DNS隧道攻击原理:即协议封装,IP over DNS,将其他协议封装在合法的dns请求和应答报文中,clent端通过构造特殊的域名记录请求发送数据给server,server端通过构造特殊的txt记录值来回应数据给client。
其特点:请求应答包很大、客户端txt类型记录请求频率高,常用在渗透中,例如之前的xshell窃取用户登录信息事件。
DNS 隧道攻击可以为攻击者提供一种永远可用的后方隧道来泄露窃取的资料。它的能够将 DNS 用作一个隐蔽的通信通道来绕过防火墙。攻击者在 DNS 内传输 SSH 或HTTP 等协议,然后秘密地传递窃取的资料或运输 IP 流量。
DNS 隧道可以用作一个已泄漏的内部主机的完全远程控制通道。这使得攻击者可以将文件传输到内部网络的外面,下载已有恶意软件的新代码,或者完全远程控制该系统。 DNS 隧道还可以用于绕过强制认证门户,以逃避支付Wi-Fi 服务费。
隧道攻击原理图
在IT数据中心建设中,往往容易忽视的就是一些基础设施的安全防护,如:DNS、DHCP、计费等。
