DNS 隧道是一种在 DNS 查询中对其他程序和协议的数据进行编码的技术,包括可用于控制远程服务器和应用程序的数据有效负载。正因为如此,许多 IT 和 SecOps 团队都非常关注 DNS 隧道以及威胁参与者与之相关的 DNS 渗漏。幸运的是,DNS 缓存系统的新发展允许更快、更可靠地检测 DNS 隧道和渗漏事件。
DNS 隧道如何工作?
DNS 隧道围绕数据传输进行。所以,如果我们有:
输入数据数据——姓名:Alice,年龄:25,SSN:123-45-678
使用 DNS 渗漏,我们可以对放置在我们控制的域的多个子域中的数据进行编码并将其作为单个条目发送:
jzqw2zj2ifwg.sy3ffrawozj2.gi2syu2tjy5d.cmrtfu2djljw.my.tunnel.com
或者,我们可以使用多个条目对大量域进行多次查询:
jzqw2.zj2if.my.tunnel.com
wgsy3.ffraw.my.tunnel.com
ozj2g.i2syu.my.tunnel.com
2tjy5.dcmrt.my.tunnel.com
用户可以通过安装免费的 DNS 隧道工具来绕过 IT 策略和/或监控来滥用此技术(如下图 1 所示)。他们还可以利用这种技术绕过网络授权,在酒店和机场获得免费的互联网接入。
攻击者可以使用出站 DNS 请求将编码的泄露数据发送到他们的基础设施(如下图 2 所示),或者使用 DNS 响应将命令发送到受感染的系统并远程管理受感染的设备。
改进 DNS 隧道实时检测
今天,我们很高兴地宣布,组织拥有一个强大的新盟友来防止其网络中的数据泄露和未经授权的 DNS 隧道。在我们的 DNS 解析器中开发了一个新的专有缓存,以与我们的机器学习模块一起工作。我们最新的机器学习模块经过调整可检测数据泄露和 DNS 隧道事件。
这个新模块监控 DNS 流量的行为模式和流量泄露数据,有效地构建足够的信息来检测和阻止数据泄露。而且,如果环境和域声誉发生变化,该模块将自行纠正并让流量通过。
我们进行此更新是因为在过去的几年中,我们看到在大流行期间数字化工作的新现实中,组织的工作效率更高,联系更紧密。然而,登录和带宽的爆炸式增长有时伴随着数字安全性的降低。数据泄露已成为一个新的现实,攻击者在 DNS 中打了一个洞。
使用革命性的 DNS 缓存推动改进
为DNS 解析器提供支持的技术堆栈可处理来自 ISP、全球组织、市政当局、学校和家庭的大量 DNS 流量负载。在此基础上,我们破解了 DNS 解析器的核心——缓存。虽然我们在DNS 隧道解决方案简介中深入探讨了这项新功能的细节,但我们也想在这里为您提供一个概述。
DNS 解析器的缓存可以在没有故障、中断和轻松的情况下为全球流量的膨胀提供服务。它还使 Internet 的骨干网免受相同查询的淹没。缓存在本地存储数据,以便更快地提供服务。
隧道缓存
隧道缓存使我们能够将一系列查询粘合在一起,否则这些查询是不同的原子事件。通过专有密钥和数据字段,我们无缝地整合了网络冲浪者不知道的快速缓存更新。我们通过使用概率算法中的技巧合并传入的数据字段来保持闪电般的速度。将每个人的 DNS 查询粘合在一起可以提供对大量信息的访问,否则将被隐藏。组织现在可以获得实时的个性化 DNS 隧道监控、检测和实施。
加密有效载荷
我们将新的 DNS 缓存与在识别加密消息方面训练有素的词法引擎配对。我们的研究人员深入研究了各种加密协议并创建了一种状态算法,该算法能够遍历域名中的每个字符转换并以高保真度识别加密有效负载。