説明
ドメイン ネーム システム (DNS) は、securitytut.com などの人間にわかりやすい URL を 183.33.24.13 などの IP アドレスに変換するプロトコルです。DNS メッセージは各通信の開始としてのみ使用され、データ転送を目的としていないため、多くの組織は DNS トラフィックに悪意のあるアクティビティがないか監視していません。その結果、DNS ベースの攻撃がネットワークに対して開始された場合に効果を発揮する可能性があります。DNS トンネリングもそのような攻撃の 1 つです。
DNS トンネリングの例を以下に示します。
攻撃者は、多数のオープンソース DNS トンネリング キットの 1 つを、権威ある DNS ネームサーバー (NS) と悪意のあるペイロードに組み込みます。
2. IP アドレス (例: 1.2.3.4) が攻撃者のインフラストラクチャから割り当てられ、ドメイン名 (例: Attackerdomain.com) が登録または再利用されます。レジストラは、トップレベル ドメイン (.com) ネームサーバーに、攻撃者ドメイン.com へのリクエストを、DNS レコードが 1.2.3.4 にマップされている ns.攻撃者ドメイン.com に参照するように通知します。
3. 攻撃者は、悪意のあるペイロードを使用してシステムを侵害します。目的のデータが取得されると、ペイロードはデータを短い文字列 (3KJ242AIE9、P028X977W など) に分割された一連の 32 文字 (0 ~ 9、A ~ Z) としてエンコードします。
4. ペイロードは、各文字列をドメイン名の一部として攻撃者のドメインに対して数千件の一意の DNS レコード リクエストを開始します (例: 3KJ242AIE9.attacherdomain.com)。攻撃者の忍耐力とステルス性に応じて、不審なネットワーク アクティビティを回避するために、リクエストを数日または数か月にわたって間隔をあけて送信することができます。5. リクエストは再帰 DNS リゾルバーに転送されます。解決中に、リクエストは攻撃者の権威 DNS ネームサーバー 6 に送信されます。トンネリング キットは、エンコードされた文字列を解析し、抽出されたデータを再構築します。参照: https://learn-umbrella.cisco.com/i/775902-dns-tunneling/0
5. リクエストは再帰 DNS リゾルバーに転送されます。解決中に、リクエストは攻撃者の権限のある DNS ネームサーバーに送信されます。
6. トンネリング キットは、エンコードされた文字列を解析し、抽出されたデータを再構築します。
ドメイン名の一部 (例: 3KJ242AIE9.attacherdomain.com)。攻撃者の忍耐力とステルス性に応じて、不審なネットワーク アクティビティを回避するために、リクエストを数日または数か月にわたって間隔をあけて送信することができます。5. リクエストは再帰 DNS リゾルバーに転送されます。解決中に、リクエストは攻撃者の権威 DNS ネームサーバー 6 に送信されます。トンネリング キットは、エンコードされた文字列を解析し、抽出されたデータを再構築します。参照: https://learn-umbrella.cisco.com/i/775902-dns-tunneling/0
