2016-09-22 E安全 E安全
E安全9月22日文 恶意的DNS隧道技术是网络安全中的一个大问题。利用DNS协议做不法之事主要是偷偷从网络中获取敏感的公司信息或个人信息,而且还可以安插恶意指令,控制收发的信息。
Infoblox最近公布的安全评估报告(请前往E安全门户网站下载)表明,2016年第二季度,40%的企业网络都有DHS隧道的证据。
对明显的DNS隧道技术做审查就发现存在大量异常活动,这些活动都有高风险,但事实上都是用户和某些服务从企业网络有意发送的信息,而且其初衷并不是恶意行为。
利用DNS协议
通常,DNS请求都是很小的数据包,而且其目的并不是为执行域名解析服务传输任何数据。尽管引入DNSSEC和DKIM这类验证机制可能在近几年改变了整体情况,但是他们最初的打算也只是在域名上提供信息,而不是传输数据。
不过,DNS协议有足够的灵活性,可以把不相关数据插入DNS询问中,然后发入或发出一个指定网络。
DNS信号技术是隧道技术的最基本形式,通常这种技术要用加密hash函数将信息加密成询问字符串或响应记录。DNS数据包的大小受限,这意味着大量、
DNS隧道技术的运用则推进了一大步,通过运用一些基础的技巧,使用DNS询问跨DNS会议加密其他协议,如http,ftp或SMTP。
简约性和必要的相似性都被视为DNS隧道技术的重要特质。
合法的DNS隧道技术
在企业中,用DHS做合法沟通也会误触网络和安全团队的警报。大多数不允许这样使用DNS的公司都不会告知事实,而这就为安全团队查找那些不当利用协议的行为带来挑战。毕竟,乍一看,合法使用和恶意使用都差不多。
当然,那些用这种方式使用DNS的人通常都是想走捷径,而不是滥用企业网络。
约二十年前,一些酒店和机场就开始通过标准协议,如HTTP,用付费墙拦截对互联网的访问。然而,DNS没被拦截,而NSTX,Dnscat和iodine等工具相继推出,于是通过用户的DNS连接获取Web对话和邮件成为可能。这些工具也在不断发展,现在可以在DNS上提供完全的VPN服务,而且GitHub上就有大量免费示例。
不明智地使用协议
除了触发错误警报和引起服务盗窃的担忧外,DNS隧道技术即便是合法的通信方式,也不是明智使用企业DNS协议。用DNS传输数据是误用该协议来绕过网络运营商的各项措施。
企业会安装一些过滤程序拦截社交网络或个人邮箱,亦或是对企业不利的一些威胁,以提高工作效率,而DNS隧道技术却可绕过这些过滤程序。
然而,还存在大量商业化产品将DNS信号技术作为提供数据传输服务的工具。
例如,DNS隧道技术成为受欢迎技术的同时,一些CPE制造商正经历着通过商用和SMB网络把更新发送到各种商用级wifi路由或有线网和DSL调制解调器。
通过ISP的数据没有一致性,而通过基于NAT的路由建立合适的连接还不够直接。DNS过去被视为切实可行的替代物,而且是在CPE厂商用该协议执行软件更新和其他维护任务不久之后就出现了。
现在,大多数企业级网络都可以用合适的通信和验证通道解决此类任务。公司内部的部门和分公司通常都使用更为便宜的CPE设备,然而,这意味着这些信号可通过DNS传输——即便是在企业网络中也如此。
和客户做持续沟通的需求已经促成一些反病毒厂商通过DNS设置文件hash标记。不可否认,虽然这是一种确定可疑文件是否被感染的快捷有效方式,但也为恶意通信打开了大门。
绕过控件
DNS隧道技术的主要问题是它们会绕过网络团队设置的控件,带来了安全,兼容性和操作方面的问题,与此同时,负载DNS协议和异常检测系统来检测DNS流量。
企业正不断尝试保护自己的DNS,因为其重要性变得越来越明朗,而且企业也开始意识到在其网络上运行的DNS流量很多。
我们或许可以乐观地希望此技术的不当使用能得到遏制,不过可以先说服IT厂商和制造商减少对它的依赖,最终降低保护这种脆弱协议的难度。