惡意軟件編寫者開始使用DNS請求進行數(shù)據(jù)滲透，那么，這些攻擊的工作原理是什么，以及抵御它們的最佳做法有哪些?

[[152419]]

Nick Lewis：多年來，高級攻擊者一直在利用DNS隧道、ICMP隧道等進行數(shù)據(jù)滲透?；谒麄?nèi)〉玫某晒Γ芏嗥渌粽咭查_始采用這種技術(shù)，讓這種技術(shù)逐漸普遍。DNS通常也被允許出站連接到互聯(lián)網(wǎng)，而不需要進行過濾，這讓攻擊者可以利用它來從受感染網(wǎng)絡(luò)滲出數(shù)據(jù)。

DNS隧道通常用于已經(jīng)受感染的計算機，它會編碼惡意DNS域名中少量數(shù)據(jù)。受感染的計算機可以在惡意域名和/或使用攻擊者控制的DNS服務(wù)器來執(zhí)行DNS查詢。當受感染計算機的DNS請求到達預期接收者的DNS服務(wù)器或設(shè)備，攻擊者可以記錄數(shù)據(jù)供以后使用和/或在DNS響應中發(fā)送少量數(shù)據(jù)回受感染計算機，DNS響應可能是由受感染計算機執(zhí)行的命令。這種交換可以從網(wǎng)絡(luò)滲出少量數(shù)據(jù)，并在網(wǎng)絡(luò)上兩臺計算機之間建立間接通信。

抵御利用DNS隧道的攻擊首先需要檢測異常DNS流量，這可以通過監(jiān)控DNS日志或直接使用工具監(jiān)控網(wǎng)絡(luò)來執(zhí)行。初始DNS服務(wù)器還可以配置為記錄DNS查詢請求，并且，企業(yè)可以監(jiān)控這些日志信息查詢來自一個端點的大量DNS請求，或者需要被轉(zhuǎn)發(fā)的大量DNS請求。這種相同的分析也可以通過監(jiān)控網(wǎng)絡(luò)流量來執(zhí)行。

企業(yè)可以在內(nèi)部部署DNS安全工具或者將這個工作外包給DNS提供商以對企業(yè)DNS流量執(zhí)行分析，并可能阻止或攔截發(fā)送到惡意DNS服務(wù)器的DNS查詢，這些供應商包括Neustar、OpenDNS和Percipient Networks等。