ProHoster > Blog > Administrasyon an > Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

DNS tinèl vire sistèm non domèn nan yon zam pou entru yo. DNS se esansyèlman anyè telefòn gwo entènèt la. DNS se tou pwotokòl ki kache ki pèmèt administratè yo mande baz done sèvè DNS la. Jiskaprezan tout bagay sanble klè. Men, entru malen yo reyalize ke yo te ka kominike an kachèt ak òdinatè viktim nan lè yo enjekte kòmandman kontwòl ak done nan pwotokòl la DNS. Lide sa a se baz tinèl DNS.

Ki jan DNS tinèl travay

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Tout bagay sou entènèt la gen pwòp pwotokòl separe li yo. Ak sipò DNS se relativman senp pwotokòl kalite demann-repons. Si ou vle wè ki jan li fonksyone, ou ka kouri nslookup, zouti prensipal la pou fè demann DNS. Ou ka mande yon adrès pa senpleman presize non domèn ou enterese nan, pou egzanp:

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Nan ka nou an, pwotokòl la reponn ak adrès IP domèn. An tèm de pwotokòl la DNS, mwen te fè yon demann adrès oswa yon demann sa yo rele. Kalite "A". Gen lòt kalite demann, ak pwotokòl la DNS pral reponn ak yon seri diferan nan jaden done, ki, jan nou pral wè pita, ka eksplwate pa entru.

Yon fason oswa yon lòt, nan nwayo li yo, pwotokòl la DNS konsène ak transmèt yon demann nan sèvè a ak repons li tounen nan kliyan an. E si yon atakè ajoute yon mesaj kache andedan yon demann non domèn? Pou egzanp, olye pou yo antre nan yon URL konplètman lejitim, li pral antre done yo li vle transmèt:

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Ann di yon atakè kontwole sèvè dns la. Lè sa a, li ka transmèt done - done pèsonèl, pou egzanp - san yo pa nesesèman detekte. Apre yo tout, poukisa ta yon demann DNS toudenkou vin yon bagay ilejitim?

Lè yo kontwole sèvè a, entru yo ka fòje repons epi voye done tounen nan sistèm sib la. Sa a pèmèt yo pase mesaj ki kache nan divès domèn repons DNS a malveyan sou machin ki enfekte a, ak enstriksyon tankou rechèch andedan yon katab espesifik.

Pati "tunnel" nan atak sa a se kache done ak kòmandman ki soti nan deteksyon pa sistèm siveyans. Hackers yo ka itilize seri karaktè base32, base64, elatriye, oswa menm ankripte done yo. Kodaj sa yo pral pase san detekte pa itilite deteksyon menas senp ki fè rechèch tèks plenn lan.

Epi sa a se tinèl DNS!

Istwa DNS atak tinèl

Tout bagay gen yon kòmansman, ki gen ladan lide nan detounman pwotokòl la DNS pou rezon piratage. Osi lwen ke nou ka di, premye a diskisyon Oskar Pearson te fè atak sa a sou lis adrès Bugtraq an avril 1998.

Nan lane 2004, DNS tunneling te prezante nan Black Hat kòm yon teknik Hacking nan yon prezantasyon pa Dan Kaminsky. Kidonk, lide a trè vit te grandi nan yon zouti atak reyèl.

Jodi a, tinèl DNS okipe yon pozisyon konfyans sou kat la potansyèl menas (ak blogueurs sekirite enfòmasyon yo souvan mande pou eksplike li).

Èske w te tande pale de Lanmè Turtle ? Sa a se yon kanpay kontinyèl pa gwoup sibèrkriminèl-ki gen plis chans patwone eta-pou detounen sèvè DNS lejitim yo nan lòd yo redireksyon demann DNS nan pwòp sèvè yo. Sa vle di ke òganizasyon yo pral resevwa "move" adrès IP ki montre fo paj entènèt ki kouri pa entru, tankou Google oswa FedEx. An menm tan an, atakè yo pral kapab jwenn kont itilizatè yo ak modpas, ki moun ki pral san konnen antre yo sou sit sa yo fo. Sa a se pa tinèl DNS, men jis yon lòt konsekans malere nan entru kontwole sèvè DNS.

