هجوم DNS tunneling

مقدمة: 

تعد هجمات DNS tunneling أحد أخطر الهجمات على الشبكة، فقد تم استخدامها في العديد من الهجمات الخاصة بنشر البرمجيّات الخبيثة في عام 2011، وما يزيد هذا الهجوم خطورة هو كثرة الأدوات المتاحة على الإنترنت لبدء مثل هذا الهجوم.  

ما هو DNS tunneling؟

الهجوم عبارة عن تصفح الإنترنت باستخدام منفذ 53 الخاص بـ DNS، هذا المنفذ مخصص لجلب عناوين الإنترنت للمواقع التي نحتاج زيارتها فمثلاً: إذا أردنا زيارة موقع معيّن فنحتاج إلى عنوانه الخاص (IP) ويكون ذلك باستخدام المنفذ 53. 

عندما يستولي المُهاجِم على جهاز معيّن داخل الشبكة، فإنّه غالبًا ما يحتاج إلى شبكة الإنترنت لكي يقوم بعمليّات أخرى مثل: نشر البرمجيات الخبيثة أو التواصل مع الخادم الرئيسي لكي يستقبل الطلبات، وحتى يكون التواصل مخفيًّا عن أعين المدافعين في الشبكة فإنه يتواصل باستخدام المنفذ 53، غالبًا لا يقوم المدافعون بمراقبة هذا المنفذ لأنه ليس مخصص لنقل البيانات، ولأن حجم الحركة كبير جدًّا مما يصعّب عملية الرصد. 

أدوات الرصد الحالية:

رصد الهجوم في الشبكة صعب جدًّا ويحتاج إلى خبرة وجهد كبير، على كل حال يجب على المراقبين أن يراقبوا أي اسم نطاق (Domain) غريب في الشبكة، كما يجب عليهم مراقبة حجم الشبكة لكل اتصال DNS، لأنّ أي حجم أكبر من 500 بايت يعتبر مشبوه. 

الحلول التجارية جيدة لرصد الهجوم لكنها تعتبر مكلفة وتخترق خصوصية المستخدمين، فشركة Cisco وشركة Infoblox تقدم حلولًا لحماية DNS الخاص بالمنشئات عن طريق مراقبة العناوين التي يقوم المستخدمون بزيارتها وحجب العناوين المشبوهة. 

ختامًا...هجوم DNS tunneling يشكّل تهديدًا للقطاعات، ويحتاج المزيد من الانتباه من مدراء تقنية المعلومات لرصد وحجب العناوين المشبوهة.

تحياتي،

محمد الدريس

@iAbuDrees

المصادر:

Aiello, M., Merlo, A., & Papaleo, G. (2012). Performance assessment and analysis of DNS tunneling tools. Logic Journal of IGPL, 21. doi:10.1093/jigpal/jzs029 

Alshammari, R., & Zincir-Heywood, A. (2011). Can encrypted traffic be identified without port numbers, IP addresses and payload inspection? Computer Networks, 55, 1326-1350. doi:10.1016/j.comnet.2010.12.002 

Bernaille, L., & Teixeira, R. (2007, 2007//). Early Recognition of Encrypted Applications. Paper presented at the Passive and Active Network Measurement, Berlin, Heidelberg. 

Buczak, A., Hanke, P., Cancro, G., Toma, M., Watkins, L., & Chavis, J. (2016). Detection of Tunnels in PCAP Data by Random Forests. 

Crotti, M., Dusi, M., Gringoli, F., & Salgarelli, L. (2007). Detecting HTTP Tunnels with Statistical Mechanisms. 

Das, A., Shen, M., Shashanka, M., & Wang, J. (2017, 18-21 Dec. 2017). Detection of Exfiltration and Tunneling over DNS. Paper presented at the 2017 16th IEEE International Conference on Machine Learning and Applications (ICMLA). 

Dusi, M., Crotti, M., & Salgarelli, L. (2009). Tunnel Hunter: Detecting application-layer tunnels with statistical fingerprinting. Computer Networks, 81-97.