DNS‑трафик: скрытый фактор корпоративной уязвимости
| itsec.ru
BI.ZONE Secure DNS
Защита бизнеса от атак, использующих DNS
Как вам наш сайт?
Расскажите в интервью, а мы подарим мерч
Участвовать
Назначение
Система доменных имен (DNS
При этом DNS‑активность редко контролируется. Привычные решения безопасности, такие как межсетевые экраны, IDPS
В результате возникает удобная для злоумышленников слепая зона. Благодаря ей можно красть данные, передавать команды вредоносному ПО, направлять пользователей на фишинговые сайты.
Наше решение позволит командам кибербезопасности и IT взять DNS‑трафик компании под контроль
При этом DNS‑активность редко контролируется. Привычные решения безопасности, такие как межсетевые экраны, IDPS
В результате возникает удобная для злоумышленников слепая зона. Благодаря ей можно красть данные, передавать команды вредоносному ПО, направлять пользователей на фишинговые сайты.
Наше решение позволит командам кибербезопасности и IT взять DNS‑трафик компании под контроль
20+
популярных инструментов для атак используют протокол DNS (Cobalt Strike, Brute Ratel C4 и др.)
79%
компаний не отслеживают DNS‑трафик
Возможности
Устранить слепую зону
Решение обеспечивает полную видимость DNS‑трафика, включая DNS‑over‑TLS и DNS‑over‑HTTPS, и блокирует угрозы в нем
Роль: межсетевой экран уровня приложений для контроля DNS‑запросов
Обеспечить безопасную работу сотрудников
BI.ZONE Secure DNS не дает переходить по фишинговым ссылкам, открывать ресурсы с вредоносным ПО и нарушать корпоративные политики доступа в интернет
Роль: DNS‑фильтр
Сократить нагрузку на SOC
Объем DNS-событий для анализа уменьшается более чем на 99%: в SIEM‑систему приходят уведомления только о заблокированных угрозах
Роль: DNS‑шлюз с очищенными данными для мониторинга
Повысить цифровую стабильность
Кеширование и геобалансировка запросов через BGP anycast избавляют от проблем с доступностью DNS
Роль: рекурсивный резолвер
Схема работы
Преимущества
Выявление сложных атак
Решение обнаруживает угрозы, которые не видны другим инструментам сетевой безопасности: отравление кеша, DNS‑туннелирование
Работа с данными киберразведки
Информация с портала BI.ZONE Threat Intelligence помогает отсекать вредоносные запросы еще до соединения с инфраструктурой злоумышленника
Продвинутая аналитика
Подробные данные о DNS‑трафике помогают компаниям любого размера решать задачи в сферах IT и кибербезопасности
Все варианты поставки
Облачное, локальное или гибридное подключение — выбирайте то, что удобно именно вам
Быстрое подключение
Облачный вариант подключается от 10 минут, гибридный — от 1 дня
Российские технологии
Решение включено в реестр отечественного ПО
Личный кабинет
Наши проекты
Сертификаты
Решение BI.ZONE Secure DNS включено в реестр отечественного ПО
Как попробовать
- Напишите нам
-
Мы продемонстрируем работу BI.ZONE Secure DNS и ответим на ваши вопросы
-
Поможем провести 30‑дневное пилотирование
Вам также может подойти
Облачный
Гибридный
Локальный
Портал документации
Изучите руководства, инструкции и другие полезные материалы
Перейти на портал
Видео
Отравить, cвязать, запутать: теневая сторона DNS
Алексей Романов, руководитель направления развития облачных решений, рассказал о трех нетривиальных атаках с использованием DNS‑протокола: отравлении DNS‑кеша, перепривязывании DNS и использовании DGA‑доменов. Спикер разобрал техники, которые применяют злоумышленники, и на примере BI.ZONE Secure DNS продемонстрировал, как можно защититься от таких угроз.
Запись вебинара от 31 октября 2024 г.
Спикер упоминал вебинары:
Зачем контролировать DNS, если есть SWG для фильтрации URL?
Руководитель направления развития облачных решений Алексей Романов отвечает на вопрос, который мы получили на вебинаре: что такое SWG и стоит ли сочетать решения этого класса с нашим продуктом BI.ZONE Secure DNS
BI.ZONE Secure DNS против слепых зон безопасности
Ведущий специалист по исследованию киберугроз Алексей Романов продемонстрировал, как BI.ZONE Secure DNS обеспечивает прозрачность DNS‑трафика и какие возможности появились у пользователей с обновлением решения, а также рассказал, как оно будет развиваться.