DNS menas tinèl

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Tunnel DNS se tankou yon endikatè nan kòmansman etap move nouvèl la. Kiyes ladan yo? Nou te deja pale de plizyè, men ann estriktire yo:

  • Pwodiksyon done (eksfiltrasyon) – yon pirate an kachèt transmèt done kritik sou DNS. Sa a se definitivman pa fason ki pi efikas yo transfere enfòmasyon ki soti nan òdinatè a viktim - pran an kont tout depans yo ak kodaj - men li travay, ak an menm tan an - an kachèt!
  • Kòmand ak kontwòl (abreje C2) - entru itilize pwotokòl DNS pou voye kòmandman kontwòl senp atravè, di, Trojan aksè aleka (Trojan Aksè Remote, abreje RAT).
  • Tunnel IP-sou-DNS - Sa a ka sonnen fou, men gen sèvis piblik ki aplike yon pil IP sou tèt demann pwotokòl DNS ak repons. Li fè transfè done lè l sèvi avèk FTP, Netcat, ssh, elatriye. yon travay relativman senp. Trè menasan!

Detekte tinèl DNS

Ki sa ki tinèl DNS? Enstriksyon Deteksyon

Gen de metòd prensipal pou detekte abi DNS: analiz chaj ak analiz trafik.

Nan analiz chaj Pati defann lan ap chèche anomali nan done yo voye retounen ak lide ki ka detekte pa metòd estatistik: non lame ki sanble etranj, yon kalite dosye DNS ki pa itilize souvan, oswa kodaj ki pa estanda.

Nan analiz trafik se kantite demann DNS nan chak domèn estime konpare ak mwayèn estatistik la. Atakè ki sèvi ak tinèl DNS pral jenere yon gwo kantite trafik sou sèvè a. Nan teyori, siyifikativman siperyè echanj DNS mesaj nòmal. Ak sa a bezwen yo dwe swiv!

DNS tinèl sèvis piblik yo

Si ou vle fè pentest pwòp ou a epi wè ki jan byen konpayi ou ka detekte ak reponn a aktivite sa yo, gen plizyè sèvis piblik pou sa. Tout moun nan yo ka tinèl nan mòd la IP-sou-DNS:

  • Yòd - disponib sou anpil platfòm (Linux, Mac OS, FreeBSD ak Windows). Pèmèt ou enstale yon koki SSH ant sib la ak òdinatè kontwòl. Sa se yon bon jodi a sou mete ak itilize yòd.
  • OzymanDNS – DNS tunneling pwojè soti nan Dan Kaminsky, ekri nan Perl. Ou ka konekte ak li atravè SSH.
  • DNSCat2 - "DNS tinèl ki pa fè ou malad." Kreye yon chanèl C2 chiffré pou voye / telechaje fichye, lanse kokiy, elatriye.

DNS siveyans sèvis piblik yo

Anba a se yon lis plizyè sèvis piblik ki pral itil pou detekte atak tinèl:

  • dnsHunter – Modil Python ekri pou MercenaryHuntFramework ak Mercenary-Linux. Li fichye .pcap, ekstrè demann DNS epi fè kat jeyokalizasyon pou ede nan analiz.
  • reassemble_dns – yon sèvis piblik Python ki li dosye .pcap epi analize mesaj DNS.

Mikwo FAQ sou tinèl DNS

Enfòmasyon itil nan fòm kesyon ak repons!

K: Ki sa ki tinèl?
O: Li se tou senpleman yon fason yo transfere done sou yon pwotokòl ki deja egziste. Pwotokòl ki kache a bay yon chanèl oswa tinèl dedye, ki Lè sa a, itilize yo kache enfòmasyon yo aktyèlman ap transmèt.

K: Ki lè premye atak tinèl DNS te fèt?
O: Nou pa konnen! Si w konnen, tanpri fè nou konnen. Dapre sa nou konnen, Oscar Piersan te kòmanse premye diskisyon sou atak la nan lis adrès Bugtraq an avril 1998.

K: Ki atak ki sanble ak tinèl DNS?
O: DNS se byen lwen pwotokòl la sèlman ki ka itilize pou tinèl. Pou egzanp, malveyan kòmand ak kontwòl (C2) souvan itilize HTTP pou maske kanal kominikasyon an. Menm jan ak tinèl DNS, pirate a kache done li yo, men nan ka sa a li sanble ak trafik ki soti nan yon navigatè entènèt regilye ki gen aksè nan yon sit aleka (kontwole pa atakè a). Sa ka pase inapèsi pa siveyans pwogram yo si yo pa configuré pou percevoir menas abi pwotokòl HTTP a pou rezon pirate.

Èske ou ta renmen nou ede ak deteksyon tinèl DNS? Tcheke modil nou an Varonis Edge epi eseye li gratis Demo!

Sous: www.habr.com

Add nouvo kòmantè