什么是 DNS 隧道?

域名系统 (DNS) 是将人类友好的 URL(例如 paloaltonetworks.com)转换为机器友好的 IP 地址(例如 199.167.52.137)的协议。

DNS 是互联网的关键和基础协议。它通常被描述为“互联网电话簿”,因为它将域名映射到 IP 地址(以及协议核心 RFC 中描述的更多内容)。

Diagram depicting a simplified DNS operation

DNS 无处不在(而且经常不受监督),因此可以采用优雅而微妙的方法来通信和共享数据,超越了协议的意图。毫不奇怪,网络犯罪分子知道 DNS 被广泛使用和信任,这使得 DNS 安全解决方案非常重要。

此外,由于 DNS 并非用于数据泄露,因此许多企业不会监控其 DNS 流量是否存在恶意活动。结果就是,如果对公司网络发动基于 DNS 的攻击,其中许多类型都能奏效。DNS 隧道就是此类攻击之一。

DNS 隧道的工作原理

DNS 隧道攻击利用 DNS 协议通过客户端-服务器模型来为恶意软件和其他数据打通隧道。

  1. 攻击者注册一个域名,例如 badsite.com。域名服务器指向安装了隧道恶意软件程序的攻击者服务器。
  2. 攻击者用恶意软件感染通常位于公司防火墙后面的计算机。由于始终允许 DNS 请求进出防火墙,因此受感染的计算机可以向 DNS 解析器发送查询。DNS 解析器是将 IP 地址请求中继到根域服务器和顶级域服务器的服务器。
  3. DNS 解析器将查询路由到安装了隧道程序的攻击者的命令和控制服务器。现在,受害者和攻击者之间通过 DNS 解析器建立了连接。这个隧道可用于泄露数据或用于其他恶意目的。由于攻击者和受害者之间没有直接连接,因此追踪攻击者的计算机更加困难。

Diagram depicting how DNS tunneling works

DNS 隧道已经存在近 20 年了。Morto 和 Feederbot 恶意软件都已用于 DNS 隧道。最近的隧道攻击包括来自威胁团伙 DarkHydrus 和 OilRig 的攻击,前者在 2018 年瞄准了中东地区的政府实体,后者自 2016 年开始运作,目前仍在活跃中。

防止 DNS 隧道

DNS 是一个非常强大的工具,而且几乎无处不在,它允许应用程序和系统查找与之交互的资源和服务。DNS 提供了一个通信基础,使更高级别和更强大的协议能够发挥作用,但这可能意味着从安全角度来看被忽视,特别是当考虑到有多少恶意软件是通过电子邮件协议传递或使用 HTTP 从 Web 下载时。

出于这些原因,DNS 成了对手的最佳选择,因为对手需要一个始终开放、被忽视、被低估的协议,利用这个协议与被入侵的主机进行通信。

无论是使用 Palo Alto Networks 网络安全平台还是开源技术,企业都可以通过多种不同方式防御 DNS 隧道。防御可以采取多种不同的形式,例如但不限于以下形式:

  • 根据已知的声誉或感知到的危险来拦截域名(或 IP 或地理位置区域)。
  • 围绕“看起来很奇怪”的 DNS 查询字符串的规则。
  • 围绕出站和入站 DNS 查询的长度、类型或大小的规则。
  • 客户端操作系统的全面加固以及了解名称解析功能及其特定搜索顺序。
  • 用户和/或系统行为分析,可自动发现异常,例如正在访问新域,尤其是在访问方法和频率异常时。
  • Palo Alto Networks 最近推出了一项新的 DNS 安全服务,重点是拦截对恶意域名的访问。

DNS 安全最佳实践

  • 对安全人员进行培训和教育
    实施安全教育和意识计划,培训员工识别恶意威胁。鼓励员工在点击链接时要多加注意,避免安装恶意软件网络钓鱼培训可以帮助员工学习如何识别、规避和报告基于电子邮件的攻击。
  • 实施威胁情报计划
    了解威胁形势并建立威胁情报计划,了解攻击者当前使用的不同类型的威胁和技法。有了这些知识,就可以确保您已掌握相应的技术堆栈,从而保障您的网络安全。
  • 看看 DNS 数据能说明什么
    不要只看 DNS 流量。收集 DNS 数据日志没有什么价值,除非了解自己正在查看什么。通过理解数据,可以成功防止企业遭受前所未见的 DNS 层威胁。
  • 不要在 DNS 解析器上浪费时间
    如果 DNS 服务器被入侵,它可能会向您提供错误的响应,目的是将您的流量引导到其他被入侵的系统,或发动中间人攻击。
  • 规划远程工作的风险
    针对远程劳动力制定战略,因为这些人可能会将公司的敏感数据置于风险之中。警告不要使用不安全、免费或公共 Wi-Fi,因为攻击者可以轻松利用这种连接来攻击员工。集成多因素身份验证并为设备丢失或被盗的风险做好准备。
  • 全面解决网络安全问题
    采用整体网络安全方法,确保拥有适当的功能来应对网络中的各种威胁媒介,并轻松集成到整个安全堆栈中。在评估供应商解决方案时,重要的是要在概念证明中进行直接比较。环境各不相同,而目前尚无针对 DNS 层安全的供应商独立测试。
  • 自动响应而不仅仅是警报
    为了成功保护企业,您需要自动响应而不仅仅是警报。发动威胁的速度使警报和信号不起作用。当发现威胁时,可能为时已晚。您的安全系统必须能够自动确定威胁并隔离可能受感染的系统,防止遭到更严重的损害。为了确保您的企业遵循最佳实践并优化 Palo Alto Networks DNS Security 服务,请参加最佳实践评估。.

如何阻止攻击者使用 DNS 攻击您?阅读我们的白皮书,了解阻止 DNS 攻击的措施