Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNS 隧道检测概述

DNS隧道是一种网络攻击方法,在DNS查询和响应中对其他程序或协议的数据进行编码。它表示 DNS 流量可能会被破坏以传输其他协议或恶意软件信标的数据。

当 DNS 数据包被检测为隧道时,SRX 系列防火墙可以采取允许、拒绝或沉洞操作。

DNS 隧道检测仅适用于瞻博网络 ATP 云许可证。有关特定于功能的许可信息,请参阅 ATP 云的软件许可证

SRX 系列防火墙将隧道元数据导出到瞻博网络 ATP 云。要查看 DNS 隧道检测,请登录到瞻博网络 ATP 云 Web 门户,然后导航到 监控 > DNS。单击 Tunnel 选项卡查看 DNS 隧道检测,如图 1 所示。您可以单击域名以查看已联系该域的主机的更多详细信息。

图 1:DNS 隧道页面 DNS Tunnel Page

DNS 隧道过程

以下是 DNS 隧道的工作原理:

  1. 网络攻击者注册一个恶意域,例如“badsite.com”。
  2. 域的名称服务器指向攻击者的服务器,DNS 隧道恶意软件程序正在该服务器运行。
  3. 在受感染主机上运行的 DNS 隧道客户端程序会向恶意域生成 DNS 请求。
  4. DNS 解析器将查询路由到攻击者的命令和控制服务器。
  5. 通过 DNS 解析器在受害者和攻击者之间建立连接。
  6. 此隧道可用于泄露数据或用于其他恶意目的。