DNS隧道如何工作?使用革命性的DNS緩存推動改進(jìn)
      
                                    
                                
      
                                
      
                                    
      DNS 隧道是一種在 DNS 查詢中對其他程序和協(xié)議的數(shù)據(jù)進(jìn)行編碼的技術(shù),包括可用于控制遠(yuǎn)程服務(wù)器和應(yīng)用程序的數(shù)據(jù)有效負(fù)載。正因?yàn)槿绱耍S多 IT 和 SecOps 團(tuán)隊(duì)都非常關(guān)注 DNS 隧道以及威脅參與者與之相關(guān)的 DNS 滲漏。幸運(yùn)的是,DNS 緩存系統(tǒng)的新發(fā)展允許更快、更可靠地檢測 DNS 隧道和滲漏事件。
      

      DNS隧道如何工作?使用革命性的DNS緩存推動改進(jìn)-南華中天
      

      DNS 隧道如何工作?
      

      DNS 隧道圍繞數(shù)據(jù)傳輸進(jìn)行。所以,如果我們有:
      

      輸入數(shù)據(jù)數(shù)據(jù)——姓名:Alice,年齡:25,SSN:123-45-678
      

      使用 DNS 滲漏,我們可以對放置在我們控制的域的多個子域中的數(shù)據(jù)進(jìn)行編碼并將其作為單個條目發(fā)送:
      

      jzqw2zj2ifwg.sy3ffrawozj2.gi2syu2tjy5d.cmrtfu2djljw.my.tunnel.com
      

      或者,我們可以使用多個條目對大量域進(jìn)行多次查詢:
      

      jzqw2.zj2if.my.tunnel.com
      
wgsy3.ffraw.my.tunnel.com
      
ozj2g.i2syu.my.tunnel.com
      
2tjy5.dcmrt.my.tunnel.com
      

      用戶可以通過安裝免費(fèi)的 DNS 隧道工具來繞過 IT 策略和/或監(jiān)控來濫用此技術(shù)(如下圖 1 所示)。他們還可以利用這種技術(shù)繞過網(wǎng)絡(luò)授權(quán),在酒店和機(jī)場獲得免費(fèi)的互聯(lián)網(wǎng)接入。
      

      攻擊者可以使用出站 DNS 請求將編碼的泄露數(shù)據(jù)發(fā)送到他們的基礎(chǔ)設(shè)施(如下圖 2 所示),或者使用 DNS 響應(yīng)將命令發(fā)送到受感染的系統(tǒng)并遠(yuǎn)程管理受感染的設(shè)備。
      

      改進(jìn) DNS 隧道實(shí)時檢測
      

      今天,我們很高興地宣布,組織擁有一個強(qiáng)大的新盟友來防止其網(wǎng)絡(luò)中的數(shù)據(jù)泄露和未經(jīng)授權(quán)的 DNS 隧道。在我們的 DNS 解析器中開發(fā)了一個新的專有緩存,以與我們的機(jī)器學(xué)習(xí)模塊一起工作。我們最新的機(jī)器學(xué)習(xí)模塊經(jīng)過調(diào)整可檢測數(shù)據(jù)泄露和 DNS 隧道事件。
      

      這個新模塊監(jiān)控 DNS 流量的行為模式和流量泄露數(shù)據(jù),有效地構(gòu)建足夠的信息來檢測和阻止數(shù)據(jù)泄露。而且,如果環(huán)境和域聲譽(yù)發(fā)生變化,該模塊將自行糾正并讓流量通過。
      

      我們進(jìn)行此更新是因?yàn)樵谶^去的幾年中,我們看到在大流行期間數(shù)字化工作的新現(xiàn)實(shí)中,組織的工作效率更高,聯(lián)系更緊密。然而,登錄和帶寬的爆炸式增長有時伴隨著數(shù)字安全性的降低。數(shù)據(jù)泄露已成為一個新的現(xiàn)實(shí),攻擊者在 DNS 中打了一個洞。
      

      DNS隧道如何工作?使用革命性的DNS緩存推動改進(jìn)-南華中天
      

      使用革命性的 DNS 緩存推動改進(jìn)
      

      為DNS 解析器提供支持的技術(shù)堆棧可處理來自 ISP、全球組織、市政當(dāng)局、學(xué)校和家庭的大量 DNS 流量負(fù)載。在此基礎(chǔ)上,我們破解了 DNS 解析器的核心——緩存。雖然我們在DNS 隧道解決方案簡介中深入探討了這項(xiàng)新功能的細(xì)節(jié),但我們也想在這里為您提供一個概述。
      

      DNS 解析器的緩存可以在沒有故障、中斷和輕松的情況下為全球流量的膨脹提供服務(wù)。它還使 Internet 的骨干網(wǎng)免受相同查詢的淹沒。緩存在本地存儲數(shù)據(jù),以便更快地提供服務(wù)。
      

      隧道緩存
      

      隧道緩存使我們能夠?qū)⒁幌盗胁樵冋澈显谝黄穑駝t這些查詢是不同的原子事件。通過專有密鑰和數(shù)據(jù)字段,我們無縫地整合了網(wǎng)絡(luò)沖浪者不知道的快速緩存更新。我們通過使用概率算法中的技巧合并傳入的數(shù)據(jù)字段來保持閃電般的速度。將每個人的 DNS 查詢粘合在一起可以提供對大量信息的訪問,否則將被隱藏。組織現(xiàn)在可以獲得實(shí)時的個性化 DNS 隧道監(jiān)控、檢測和實(shí)施。
      

      加密有效載荷
      

      我們將新的 DNS 緩存與在識別加密消息方面訓(xùn)練有素的詞法引擎配對。我們的研究人員深入研究了各種加密協(xié)議并創(chuàng)建了一種狀態(tài)算法,該算法能夠遍歷域名中的每個字符轉(zhuǎn)換并以高保真度識別加密有效負(fù)載。