DNS：轻而易举窃取数据的方法？

域名系统 (DNS) 请求是互联网上几乎一切活动的起点，因此攻击者利用 DNS 协议也不足为奇。DNS 滥用的方式不计其数，包括用于分布式拒绝服务攻击的 DNS 放大，以及将良性 DNS 请求重定向到恶意域的 DNS 劫持。更高级、更有针对性且在网络中发生频率更低的是 DNS 渗透。 

高吞吐量 DNS 隧道与低吞吐量 DNS 渗透

虽然高吞吐量 DNS 隧道和低吞吐量 DNS 渗透所用的基本技术大体相似，但这两类攻击之间存在显著差异。就相似之处而言，两者都使用 DNS 协议来传输与 DNS 查询无关的数据，通过将其他数据附加到 DNS 请求来完成传输。两者都利用了大多数企业由于 DNS 流量的关键作用而不会加以干扰这一事实。但是，相似之处仅止于此。

在执行高吞吐量 DNS 隧道时，通向一个特定域或几个域的 DNS 流量将发生显著变化；对一个域或几个域的 DNS 请求长度将增加，请求之间的时间将缩短。DNS 隧道可用于相对良性的目的（例如，绕过 Wi-Fi 付费墙）或恶意目的（例如，与命令和控制 [C2] 服务器通信）。然而，由于其特性，检测和阻止 DNS 隧道相对简单。

而相比之下，在执行低吞吐量 DNS 数据渗透时，发往任意单个域或多个域的流量都不会显著增加，请求之间的时间间隔也会延长。例如，受恶意软件感染的端点可能仅每小时唤醒一次，并向其 C2 服务器发送带有简短附加消息的 DNS 请求。如此一来，在不增加误报安全警报数量的情况下检测低吞吐量 DNS 渗透将变得极其困难。

为何攻击者喜欢利用低吞吐量数据渗透？

使用 DNS 传输数据的一大限制是 DNS 消息长度限制为 255 个字节，其中很大一部分可能被 UDP 控制消息占用。但是，如前所述，企业不愿意去干扰 DNS 流量，这通常意味着不予监控；即使实施了监控，这种监控很可能也只能识别高吞吐量隧道。 

这种情况使得利用低吞吐量数据渗透对攻击者而言极具吸引力，特别是窃取的数据极具价值时，如信用卡号码。使用低调且缓慢型方法窃取信用卡详细信息可能需要一段时间，但这种等待是值得的。

防范 DNS 渗透

低吞吐量 DNS 渗透恶意软件可能非常危险，并可能导致企业发生重大且代价高昂的数据泄露，因此 Akamai 的安全研究团队最近一直专注于更全面深入地了解该问题，以构建更有效的检测技术。这篇 文章详细介绍了这项研究的大部分内容，如果您还想更深入地了解具体情况，那么值得一读。

我们的 DNS 数据渗透检测算法源于该研究，并随着时间的推移不断增强，以提高检测速度和准确性，尽可能减少误报警报。该算法用于持续分析来自部署了我们云安全 Web 网关的客户的 DNS 流量日志。如果检测到新威胁，我们会主动提醒受影响的客户，并将与渗透相关的域添加到我们的威胁情报中，以便后续保护所有客户。

2022 年 4 月，该系统发现了一个 DNS 渗透实例，充分表明了该算法的有效性。系统在客户流量日志中识别出大量域的突发 DNS 流量，其中窃取的数据已附加到子域的请求中。真正值得关注的是，该算法在此次攻击活动的第一个小时内就检测到了攻击迹象，而且作为检测依据的子域请求相对较少：总共 1,109 个。