DNS 隧道是一種在 DNS 查詢中對其他程序和協議的數據進行編碼的技術,包括可用于控制遠程服務器和應用程序的數據有效負載。正因為如此,許多 IT 和 SecOps 團隊都非常關注 DNS 隧道以及威脅參與者與之相關的 DNS 滲漏。幸運的是,DNS 緩存系統的新發展允許更快、更可靠地檢測 DNS 隧道和滲漏事件。
DNS 隧道如何工作?
DNS 隧道圍繞數據傳輸進行。所以,如果我們有:
輸入數據數據——姓名:Alice,年齡:25,SSN:123-45-678
使用 DNS 滲漏,我們可以對放置在我們控制的域的多個子域中的數據進行編碼并將其作為單個條目發送:
jzqw2zj2ifwg.sy3ffrawozj2.gi2syu2tjy5d.cmrtfu2djljw.my.tunnel.com
或者,我們可以使用多個條目對大量域進行多次查詢:
jzqw2.zj2if.my.tunnel.com
wgsy3.ffraw.my.tunnel.com
ozj2g.i2syu.my.tunnel.com
2tjy5.dcmrt.my.tunnel.com
用戶可以通過安裝免費的 DNS 隧道工具來繞過 IT 策略和/或監控來濫用此技術(如下圖 1 所示)。他們還可以利用這種技術繞過網絡授權,在酒店和機場獲得免費的互聯網接入。
攻擊者可以使用出站 DNS 請求將編碼的泄露數據發送到他們的基礎設施(如下圖 2 所示),或者使用 DNS 響應將命令發送到受感染的系統并遠程管理受感染的設備。
改進 DNS 隧道實時檢測
今天,我們很高興地宣布,組織擁有一個強大的新盟友來防止其網絡中的數據泄露和未經授權的 DNS 隧道。在我們的 DNS 解析器中開發了一個新的專有緩存,以與我們的機器學習模塊一起工作。我們最新的機器學習模塊經過調整可檢測數據泄露和 DNS 隧道事件。
這個新模塊監控 DNS 流量的行為模式和流量泄露數據,有效地構建足夠的信息來檢測和阻止數據泄露。而且,如果環境和域聲譽發生變化,該模塊將自行糾正并讓流量通過。
我們進行此更新是因為在過去的幾年中,我們看到在大流行期間數字化工作的新現實中,組織的工作效率更高,聯系更緊密。然而,登錄和帶寬的爆炸式增長有時伴隨著數字安全性的降低。數據泄露已成為一個新的現實,攻擊者在 DNS 中打了一個洞。
使用革命性的 DNS 緩存推動改進
為DNS 解析器提供支持的技術堆棧可處理來自 ISP、全球組織、市政當局、學校和家庭的大量 DNS 流量負載。在此基礎上,我們破解了 DNS 解析器的核心——緩存。雖然我們在DNS 隧道解決方案簡介中深入探討了這項新功能的細節,但我們也想在這里為您提供一個概述。
DNS 解析器的緩存可以在沒有故障、中斷和輕松的情況下為全球流量的膨脹提供服務。它還使 Internet 的骨干網免受相同查詢的淹沒。緩存在本地存儲數據,以便更快地提供服務。
隧道緩存
隧道緩存使我們能夠將一系列查詢粘合在一起,否則這些查詢是不同的原子事件。通過專有密鑰和數據字段,我們無縫地整合了網絡沖浪者不知道的快速緩存更新。我們通過使用概率算法中的技巧合并傳入的數據字段來保持閃電般的速度。將每個人的 DNS 查詢粘合在一起可以提供對大量信息的訪問,否則將被隱藏。組織現在可以獲得實時的個性化 DNS 隧道監控、檢測和實施。
加密有效載荷
我們將新的 DNS 緩存與在識別加密消息方面訓練有素的詞法引擎配對。我們的研究人員深入研究了各種加密協議并創建了一種狀態算法,該算法能夠遍歷域名中的每個字符轉換并以高保真度識別加密有效負載。
