DNS టన్నెలింగ్ డొమైన్ నేమ్ సిస్టమ్ను హ్యాకర్లకు ఆయుధంగా మారుస్తుంది. DNS తప్పనిసరిగా ఇంటర్నెట్ యొక్క భారీ ఫోన్ బుక్. DNS అనేది DNS సర్వర్ డేటాబేస్ను ప్రశ్నించడానికి నిర్వాహకులను అనుమతించే అంతర్లీన ప్రోటోకాల్. ఇప్పటివరకు ప్రతిదీ స్పష్టంగా ఉంది. కానీ మోసపూరిత హ్యాకర్లు DNS ప్రోటోకాల్లోకి కంట్రోల్ కమాండ్లు మరియు డేటాను ఇంజెక్ట్ చేయడం ద్వారా బాధిత కంప్యూటర్తో రహస్యంగా కమ్యూనికేట్ చేయగలరని గ్రహించారు. ఈ ఆలోచన DNS టన్నెలింగ్కు ఆధారం.
DNS టన్నెలింగ్ ఎలా పనిచేస్తుంది
ఇంటర్నెట్లోని ప్రతిదానికీ దాని స్వంత ప్రత్యేక ప్రోటోకాల్ ఉంటుంది. మరియు DNS మద్దతు చాలా సులభం అభ్యర్థన-ప్రతిస్పందన రకం. ఇది ఎలా పని చేస్తుందో మీరు చూడాలనుకుంటే, మీరు DNS ప్రశ్నలను రూపొందించడానికి ప్రధాన సాధనం nslookupని అమలు చేయవచ్చు. మీకు ఆసక్తి ఉన్న డొమైన్ పేరును పేర్కొనడం ద్వారా మీరు చిరునామాను అభ్యర్థించవచ్చు, ఉదాహరణకు:
మా విషయంలో, ప్రోటోకాల్ డొమైన్ IP చిరునామాతో ప్రతిస్పందించింది. DNS ప్రోటోకాల్ పరంగా, నేను చిరునామా అభ్యర్థన లేదా అభ్యర్థన అని పిలవబడేదాన్ని చేసాను. "A" రకం. ఇతర రకాల అభ్యర్థనలు ఉన్నాయి మరియు DNS ప్రోటోకాల్ వేరొక డేటా ఫీల్డ్లతో ప్రతిస్పందిస్తుంది, వీటిని మనం తరువాత చూస్తాము, హ్యాకర్ల ద్వారా దోపిడీ చేయవచ్చు.
ఒక మార్గం లేదా మరొకటి, దాని ప్రధాన భాగంలో, DNS ప్రోటోకాల్ సర్వర్కు అభ్యర్థనను ప్రసారం చేయడం మరియు క్లయింట్కు దాని ప్రతిస్పందనను తిరిగి పంపడం. దాడి చేసే వ్యక్తి డొమైన్ పేరు అభ్యర్థన లోపల దాచిన సందేశాన్ని జోడిస్తే? ఉదాహరణకు, పూర్తిగా చట్టబద్ధమైన URLని నమోదు చేయడానికి బదులుగా, అతను ప్రసారం చేయాలనుకుంటున్న డేటాను నమోదు చేస్తాడు:
దాడి చేసే వ్యక్తి DNS సర్వర్ని నియంత్రిస్తున్నాడని అనుకుందాం. ఇది తప్పనిసరిగా గుర్తించబడకుండానే డేటా-వ్యక్తిగత డేటాను ప్రసారం చేయగలదు. అన్నింటికంటే, DNS ప్రశ్న అకస్మాత్తుగా ఎందుకు చట్టవిరుద్ధంగా మారుతుంది?
సర్వర్ను నియంత్రించడం ద్వారా, హ్యాకర్లు ప్రతిస్పందనలను నకిలీ చేయవచ్చు మరియు లక్ష్య సిస్టమ్కు డేటాను తిరిగి పంపవచ్చు. నిర్దిష్ట ఫోల్డర్లో వెతకడం వంటి సూచనలతో సోకిన మెషీన్లోని మాల్వేర్కు DNS ప్రతిస్పందన యొక్క వివిధ ఫీల్డ్లలో దాచబడిన సందేశాలను పంపడానికి ఇది వారిని అనుమతిస్తుంది.
