Comments 33
"Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных" - кажется, вы выдаете желаемое для бизнеса за действительное. Или просто говорите глупости...
резолвит А запись СС - значит использует /s
Использует, это подтверждается в том числе реальными кейсами. И да, резолвинг домена - тоже использование, но также часто встречается и DGA и DNS-туннелирование (как один из инструментов, если остальные варианты туннелей не работают изначально, хакеры используют очень многофункциональные инструменты на потоке).
Резволвит ОС, не путайте!
Резолвит тогда уж не только ОС (сейчас все сложно - браузер может сам резолвить и т.д.), но и цепочка DNS-серверов. За счет нее, часто из "закрытых" от Интернета сегментов вредоносное ПО и осуществляет связь с командными центрами.
Но в PDNS-сервисах этот сервис и встраивается в эту цепочку резолвингов для защиты.
Кодировка в base64, деление на куски и отправка несколькими запросами в параметрах… Или поддоменами, или урлами.
DOOM недавно запустили так уже, всего 2000 dns запросов )) источник https://blog.rice.is/post/doom-over-dns/
"Достаточно сменить DNS-резолвер" - неверно, потому что существует мальварь, которая явным образом(!) прописывает адрес DNS-сервера через который происходит резолв. Хорошая попытка, как говорится
а что, у кого-то в сетке разрешены левые ДНС сервера за периметром?
Кроме бизнеса есть и простые юзвери. С рекурсивностью тоже может выйти интересно
Дело не в "левых" серверах, а в "легитимном" резолвинге через цепочку DNS сервер AD - публичный резолвер - корневой DNS-резолвер.
Где в итоге запросы проходят и переносят нужную хакерам информацию. Если не использовать фильтрацию DNS-трафика.
Разумеется если в Ideco NGFW используется модуль DNS Security, то "утечки" DNS через другие каналы (как 53UDP, так и публичные DoH/DoT-сервера, блокируются и все заворачивается на NGFW). Это обязательная архитектурная особенность конечно.
DNS (Domain Name System) — «телефонный справочник» интернета
Ну спасибо, что объяснили. Дальше этот нейросетевой поток сознания можно не читать.
Буквально одним предложением объяснили. В статье про NGFW, первый вопрос был что такое NGFW, поэтому так сделали. Иначе с магазином компьютерной техники часто путают.
Вот оно что. А я думал чтобы с NSFW не перепутали, так-то похоже.
Куда планируете звонить по TXT записям?
в моей "телефонной книге" есть не только телефон, а множество полей: и место работы, и заметка о человеке и можно добавлять произвольные.
Понятно, не придумали ещё тот глобус, на который не лезет ваша сова.
Каждое обращение к любому сайту или сервису начинается с DNS-запроса: браузер спрашивает «какой IP у ideco.ru?» и получает ответ. Без этого был бы невозможен доступ к ресурсам по именам.
Как-то я на своей машине обхожусь без DNS, а сайты работают. И у многих так. Это ли не чудо?
99,9% малвари используют протокол TCP/IP.
Про DNS мы сделали акцент, т.к. часто это "слепая зона" для наложенных средств защиты.
Не по статистике, а по опыту пилотных испытаний в сетях - скрытые DNS-туннели мы обнаруживаем в большинстве случаев.
DNS это 7-ой уровень модели OSI. TCP/IP же практически базовый - транспортный, поэтому более очевидно, что его используют (и пожалуй 100%).
Данные DNSFilter за Q1 2025 показывают, что 79% атак задействуют DNS-уровень.
Не могу представить себе методику, по которой DNSFilter может достоверно получить эту информацию. Вы можете?
У них довольно большая выручка, много клиентов и по их словам она резолвят 180 млрд запросов/день, на основе этого (в т.ч. разбора инцидентов у клиентов) скорее всего могут сделать выводы. Возможно чуть тенденциозные, но все-таки.
Просто есть некоторое ощущение, что "по опросу на сайте таком-то 100% людей пользуются интернетом".
Если эта компания предоставляет услуги DNS-фильтрации - откуда они знают про кейсы, в которых DNS-фильтрация не использовалась, и тем более про статистическое распределение таких кейсов?
Максимум откуда такую информацию они могут получить - это от клиентов, которые раньше фильтрацию не использовали, а потом из-за кейса к ним пришли, но что это отражает реальную статистику - есть огромные сомнения.
Cisco и другие вендоры и организации называют похожие цифры. Вот здесь (AUPDNS is Australia’s protective domain name system which employs RPZ (Response Policy Zones) to dynamically filter out malicious and suspicious domains, which according to a US National Security Agency cybersecurity study foils 92% of malware attacks), речь про 92%.
У нас в Ideco статистика конечно с меньшей выборкой, но все же по ощущениям очень похожи на правду эти цифры.
Спасибо за подробный разбор темы DNS Security
Много букаф, но без конкретики - в чём заключаются атаки. Особенно если для защиты предлагается платить деньги.
Тут статья больше с точки зрения бизнеса аналитика и решений в сфере ИБ.
Про типы атак через DNS подробнее писали ранее:
https://habr.com/ru/companies/ideco/articles/1010618/
Спасибо, инвормативно
91% малвари используют DNS. Кто и чем его защищает в России и мире