Skip to content

Latest commit

 

History

History
12 lines (7 loc) · 1.83 KB

README.md

File metadata and controls

12 lines (7 loc) · 1.83 KB

DNS Tunneling,是隐蔽信道的一种,通过将其他协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为一种隐蔽信道提供了条件,从而可以利用它实现诸如远程控制,文件传输等操作,现在越来越多的研究证明DNS Tunneling也经常在僵尸网络和APT攻击中扮演着重要的角色。

DNS Tunneling可以分为直连和中继两种。直连也就是Client直接和指定的目标DNS Server(Authoritative NS Server)连接,通过将数据编码封装在DNS协议中进行通信,这种方式速度快,但是隐蔽性比较弱,很容易被探测到,另外限制比较高,很多场景不允许自己指定DNS Server。 而通过DNS迭代查询而实现的中继隧道,则更为隐秘,但同时因为数据包到达目标DNS Server前需要经过多个节点,所以速度上较直连慢很多。DNS Tunneling的中继模式如下图所示。

image

DNS 隧道漏洞利用可能为攻击者提供反向通道,泄露敏感信息。DNS 提供了一种隐蔽的通信方式来绕过防火墙。黑客使用DNS隧道传输不同类型的协议,例如HTTP或SSH,这使他们能够秘密地传递被盗数据或传递IP流量。

DNS查询路由到黑客的DNS Tunnel服务器,在那里运行隧道程序。因此,通过DNS解析器在网络犯罪分子和受害者之间建立连接。攻击者可以将此隧道用于恶意目的。网络犯罪分子和受害者之间没有直接联系,因此很难追踪网络犯罪分子的计算机。

本代码通过F5 iRules实现了对DNS Tunneling的限制和防护,可灵活自定义指标以应对不同的攻击方式和类型。