ఈ దాడిలో "టన్నెలింగ్" భాగం పర్యవేక్షణ వ్యవస్థల ద్వారా గుర్తించడం నుండి డేటా మరియు ఆదేశాలు. హ్యాకర్లు బేస్32, బేస్64, మొదలైన అక్షర సెట్లను ఉపయోగించవచ్చు లేదా డేటాను ఎన్క్రిప్ట్ చేయవచ్చు. ఇటువంటి ఎన్కోడింగ్ సాదా వచనాన్ని శోధించే సాధారణ ముప్పు గుర్తింపు యుటిలిటీల ద్వారా గుర్తించబడదు.
మరియు ఇది DNS టన్నెలింగ్!
DNS టన్నెలింగ్ దాడుల చరిత్ర
హ్యాకింగ్ ప్రయోజనాల కోసం DNS ప్రోటోకాల్ను హైజాక్ చేయాలనే ఆలోచనతో సహా ప్రతిదానికీ ఒక ప్రారంభం ఉంది. మనం చెప్పగలిగినంతవరకు, మొదటిది ఏప్రిల్ 1998లో బగ్ట్రాక్ మెయిలింగ్ జాబితాపై ఆస్కార్ పియర్సన్ ఈ దాడిని చేపట్టారు.
2004 నాటికి, DNS టన్నెలింగ్ అనేది బ్లాక్ హాట్లో డాన్ కమిన్స్కీ యొక్క ప్రదర్శనలో హ్యాకింగ్ టెక్నిక్గా ప్రవేశపెట్టబడింది. అందువలన, ఆలోచన చాలా త్వరగా నిజమైన దాడి సాధనంగా పెరిగింది.
నేడు, DNS టన్నెలింగ్ మ్యాప్లో నమ్మకమైన స్థానాన్ని ఆక్రమించింది (మరియు సమాచార భద్రతా బ్లాగర్లు తరచుగా దానిని వివరించమని అడుగుతారు).
గురించి విన్నారా ? ఇది DNS అభ్యర్థనలను వారి స్వంత సర్వర్లకు దారి మళ్లించడానికి చట్టబద్ధమైన DNS సర్వర్లను హైజాక్ చేయడానికి సైబర్క్రిమినల్ గ్రూపులు—చాలా మటుకు రాష్ట్ర-ప్రాయోజిత—కొనసాగుతున్న ప్రచారం. Google లేదా FedEx వంటి హ్యాకర్లచే నిర్వహించబడే నకిలీ వెబ్ పేజీలను సూచించే "చెడు" IP చిరునామాలను సంస్థలు స్వీకరిస్తాయి. అదే సమయంలో, దాడి చేసేవారు వినియోగదారు ఖాతాలు మరియు పాస్వర్డ్లను పొందగలుగుతారు, వారు తెలియకుండానే అలాంటి నకిలీ సైట్లలో వాటిని నమోదు చేస్తారు. ఇది DNS టన్నెలింగ్ కాదు, కానీ హ్యాకర్లు DNS సర్వర్లను నియంత్రించడం వల్ల కలిగే మరొక దురదృష్టకర పరిణామం.
DNS టన్నెలింగ్ బెదిరింపులు
DNS టన్నెలింగ్ చెడు వార్తల దశ ప్రారంభానికి సూచిక లాంటిది. ఏవి? మేము ఇప్పటికే చాలా వాటి గురించి మాట్లాడాము, కానీ వాటిని రూపొందించండి:
- డేటా అవుట్పుట్ (ఎక్స్ఫిల్ట్రేషన్) - ఒక హ్యాకర్ రహస్యంగా DNS ద్వారా క్లిష్టమైన డేటాను ప్రసారం చేస్తాడు. బాధితుడు కంప్యూటర్ నుండి సమాచారాన్ని బదిలీ చేయడానికి ఇది ఖచ్చితంగా అత్యంత ప్రభావవంతమైన మార్గం కాదు - అన్ని ఖర్చులు మరియు ఎన్కోడింగ్లను పరిగణనలోకి తీసుకుంటుంది - కానీ ఇది పనిచేస్తుంది, మరియు అదే సమయంలో - రహస్యంగా!
