DNSとは?
簡単に言えば、 DNS はインターネットの電話帳です。 インターネットを閲覧するとき、ほとんどのユーザーは、アクセスしたいWebサイトのドメインまたはURL( https://www.checkpoint.com など)を入力することを好みます。 ただし、インターネットのサーバーとインフラストラクチャは、IPアドレスを使用してトラフィックの宛先を識別し、そこにルーティングします。
DNSは、ドメイン名とIPアドレスの間の変換を提供します。 これは、さまざまなサブドメイン用のサーバーを備えた階層システムとして編成されています。 サイトへの訪問者は checkpoint.com.comに尋ねます DNS サーバ: checkpoint.com DNS サーバの IP アドレス。 この DNS サーバーへの 2 番目の要求では、目的の Web ページをホストしているサーバーの IP アドレスが提供されます。 これで、ユーザーは目的のサイトにアクセスできるようになります。
DNSトンネリングの仕組み
DNSは、インターネットの基本的なプロトコルの1つです。 それが提供する検索サービスがなければ、インターネット上で何かを見つけることはほぼ不可能です。 Webサイトにアクセスするには、それをホストしているサーバーの正確なIPアドレスを知る必要がありますが、これは不可能です。 その結果、DNSトラフィックはインターネット上で最も信頼できるトラフィックの一部です。 組織は、社内の従業員が外部サイトにアクセスし、外部ユーザーがWebサイトを見つける必要があるため、ファイアウォール(受信と送信の両方)の通過を許可します。
DNS tunneling takes advantage of this fact by using DNS requests to implement a command and control channel for malware. Inbound DNS traffic can carry commands to the malware, while outbound traffic can exfiltrate sensitive data or provide responses to the malware operator’s requests. This works because DNS is a very flexible protocol. There are very few restrictions on the data that a DNS request contains because it is designed to look for domain names of websites. Since almost anything can be a domain name, these fields can be used to carry sensitive information. These requests are designed to go to attacker-controlled DNS servers, ensuring that they can receive the requests and respond in the corresponding DNS replies.
DNS tunneling attacks are simple to perform, and numerous DNS tunneling toolkits exist. This makes it possible for even unsophisticated attackers to use this technique to sneak data past an organization’s network security solutions.
DNS トンネリング攻撃の検出
DNSトンネリングには、基盤となるDNSプロトコルの悪用が含まれます。 マルウェアは、DNS要求と応答を使用して正当なIPアドレス検索を実行する代わりに、DNSを使用してハンドラーを備えたコマンドアンドコントロールチャネルを実装します。
DNSの柔軟性は、データ流出に適しています。ただし、これには限界があります。 ネットワーク上の DNS トンネリングの指標には、次のようなものがあります。
- 通常とは異なるドメイン要求: DNSトンネリングマルウェアは、リクエストされたドメイン名(DATA_HERE.baddomain.comなど)内のデータをエンコードします。 DNSリクエスト内で要求されたドメイン名を検査することで、組織は正当なトラフィックとDNSトンネリングの試行を区別できる場合があります。
- 通常とは異なるドメインの要求: DNSトンネリングは、攻撃者がターゲットドメインを所有し、DNSリクエストがDNSサーバーに送信される場合にのみ機能します。 組織で通常とは異なるドメインに対するリクエストが急増している場合、特にそのドメインが最近作成されたばかりの場合は、DNSトンネリングを示している可能性があります。
- DNSトラフィック量が多い: DNS 要求内のドメイン名の最大サイズは (253 文字) です。 つまり、攻撃者は、データ流出を実行したり、高度にインタラクティブなコマンド&コントロールプロトコルを実装したりするために、大量の悪意のあるDNSリクエストを必要とする可能性が高いということです。 その結果、DNSトラフィックが急増し、DNSトンネリングの指標となる可能性があります。
これらの要因はすべて、それ自体で良性である可能性があります。 ただし、組織でこれらの異常のいくつかまたはすべてが発生している場合は、DNSトンネリングマルウェアがネットワーク内に存在し、アクティブであることを示している可能性があります。
DNSトンネリングから保護する方法
DNSトンネリングからの保護には、このデータ流出の試みを検出してブロックできる 高度なネットワーク脅威対策 システムが必要です。 このようなシステムは、ネットワークトラフィックの検査を実行し、堅牢な脅威インテリジェンスにアクセスして、悪意のあるドメインに向けられたトラフィックや、DNSトラフィックに埋め込まれている可能性のある悪意のあるコンテンツの識別をサポートする必要があります。
チェック・ポイントの 次世代ファイアウォール (NGFW)は、業界をリードする脅威検出機能とネットワークセキュリティ機能を提供します。 チェック・ポイントのソリューションの詳細と、組織のネットワークセキュリティを向上させる方法については、 お問い合わせください。 また、チェック・ポイントのNGFWの動作を確認するための デモをリクエスト することもできます。
Feedback