Запись вебинара от 28 мая 2024 г.
Разгадываем тайны DNS‑туннелей с BI.ZONE Secure DNS
Запись вебинара от 31 октября 2023 г.
#вебинар
Разгадываем тайны DNS‑туннелей с BI.ZONE Secure DNS
Алексей Романов, ведущий пресейл‑инженер облачных сервисов кибербезопасности, рассказал, что такое DNS‑туннелирование и как злоумышленники используют его для обхода средств защиты. А еще спикер продемонстрировал, за счет каких нетривиальных техник BI.ZONE Secure DNS выявляет и блокирует DNS‑туннели
Запись вебинара от 31 октября 2023 г.
BI.ZONE Secure DNS: обнаружение и блокировка атак, реализуемых через протокол DNS
Запись вебинара от 18 мая 2023 г.
#мероприятия #продукты #рекомендации
BI.ZONE Secure DNS: обнаружение и блокировка атак, реализуемых через протокол DNS
Алексей Романов, пресейл‑инженер облачных сервисов кибербезопасности, рассказал об особенностях атак через DNS. На примерах кейсов спикер разобрал, как сервис BI.ZONE Secure DNS помогает противостоять таким киберугрозам.
Запись вебинара от 18 мая 2023 г.
Защита DNS‑трафика с помощью сервиса BI.ZONE Secure DNS
Запись вебинара от 27 октября 2022 г.
#мероприятия #продукты
Защита DNS‑трафика с помощью сервиса BI.ZONE Secure DNS
На вебинаре Андрей Куликов, руководитель экспертной поддержки продаж управляемых сервисов BI.ZONE, рассказал об атаках на уровне DNS. Он разобрал, почему защите от них уделяют недостаточно внимания и как сервис BI.ZONE Secure DNS может обезопасить компании от киберугроз такого типа.
Запись вебинара от 27 октября 2022 г.
Публикации
Февраль 2026 г. | Версия 1.12.0
Основные результаты обновления
- Личный кабинет с аутентификацией через BI.ZONE ID. Доступен клиентам с облачным и гибридным вариантами подключений.
- Управление узлами рекурсивного резолвинга. Добавлены инструменты для настройки узлов резолвинга, частных серверов имен и доменных зон пересылки DNS‑запросов.
- Обновленный механизм формирования отчетов. Повышена производительность генерации отчетов и надежность работы этого модуля.
Личный кабинет с аутентификацией через BI.ZONE ID
- Интеграция с BI.ZONE ID и поддержка 2FA. Пользователи облачных и гибридных вариантов входят через BI.ZONE ID с применением двухфакторной аутентификации.
- Миграция с платформы DefZone. Произошла миграция пользователей с DefZone на BI.ZONE Secure DNS c BI.ZONE ID.
- Локальный вход для инсталляций. В версиях on‑prem используется локальная аутентификация BI.ZONE Secure DNS.
Рекурсивный резолвинг и зоны пересылки
- Управление узлами рекурсивного резолвинга. В разделе «Настройка» добавлена возможность управлять параметрами узлов рекурсивного резолвинга.
- Поддержка частных серверов имен. Добавлены частные DNS‑серверы организации для использования в зонах пересылки.
- Настройка групп зон пересылки. Доступна возможность задать доменные зоны, для которых DNS‑запросы будут направляться на выбранные серверы пересылки.
Отчетность и технические доработки
- Обновленный механизм формирования отчетов. Оптимизировано формирование отчетов в плане производительности и надежности.
- Сопутствующие технические улучшения. Обновлены библиотеки бэкенда. В разделе Passive DNS добавлен запуск поиска по нажатию Enter. При удалении или деактивации организации автоматически удаляются все запланированные отчеты.
Декабрь 2025 г. | Версия 1.11.0
Основные результаты обновления
- Добавление WHOIS. Добавили раздел для просмотра полной WHOIS‑информации по доменам (владелец, даты регистрации и их окончания, статусы, DNS‑серверы), обеспечили быстрый переход в него из журнала событий.
- Улучшение политик и детектирования. Обновили политику DNSSEC и детектирование DGA, а также улучшили работу с IoC.
- Доработка пассивного DNS. Расширили типы записей и улучшили отображение событий.
