การขุดอุโมงค์ DNS เปลี่ยนระบบชื่อโดเมนให้เป็นอาวุธสำหรับแฮกเกอร์ DNS ถือเป็นสมุดโทรศัพท์ขนาดใหญ่ของอินเทอร์เน็ต DNS ยังเป็นโปรโตคอลพื้นฐานที่ช่วยให้ผู้ดูแลระบบสามารถสืบค้นฐานข้อมูลเซิร์ฟเวอร์ DNS ได้ จนถึงตอนนี้ทุกอย่างดูเหมือนชัดเจน แต่แฮกเกอร์เจ้าเล่ห์ตระหนักว่าพวกเขาสามารถสื่อสารกับคอมพิวเตอร์ของเหยื่ออย่างลับๆ ได้โดยการฉีดคำสั่งควบคุมและข้อมูลลงในโปรโตคอล DNS แนวคิดนี้เป็นพื้นฐานของการทันเนล DNS
DNS tunneling ทำงานอย่างไร
ทุกสิ่งบนอินเทอร์เน็ตมีโปรโตคอลของตัวเองแยกต่างหาก และการรองรับ DNS นั้นค่อนข้างง่าย มาตรการ ประเภทการร้องขอการตอบกลับ หากคุณต้องการดูวิธีการทำงาน คุณสามารถเรียกใช้ nslookup ซึ่งเป็นเครื่องมือหลักในการสืบค้น DNS คุณสามารถขอที่อยู่ได้โดยเพียงระบุชื่อโดเมนที่คุณสนใจ เช่น:
ในกรณีของเรา โปรโตคอลตอบกลับด้วยที่อยู่ IP ของโดเมน ในแง่ของโปรโตคอล DNS ฉันได้ส่งคำขอที่อยู่หรือคำขอที่เรียกว่า "ประเภท. มีคำขอประเภทอื่น ๆ และโปรโตคอล DNS จะตอบสนองด้วยชุดข้อมูลชุดอื่นซึ่งแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้ดังที่เราจะเห็นในภายหลัง
สมมติว่าผู้โจมตีควบคุมเซิร์ฟเวอร์ DNS จากนั้นจะสามารถส่งข้อมูล เช่น ข้อมูลส่วนบุคคล โดยไม่จำเป็นต้องตรวจพบ ท้ายที่สุดแล้ว เหตุใดการสืบค้น DNS จึงกลายเป็นสิ่งผิดกฎหมายในทันที
ด้วยการควบคุมเซิร์ฟเวอร์ แฮกเกอร์สามารถปลอมแปลงการตอบสนองและส่งข้อมูลกลับไปยังระบบเป้าหมายได้ ซึ่งช่วยให้พวกเขาสามารถส่งข้อความที่ซ่อนอยู่ในช่องต่างๆ ของการตอบสนอง DNS ไปยังมัลแวร์บนเครื่องที่ติดไวรัส พร้อมคำแนะนำ เช่น การค้นหาภายในโฟลเดอร์เฉพาะ
ทุกอย่างมีจุดเริ่มต้น รวมถึงแนวคิดในการไฮแจ็กโปรโตคอล DNS เพื่อจุดประสงค์ในการแฮ็ก เท่าที่เราสามารถบอกได้ครั้งแรก อภิปรายผล การโจมตีนี้ดำเนินการโดย Oskar Pearson ในรายชื่อผู้รับจดหมาย Bugtraq ในเดือนเมษายน พ.ศ. 1998
ภายในปี 2004 มีการนำ DNS tunneling มาใช้ที่ Black Hat ซึ่งเป็นเทคนิคการแฮ็กในการนำเสนอโดย Dan Kaminsky ดังนั้นแนวคิดจึงเติบโตอย่างรวดเร็วจนกลายเป็นเครื่องมือโจมตีที่แท้จริง
ปัจจุบัน DNS tunneling ครองตำแหน่งที่มั่นใจบนแผนที่ ภัยคุกคามที่อาจเกิดขึ้น (และบล็อกเกอร์ด้านความปลอดภัยของข้อมูลมักถูกขอให้อธิบาย)
คุณเคยได้ยินเกี่ยวกับ เต่าทะเล ? นี่เป็นแคมเปญที่กำลังดำเนินอยู่โดยกลุ่มอาชญากรไซเบอร์ ซึ่งมีแนวโน้มว่าจะได้รับการสนับสนุนจากรัฐ เพื่อจี้เซิร์ฟเวอร์ DNS ที่ถูกต้องตามกฎหมายเพื่อเปลี่ยนเส้นทางคำขอ DNS ไปยังเซิร์ฟเวอร์ของตนเอง ซึ่งหมายความว่าองค์กรต่างๆ จะได้รับที่อยู่ IP "ที่ไม่ดี" ซึ่งชี้ไปยังหน้าเว็บปลอมที่แฮ็กเกอร์ดำเนินการ เช่น Google หรือ FedEx ในเวลาเดียวกัน ผู้โจมตีจะสามารถรับบัญชีผู้ใช้และรหัสผ่านซึ่งจะป้อนข้อมูลเหล่านั้นลงในไซต์ปลอมดังกล่าวโดยไม่รู้ตัว นี่ไม่ใช่การทันเนล DNS แต่เป็นเพียงผลลัพธ์ที่โชคร้ายอีกประการหนึ่งของแฮกเกอร์ที่ควบคุมเซิร์ฟเวอร์ DNS
ภัยคุกคามจากอุโมงค์ DNS
การขุดอุโมงค์ DNS เปรียบเสมือนตัวบ่งชี้จุดเริ่มต้นของช่วงข่าวร้าย อันไหน? เราได้พูดคุยเกี่ยวกับหลายเรื่องแล้ว แต่มาจัดโครงสร้างกัน:
เอาต์พุตข้อมูล (การกรอง) – แฮกเกอร์แอบส่งข้อมูลสำคัญผ่าน DNS นี่ไม่ใช่วิธีที่มีประสิทธิภาพที่สุดในการถ่ายโอนข้อมูลจากคอมพิวเตอร์ของเหยื่อโดยคำนึงถึงค่าใช้จ่ายและการเข้ารหัสทั้งหมด แต่ใช้งานได้และในเวลาเดียวกัน - อย่างลับๆ!
ที่ การวิเคราะห์โหลด ฝ่ายที่ปกป้องจะมองหาความผิดปกติในข้อมูลที่ส่งไปมาซึ่งสามารถตรวจพบได้โดยวิธีการทางสถิติ: ชื่อโฮสต์ที่ดูแปลกตา ประเภทบันทึก DNS ที่ไม่ได้ใช้บ่อยนัก หรือการเข้ารหัสที่ไม่ได้มาตรฐาน
ที่ การวิเคราะห์การจราจร จำนวนคำขอ DNS ไปยังแต่ละโดเมนเป็นการประเมินโดยเปรียบเทียบกับค่าเฉลี่ยทางสถิติ ผู้โจมตีที่ใช้อุโมงค์ DNS จะสร้างการรับส่งข้อมูลจำนวนมากไปยังเซิร์ฟเวอร์ ตามทฤษฎีแล้ว เหนือกว่าการแลกเปลี่ยนข้อความ DNS ปกติอย่างมาก และสิ่งนี้จะต้องได้รับการตรวจสอบ!