什么是 DNS 数据外泄？

DNS 数据外泄是黑客利用域名系统 (DNS) 协议从 IT 系统或网络中窃取数据的一种方法。在数据外泄攻击中，黑客会将受保护的 IT 环境中的机密或敏感数据嵌入到 DNS 数据包中，进而窃取这些数据。由于 DNS 流量通常被允许通过防火墙和安全系统，因此被恶意窃取的数据隐藏在 DNS 数据包中极有可能顺利离开企业，并且不会触发安全告警。DNS 数据外泄往往是 DNS 隧道攻击所导致的后果之一。

DNS 主要负责将人类可读的域名（例如 website.com）转换成计算机可读的 IP 地址（例如 2001:db8:3e8:2a3::b63）。当用户在浏览器中输入一个域名时，递归 DNS 服务器或解析器就会与其他名称服务器（如根名称服务器、顶级域名 (TLD) 服务器和权威名称服务器）进行通信，以找到与该域名对应的 IP 地址。或者，DNS 服务器可以提供之前 DNS 响应中存储在缓存存储器中的 IP 地址记录。这些通信和 DNS 请求通常能够穿越防火墙，且不受严密监控，这使其成为网络犯罪分子理想的攻击媒介，他们利用这一漏洞将数据从 IT 网络中非法转移出去。

在 DNS 数据外泄攻击中，黑客首先会在其入侵的网络或系统上安装恶意软件。为了实现这一目的，黑客可能会诱骗网络内的用户点击恶意链接或访问含有恶意软件的网站，进而将恶意软件下载到用户的设备中。此外，黑客还可能利用窃取的凭据来入侵网络，并在该环境中安装恶意软件，从而控制受感染的设备，使其成为命令和控制服务器。

然后，攻击者会利用 DNS 协议将数据嵌入到 DNS 查询的数据包中（例如 encodedstringofdata.attacker.example.com），这些查询随后将被解析到攻击者控制的域名服务器。包含被盗数据的 DNS 查询能够悄然穿过防火墙和安全系统，最终传递到攻击者控制的权威域名服务器，这些外泄数据会在该服务器中被解码并完成传输。

攻击者利用多种技术手段，通过 DNS 实现数据外泄。攻击者可能会对敏感信息进行编码，将其嵌入到子域名或资源记录数据中，以此来隐藏这些敏感信息。此外，他们还可以将信息切分成更小的部分，将数据隐藏在 DNS 数据包中，并分批通过多个 DNS 查询和响应进行传输。他们可以通过改变查询 ID 或修改 DNS 数据包的标头来嵌入数据。攻击者的服务器将识别这些数据，从被篡改的 DNS 流量中提取或解码外泄的数据。

低吞吐量数据外泄是指攻击者为了躲避网络安全产品的检测，以非常缓慢的速度进行的外泄行为。DNS 隧道攻击等其他类型的 DNS 攻击通常会产生大吐量事件，导致 DNS 流量发生显著变化，从而触发安全系统发出告警。在低吞吐量数据外泄中，由于受感染的系统或端点可能每小时仅发送一次 DNS 请求，因此不会出现明显的流量高峰。由于这种通过 DNS 实施的数据外泄极为隐蔽，因此很难被检测到。

为了防止数据外泄，IT 团队应该遵循以下几个网络安全最佳实践。

• 采用 DNS 安全解决方案。DNS 安全解决方案运用数据外泄检测算法，持续监控流量，并深入分析 DNS 流量日志，能够发现异常模式或泄露迹象。
• 确保正确配置了防火墙和代理。应配置防火墙和代理来严格控制出站 DNS 流量，并防范与外部 DNS 服务器的未经授权连接。
• 启用速率限制。通过合理限制 DNS 服务器的响应速度，可以有效减轻 DNS 泛洪攻击和放大攻击的影响。黑客常常利用这些攻击手段转移人们的注意力，以掩盖其数据外泄行为。
• 部署 DNS 防火墙。DNS 防火墙解决方案能够实时检测 DNS 流量，并利用威胁情报阻止恶意请求和数据外泄。
• 优化漏洞修补。保持 DNS 服务器和软件的最新状态，并定期应用补丁，能够修补攻击者可能利用的漏洞，从而防止未经授权的数据访问和外泄风险。
• 开展安全意识培训。鉴于人为失误是网络攻击成功的最常见因素之一，因此，对员工进行安全意识培训至关重要。通过培训，员工可以了解如何避免可能被攻击者利用的行为，从而防止攻击者突破防御和发起 DNS 数据外泄活动。