完成长期隐藏式的APT攻击。
DNS隧道攻击的优势
针对传统的安全设备,如网络防火墙等有较强的穿透性;DNS攻击成本相对较低,但攻击效果明显。
DNS隧道攻击特点
攻击者的流量数据封装在DNS协议中,传统安全设备较难发现,从流量数据包来看不容易被识别,不进行专业分析只会被认为是53端口DNS数据,隐蔽性较强。
利用DNS隧道攻击
示例
通过DNS隧道实现数据传输
恶意程序将控制指令封装在DNS协议中进行请求和响应交互,其中请求和响应中的真实控制指令均被编码成一段字符串。
通常发起请求的域名均采用Base64,Binary编码,NetBios编码、Hex编码等编码方式进行加密,为了传输更多的数据一般情况下采用TXT类型(DNS请求类型的一种)。所以防火墙和入侵检测设备处于正常递归出网的考虑很难做到对DNS流量的分析与过滤,因此,攻击者可以利用它实现诸如远程控制等攻击行为。
通过DNS隧道实现数据传输
DNS隧道除了可以实现恶意程序与C&C端的控制指令交互,还可以为攻击者提供一种永远可用的后方隧道来泄露窃取的资料或敏感数据。虽然受限于域名长度的限制,以及UDP传输的不可靠性,利用DNS隧道对外传输大的文件较难,但是传输重要的敏感信息已经足够。上述图中就展示了通过持续的子域名请求传送到控制端,然后在控制端将这些请求按照顺序拼接起来获取敏感数据。
在试验环境中通过Wireshark等抓包工具分析,可以看出利用DNS隧道传输文件的DNS报文交互过程具备以下特点:
请求一系列超长随机子域、请求的域名中包含序列号、高频率访问同一父域、请求应答包较大、请求频率加快、DNS流量剧增。
DNS隧道攻击判断
分析方法
目前,DNS隧道技术已经很成熟,相关工具也很多,而且不同工具也各具特色。目前比较活跃的有iodine,dnscat2,其他的还有DeNise,dns2tcp,Heyoka等等。
通过前面的介绍,我们不难发现DNS隧道攻击有着极强的伪装性。但是它们都有一个共性——请求和响应看起来都比较奇怪;那么我们该如何去检测?为此,针对DNS隧道攻击的原理及特征,我们梳理了判断攻击的思路方法:
建模特征对比分析
我们来看一下将以下特征进行建模对比:
域名长度、域名合法字符、域名RFC规则,建模特征对比
上行大包占请求报文比例,建模特征对比
下行小包占响应报文总数比例,建模特征对比
信息熵,建模特征对比
特征分析临界值
通过我们对不同场景下的建模分析,不难发现我们可以针对DNS隧道流量总结出一些特点即“临界值”,例如域名label字符串长度52、域名合法字符 a-z, A-Z, 0-9、上传下载比例 %500;同时满足会话报文总数大于20个等等。通过针对DNS隧道流量的检测我们匹配临界值即可做到一定有效的防御。
除此之外我们还可以从其他DNS携带特征、流量分析等层面进行分析从而达到防护的效果。
结语
DNS隧道是网络攻击者重要的“作案”手段,目前已经有很多公开的或未公开的利用工具。传统的安全防护手段中,没有针对DNS流量的防护策略,边界设备通常会将目标是53端口的流量放行,因此,如果对DNS流量不做任何的监管,则极有可能因忽视DNS安全防护,使企业花重金打造的安全体系成为“阿喀琉斯之踵”。
上一篇
顶级域名迎来历史性拍卖活动,ZDNS提供一站式服务
下一篇
金融行业市场占有率超五成,ZDNS筑牢金融科技网络根基
分享到:
_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
TLD
关于我们
招贤纳士
前沿研究
产品型号
服务保障
购买方式
解决方案
客户案例
解决方案
WOHIS 查询
服务保障
新顶级域申请
友情互联:
北龙中网
易企秀
_______________
_______________
_______________
_______________
_______________
_______________
______________
邮箱:web@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________
_______________
_______________
_______________
_______________
_______________
_____________
京ICP备15027496号-3
| 京公网安备11010802021115号 | All rights reserved
Hi 现场
购买方式
.fans官网
.ren官网
官方微信
DDI
顶级域名
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云
解析
新顶级域直通车
下一代DNS
法律声明