DNSトンネリング とは

勉強前イメージ

攻撃の名前だった気がする・・・

調査

DNSトンネリング とは

DNSの仕組みを利用してサイバー攻撃や情報漏洩に悪用する攻撃になります。
httpに比べてfirewallなどで制限されていない場合も多く、日常の中で大量にDNSの通信を行うので紛れ込ませることが可能です。

基本的なDNSの通信

基本的にはDNSの仕組みは以下になります。

流れとしては以下になります。

1. クライアントPCからDNSサーバに聞きに行く
2. DNSサーバはわからないのでルートのDNSサーバに聞きに行く
3. ルートのDNSサーバはわからないのでcomのDNSサーバを教える
4. comのDNSサーバに聞きに行く
5. comのDNSサーバはわからないのでexampleのDNSサーバを教える
6. exampleのDNSサーバに聞きに行く
7. IPアドレスを教えてもらう
8. DNSサーバはクライアントPCにIPアドレスを教える

悪用される際のDNSの通信

それが悪用されると以下のような流れになります。

1. クライアントPCからDNSサーバに聞きに行く
2. DNSサーバはわからないのでルートのDNSサーバに聞きに行く
3. ルートのDNSサーバはわからないのでcomのDNSサーバを教える
4. comのDNSサーバに聞きに行く
5. comのDNSサーバはわからないのでexampleのDNSサーバを教える
6. exampleのDNSサーバに聞きに行く
7. TXTレコードを教えてもらう
8. DNSサーバはクライアントPCにTXTレコードを教える
9. 送られたマルウェアなどをダウンロードし、コマンド結果などを送付します

exampleのDNSサーバは悪意を持っていて、TXTレコードにマルウェアを仕込んだりデータを送るような指示を書いて送ります。
また1回の問い合わせで送れない場合は複数回の問い合わせで送信します。
そのため、情報漏洩に繋がったりします。

勉強後イメージ

DNSは普通にweb見てても発生するからぱっとすぐわかったりしないし
firewallでhttpに比べて制限されていることも少ないから使われるのね・・・・

参考

• DNSを悪用する新たな標的型攻撃が日本を襲う
• 標的型攻撃で使われるトンネリング技術