Co to jest DNS Tunneling?

DNS Tunneling to technika przesylania danych ukrytych wewnątrz zapytan i odpowiedzi DNS. Ponieważ ruch DNS jest rzadko blokowany przez firewalle, atakujący może wykorzystać go do komunikacji z serwerem C2, eksfiltracji danych lub uzyskania dostępu do internetu z ograniczonej sieci.

DNS Tunneling jest wykorzystywany przez zaawansowane malware do komunikacji z serwerami kontroli, omijajac zapory sieciowe i systemy wykrywania włamań. Może służyć też do kradzieży danych w sieciach z restrykcyjnymi regulami firewall.

Jak się chronić? Zapora sieciowa UTM z analiza ruchu DNS wykrywa anomalie charakterystyczne dla tunelowania. Monitorowanie długości i czestotliwosci zapytan DNS pomaga identyfikować podejrzany ruch.