- కమాండ్ అండ్ కంట్రోల్ (సంక్షిప్తంగా C2) - హ్యాకర్లు DNS ప్రోటోకాల్ను ఉపయోగించి సాధారణ నియంత్రణ ఆదేశాలను పంపడానికి, చెప్పండి, (రిమోట్ యాక్సెస్ ట్రోజన్, సంక్షిప్త RAT).
- IP-ఓవర్-DNS టన్నెలింగ్ - ఇది పిచ్చిగా అనిపించవచ్చు, కానీ DNS ప్రోటోకాల్ అభ్యర్థనలు మరియు ప్రతిస్పందనల పైన IP స్టాక్ను అమలు చేసే యుటిలిటీలు ఉన్నాయి. ఇది FTP, Netcat, ssh మొదలైన వాటిని ఉపయోగించి డేటా బదిలీని చేస్తుంది. సాపేక్షంగా సులభమైన పని. అత్యంత అరిష్టం!
DNS టన్నెలింగ్ని గుర్తించడం
DNS దుర్వినియోగాన్ని గుర్తించడానికి రెండు ప్రధాన పద్ధతులు ఉన్నాయి: లోడ్ విశ్లేషణ మరియు ట్రాఫిక్ విశ్లేషణ.
వద్ద లోడ్ విశ్లేషణ డిఫెండింగ్ పార్టీ పంపిన డేటాలోని క్రమరాహిత్యాలను గణాంక పద్ధతుల ద్వారా గుర్తించవచ్చు: వింతగా కనిపించే హోస్ట్ పేర్లు, తరచుగా ఉపయోగించని DNS రికార్డ్ రకం లేదా ప్రామాణికం కాని ఎన్కోడింగ్.
వద్ద ట్రాఫిక్ విశ్లేషణ ప్రతి డొమైన్కు DNS అభ్యర్థనల సంఖ్య గణాంక సగటుతో పోలిస్తే అంచనా వేయబడుతుంది. DNS టన్నెలింగ్ని ఉపయోగించి దాడి చేసేవారు సర్వర్కు పెద్ద మొత్తంలో ట్రాఫిక్ని సృష్టిస్తారు. సిద్ధాంతపరంగా, సాధారణ DNS సందేశ మార్పిడి కంటే చాలా గొప్పది. మరియు ఇది పర్యవేక్షించబడాలి!
DNS టన్నెలింగ్ యుటిలిటీస్
మీరు మీ స్వంత పెంటెస్ట్ని నిర్వహించాలనుకుంటే మరియు మీ కంపెనీ అటువంటి కార్యకలాపాన్ని ఎంతవరకు గుర్తించగలదో మరియు ప్రతిస్పందించగలదో చూడాలనుకుంటే, దీని కోసం అనేక యుటిలిటీలు ఉన్నాయి. అవన్నీ మోడ్లో సొరంగం చేయగలవు IP-ఓవర్-DNS:
- - అనేక ప్లాట్ఫారమ్లలో అందుబాటులో ఉంది (Linux, Mac OS, FreeBSD మరియు Windows). లక్ష్యం మరియు నియంత్రణ కంప్యూటర్ల మధ్య SSH షెల్ను ఇన్స్టాల్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. అది మంచిదే అయోడిన్ను ఏర్పాటు చేయడం మరియు ఉపయోగించడం.
- – పెర్ల్లో వ్రాయబడిన డాన్ కమిన్స్కీ నుండి DNS టన్నెలింగ్ ప్రాజెక్ట్. మీరు SSH ద్వారా దీనికి కనెక్ట్ చేయవచ్చు.