Добавление WHOIS
- Новый раздел WHOIS для просмотра полной информации о доменах (владелец, даты регистрации и их окончания, статусы, DNS‑серверы и т. п.). Он реализован в одном интерфейсе, без обращения к сторонним источникам. Функциональность помогает проверять занятость доменов, выявлять молодые и потенциально опасные домены, анализировать раскрываемые данные владельца.
- Опция «Найти в WHOIS» в контекстном меню. Функция позволяет быстро открыть WHOIS‑данные по выбранному домену. Окно доступно при клике на домен в «Журнале событий» и «Статистике».
Улучшение политик и детектирования
- Новая политика фильтрации DNSSEC. Проверяет подлинность DNS‑ответов с помощью цифровых подписей и цепочки доверия DNSSEC, позволяет добавлять исключения в проверку безопасности:
- На уровне инстанса — верхнеуровневый список исключений из валидации цепочек доверия.
- На уровне тенанта — список исключений конкретного заказчика с учетом списка инстанса.
- Усовершенствование детектирования DGA. Обновили AI‑модель обнаружения DGA‑доменов.
- Улучшение работы с IoC. Расширили возможности фильтрации для частных настроек IoC с несколькими источниками.
Доработка пассивного DNS
- Обновление интерфейса. Добавлено отображение счетчика событий «n из m» (аналогично «Журналу событий»).
- Расширение данных. Добавлены типы записей NS.
Улучшение производительности
- Единый менеджер запросов к внешним сервисам (включая ядро). Обеспечивает стандартизированное выполнение запросов, обработку ошибок, логирование и валидацию ответов.
- Вкладка «Интеграции. Сервера имен» в разделе «Настройки». Позволяет управлять серверами имен в качестве резервных для юникаста IP‑адресов: можно добавить частные серверы имен организации, а также внешние рекурсивные резолверы сторонних провайдеров.
- Резервное переключение (failover) для юникаста IP‑адресов в разделе «Настройка». Предоставляет администраторам возможность указывать резервные серверы имен для автоматического перенаправления DNS‑трафика при недоступности основных IP‑адресов.
- Новые возможности журнала событий. Позволяет добавлять информацию о пользователе, который отправил DNS‑запрос (доступно для гибридных инсталляций).
- Улучшение сервиса отчетов. Повысили надежность, устранили баги, облегчили версию, оптимизировали алгоритм формирования отчетов.
- Модификация OpenAPI‑схемы.
- Использование эллиптических кривых в сервисах BI.ZONE Secure DNS и BI.ZONE Public DNS при работе через DNS‑over‑TLS и DNS‑over‑HTTPS.
- Проброс информации, полученной из внешних сервисов, внутри DNS‑сообщения при использовании схемы развертывания cloud‑cloud.
Ноябрь 2025 г. | Версия 1.10.0
Основные результаты обновления
- Управление наследованием узлов рекурсивного резолвинга. Новая вкладка в разделе «Настройка» позволяет централизованно управлять IP‑адресами рекурсивных узлов и их статусами для всех подключенных организаций.
- Secure DNS Failover API. Расширенный механизм резервирования резолверов дает возможность задавать fallback‑адреса через API для повышения отказоустойчивости клиентских узлов.
- BI.ZONE Public DNS. Сервис разрешает доменные имена с валидацией DNSSEC, производит базовую фильтрацию с опорой на данные киберразведки, отличается высокой производительностью и широкой совместимостью (поддерживает Do53, DoT, DoH).
Управление наследованием узлов рекурсивного резолвинга
В разделе «Настройка» появилось новое окно для управления IP‑адресами, используемыми при резолвинге.
Администратор организации теперь видит список IP‑адресов, наследуемых от локации, к которой она подключена.
- Новые или измененные адреса подсвечиваются желтым и выводятся в начале списка.
- Адреса со статусом «На обслуживании» (то есть временно недоступные) выделяются красным.
Для локаций появилась дополнительная вкладка «IP‑адреса для подключенных организаций». В ней глобальный администратор формирует и редактирует список адресов, доступных дочерним организациям, а также управляет их статусами.
Это обеспечивает централизованное управление конфигурацией рекурсивных резолверов и контроль актуальности IP‑адресов в многоузловых инфраструктурах.
Secure DNS Failover API
Обновлен API‑механизм настройки резервных резолверов. Это повышает отказоустойчивость BI.ZONE Secure DNS и обеспечивает непрерывное разрешение доменных имен.
Если клиентская нода Secure DNS Client Node теряет соединение с облачными узлами по протоколу DoT, она автоматически переключается на заранее указанный резервный DNS‑резолвер. В качестве резервных могут использоваться внешние сервисы или ваши собственные IP‑адреса.
