惡意軟件編寫者開始使用DNS請求進行數據滲透，那么，這些攻擊的工作原理是什么，以及抵御它們的最佳做法有哪些?

[[152419]]

Nick Lewis：多年來，高級攻擊者一直在利用DNS隧道、ICMP隧道等進行數據滲透。基于他們取得的成功，很多其他攻擊者也開始采用這種技術，讓這種技術逐漸普遍。DNS通常也被允許出站連接到互聯網，而不需要進行過濾，這讓攻擊者可以利用它來從受感染網絡滲出數據。

DNS隧道通常用于已經受感染的計算機，它會編碼惡意DNS域名中少量數據。受感染的計算機可以在惡意域名和/或使用攻擊者控制的DNS服務器來執行DNS查詢。當受感染計算機的DNS請求到達預期接收者的DNS服務器或設備，攻擊者可以記錄數據供以后使用和/或在DNS響應中發送少量數據回受感染計算機，DNS響應可能是由受感染計算機執行的命令。這種交換可以從網絡滲出少量數據，并在網絡上兩臺計算機之間建立間接通信。

抵御利用DNS隧道的攻擊首先需要檢測異常DNS流量，這可以通過監控DNS日志或直接使用工具監控網絡來執行。初始DNS服務器還可以配置為記錄DNS查詢請求，并且，企業可以監控這些日志信息查詢來自一個端點的大量DNS請求，或者需要被轉發的大量DNS請求。這種相同的分析也可以通過監控網絡流量來執行。

企業可以在內部部署DNS安全工具或者將這個工作外包給DNS提供商以對企業DNS流量執行分析，并可能阻止或攔截發送到惡意DNS服務器的DNS查詢，這些供應商包括Neustar、OpenDNS和Percipient Networks等。