- - "మీకు అనారోగ్యం కలిగించని DNS సొరంగం." ఫైల్లను పంపడం/డౌన్లోడ్ చేయడం, షెల్లను ప్రారంభించడం మొదలైన వాటి కోసం ఎన్క్రిప్టెడ్ C2 ఛానెల్ని సృష్టిస్తుంది.
DNS పర్యవేక్షణ వినియోగాలు
టన్నెలింగ్ దాడులను గుర్తించడానికి ఉపయోగపడే అనేక యుటిలిటీల జాబితా క్రింద ఉంది:
- – MercenaryHuntFramework మరియు Mercenary-Linux కోసం పైథాన్ మాడ్యూల్ వ్రాయబడింది. .pcap ఫైల్లను చదువుతుంది, DNS ప్రశ్నలను సంగ్రహిస్తుంది మరియు విశ్లేషణలో సహాయపడటానికి జియోలొకేషన్ మ్యాపింగ్ చేస్తుంది.
- – .pcap ఫైల్లను చదివే మరియు DNS సందేశాలను విశ్లేషించే పైథాన్ యుటిలిటీ.
DNS టన్నెలింగ్పై మైక్రో FAQ
ప్రశ్నలు మరియు సమాధానాల రూపంలో ఉపయోగకరమైన సమాచారం!
ప్ర: టన్నెలింగ్ అంటే ఏమిటి?
గురించి: ఇది ఇప్పటికే ఉన్న ప్రోటోకాల్ ద్వారా డేటాను బదిలీ చేయడానికి ఒక మార్గం. అంతర్లీన ప్రోటోకాల్ ఒక ప్రత్యేక ఛానెల్ లేదా సొరంగంను అందిస్తుంది, ఇది వాస్తవానికి ప్రసారం చేయబడే సమాచారాన్ని దాచడానికి ఉపయోగించబడుతుంది.
ప్ర: మొదటి DNS టన్నెలింగ్ దాడి ఎప్పుడు జరిగింది?
గురించి: మాకు తెలియదు! మీకు తెలిస్తే, దయచేసి మాకు తెలియజేయండి. మాకు తెలిసినంత వరకు, ఏప్రిల్ 1998లో బగ్ట్రాక్ మెయిలింగ్ జాబితాలో ఆస్కార్ పియర్సన్ దాడికి సంబంధించిన మొదటి చర్చను ప్రారంభించారు.
ప్ర: ఏ దాడులు DNS టన్నెలింగ్ను పోలి ఉంటాయి?
గురించి: టన్నెలింగ్ కోసం ఉపయోగించగల ఏకైక ప్రోటోకాల్కు DNS దూరంగా ఉంది. ఉదాహరణకు, కమాండ్ అండ్ కంట్రోల్ (C2) మాల్వేర్ తరచుగా కమ్యూనికేషన్ ఛానెల్ను మాస్క్ చేయడానికి HTTPని ఉపయోగిస్తుంది. DNS టన్నెలింగ్ మాదిరిగానే, హ్యాకర్ తన డేటాను దాచిపెడతాడు, అయితే ఈ సందర్భంలో అది రిమోట్ సైట్ను (దాడి చేసేవారిచే నియంత్రించబడుతుంది) యాక్సెస్ చేసే సాధారణ వెబ్ బ్రౌజర్ నుండి ట్రాఫిక్ లాగా కనిపిస్తుంది. ప్రోగ్రామ్లు గ్రహించడానికి కాన్ఫిగర్ చేయకపోతే, పర్యవేక్షించడం ద్వారా ఇది గుర్తించబడదు హ్యాకర్ ప్రయోజనాల కోసం HTTP ప్రోటోకాల్ దుర్వినియోగం.
DNS టన్నెల్ డిటెక్షన్లో మేము సహాయం చేయాలని మీరు కోరుకుంటున్నారా? మా మాడ్యూల్ని తనిఖీ చేయండి మరియు ఉచితంగా ప్రయత్నించండి !
మూలం: www.habr.com