...
DNS ist eines der grundlegenden Protokolle des Internets. Ohne die Nachschlagedienste, die es bereitstellt, wäre es schwierigschrierig, irgendetwas im Internet zu finden. Um eine Website zu besuchen, müssten Sie die genaue IP-Adresse des Servers kennen, der sie hostet, was unmöglich ist. Aus diesem Grund gehört DNS-Verkehr zu den vertrauenswürdigsten Daten im Internet.
Unternehmen lassen ihn durch ihre Firewall passieren (sowohl eingehend als auch ausgehend), weil es für ihre internen Mitarbeiter notwendig ist, externe Sites zu besuchen und für externe Benutzer, ihre Websites zu finden.
Ein Angriff oder eine Umgehung der Regularien von Netzwerken (z.B. Aushebeln von Hotspot-Anmeldungen oder gesperrten Diensten) mittels DNS-Tunneling macht sich diese Tatsache zunutze, indem DNS-Anfragen zur Implementierung eines Befehls- und Kontrollkanals für Malware verwendet werden. Eingehender DNS-Verkehr kann Befehle an die Malware übertragen, während ausgehender Verkehr sensible Daten exfiltrieren oder Antworten auf die Anfragen des Malware-Betreibers liefern kann. DNS-Tunneling kann zudem verwendet werden, um Regularien in Netzwerken z.B. durch Aushebeln von Hotspot-Anmeldungen oder gesperrten Diensten zu umgehen.
Dies funktioniert, weil DNS ein sehr flexibles Protokoll ist. Es gibt nur sehr wenige Einschränkungen für die Daten, die eine DNS-Anfrage enthält, da es für die Suche nach Domain-Namen von Websites konzipiert ist. Da fast alles ein Domain-Name sein kann, können diese Felder verwendet werden, um sensible Informationen zu übertragen. Diese Anfragen sind so konzipiert, dass sie an von Angreifern kontrollierte DNS-Server gehen, damit diese die Anfragen empfangen und in den entsprechenden DNS-Antworten antworten können.
...