BI.ZONE Public DNS
Подготовлен ко вводу в эксплуатацию публичный DNS-сервис, построенный на ядре BI.ZONE Secure DNS. Это решение обеспечивает разрешение доменных имен по протоколам Do53, DNS‑over‑TLS и DNS‑over‑HTTPS, а также включает:
- политики проверки целостности DNSSEC — защитe от отравления кеша DNS, спуфинга DNS и нарушения цепочек доверия;
- ряд источников IoC с BI.ZONE Threat Intelligence (FQDN и IP), предотвращающих обращение к потенциально нелегитимным ресурсам.
Октябрь 2025 г. | Версия 1.9.0
Основные результаты обновления
- Новый модуль Passive DNS. Позволяет находить связанные домены и IP‑адреса, помогая в расследованиях и реагировании на инциденты.
- Быстрое создание фильтров в разделах «Журнал событий» и «Статистика». Новое контекстное меню ускоряет поиск нужных событий и их копирование в фильтр из интерфейса.
- Расширенные TI‑политики для FQDN. Дают тонкий контроль над источниками угроз.
- Новая вкладка в разделе Anti DGA. Наглядно визуализирует легитимные домены.
- Интеграция с Active Directory (в тестовом режиме для разработчиков). Связывает DNS‑запросы с именами пользователей и помогает выявлять устройства вне домена.
Новый модуль Passive DNS
Он расширяет аналитические возможности BI.ZONE Secure DNS за счет сбора и хранения ресурсных записей, зафиксированных в DNS-ответах. Пользователи могут искать домены, припаркованные к одному IP‑адресу, исследовать связи между доменами и авторитативными серверами, использовать эти данные для форензики и расследования инцидентов.
Обновления ядра
- Расширенные TI-политики для FQDN. Добавлены частные настройки фильтрации для выбранных источников IoC. Теперь можно управлять состоянием конкретного источника, изменять порог срабатывания (IoC confidence score) и задавать действия: разрешать, блокировать или перенаправлять. По умолчанию действуют общие настройки, но частные становятся приоритетными, если их добавить. Это обеспечивает гибкую настройку TI‑фильтрации и минимизирует ложные срабатывания.
- Интеграция с Active Directory (в тестовом режиме для разработчиков). Реализован прототип AD-connector — интеграция BI.ZONE Secure DNS с DC‑сервером. Это позволит определять SRC_IP не только запроса, но и конкретного пользователя. Решение создает ретроспективу запросов для аналитики и форензики, а также позволяет выявлять устройства, не входящие в домен (shadow IT). В следующих релизах опция появится в личном кабинете.
- Идентификация заказчика на мультитенантных узлах. Добавлен механизм внедрения дополнительной информации в расширения EDNS0 DNS-сообщений, что позволяет идентифицировать заказчика при взаимодействии с цепочкой мультитенантных узлов. Это важно для MSSP-интеграций.
- Failover для NS-серверов. Повышена отказоустойчивость узлов, развернутых на вашей площадке (локальная версия). Через API теперь доступно управление механизмом failover для NS‑серверов, полученных от локации. Если виртуальная машина Secure DNS Client Node не может установить связь по DoT до облачных узлов, она переключается на резервный рекурсивный резолвер.
- Повышение производительности. Улучшен сбор статистики по запросам и ответам на основе сетевой информации, передаваемой через расширенные опции DNS (EDNS Client Subnet). Это позволяет точнее применять политики фильтрации и повышает эффективность детектирования DNS-туннелей. Также добавлена возможность создания конфигурации-заглушки при развертывании мультитенантных узлов рекурсивного резолвинга для локации, у которой нет подчиненных организаций. Функциональность необходима для первичной настройки пустых локаций. Исправлен ряд ошибок, доработано руководство пользователя.
Обновления интерфейса
- Быстрое создание фильтров в разделах «Журнал событий» и «Статистика». При клике на домен или IP‑адрес открывается контекстное меню с опциями «Копировать» или «Добавить в фильтр». Поддерживается множественное добавление — это позволяет быстро строить сложные условия фильтрации и проводить анализ.
- Новая вкладка в разделе Anti DGA. Вкладка «Не являются DGA» предоставляет визуализацию количества срабатываний политики, которые были классифицированы как легитимные, а не как домены, сгенерированные алгоритмами (DGA).
Июнь 2025 г.
Повысили прозрачность, точность и эффективность управления DNS‑трафиком. Улучшения затронули интерфейс аналитики, возможности интеграции и обнаружения угроз.
Обновления ядра
- Улучшенный механизм обнаружения DNS‑туннелей. BI.ZONE Secure DNS теперь точнее выявляет скрытый нелегитимный трафик, передаваемый через DNS‑туннелирование. Новые алгоритмы позволяют:
- фиксировать попытки передачи данных через заблокированные туннели;
- более точно детектировать IDLE‑активность зараженных устройств;
- снижать количество ложных срабатываний при анализе Do53, DoH, DoT, DoQ и EDNS0.
- Обновленная AI‑модель для обнаружения DGA‑доменов. Она стала лучше отличать легитимные генераторы доменов (например, принадлежащих Microsoft или Google) от вредоносных. Это уменьшает количество ложных срабатываний и риски пропустить реальные угрозы.
- Управление продуктом через REST‑like API. Обновление особенно полезно крупному бизнесу и MSSP, использующим BI.ZONE Secure DNS в рамках комплексной защиты инфраструктуры. Внедренные возможности API включают:
- автоматизацию настройки политик фильтрации и управления ими,
- интеграцию с внешними системами.
Обновления интерфейса
Новая панель мониторинга в личном кабинете. Улучшение позволяет быстрее выявлять аномалии в сетевом трафике за счет тонкой настройки и поддержки шаблонов отображения данных, а также расширенного набора метрик. В список метрик добавили:
- количество DGA‑ и DNS‑туннелей, объем передаваемого через них трафика;
- количество DNS‑запросов под действием политик фильтрации;
- среднее время отработки запросов и ответов, детализацию работы DNS‑протокола;
- списки наиболее частых разрешаемых доменов и IP‑адресов;
- коды DNS‑ответов, расширенные DNS‑ошибки.
Ноябрь 2024 г.
Теперь разрешение доменных имен проходит быстрее, а настроить DNS‑фильтрацию можно не только через API, но и в личном кабинете.
Обновления ядра
- Двукратное увеличение производительности. BI.ZONE Secure DNS может обрабатывать больше DNS‑запросов и ответов, не теряя эффективности.
- Ускоренное получение данных с портала BI.ZONE Threat Intelligence. Теперь вместо массовых единичных запросов, содержащих домен для проверки, сервис делает один запрос по всем доменам, которые пришли за единицу времени. В результате сократился срок проверки и нагрузка на обе системы.
- Оперативная передача информации об актуальных угрозах. Эти данные могут передаваться между узлами в облаке BI.ZONE и узлами в вашей инфраструктуре с помощью расширения протокола DNS — EDNS0. В итоге решение о блокировке или пропуске запроса на стороне вашего узла будет приниматься быстрее.
- Оптимизация передачи через протокол DNS‑over‑HTTPS (DoH). Механизм буферизации сообщений улучшен — взаимодействие через DoH стало стабильнее.
- Механизм инвалидации записей в DNS‑кеше. Он нужен, чтобы вовремя очищать данные в кеше второго уровня. Это повышает достоверность данных в случае нештатных ситуаций.
- Поддержка DNS cookie. Этот механизм обеспечивает дополнительную защиту от DNS‑спуфинга. При обращении к авторитативному серверу BI.ZONE Secure DNS самостоятельно выставляет значение DNS cookie, чтобы помешать злоумышленнику подменить результат разрешения доменного имени.
Обновления интерфейса
- Управление решением в личном кабинете. Раньше самостоятельная настройка DNS‑фильтрации была доступна только через API‑функции. Теперь прямо в личном кабинете можно управлять черными и белыми списками, модулем интеграции с BI.ZONE Threat Intelligence, а также механизмами обнаружения и блокирования DNS‑туннелей, сгенерированных алгоритмом доменов (DGA), перепривязывания DNS (DNS rebinding).
- Список перенаправления. Обновленный сервис позволяет не только блокировать или разрешать переход на определенные ресурсы, но и перенаправлять пользователя на другой IP‑адрес. Например, вы можете подготовить страницу, которая будет показываться сотрудникам при попытках открыть сайты с азартными играми и другие ресурсы, ограниченные по корпоративной политике.
- Список мониторинга. Благодаря ему можно отслеживать информацию об избранных запросах, не предпринимая при этом дополнительных действий.
Май 2024 г.
Появились новые механизмы для контроля DNS‑трафика и возможности работы с личным кабинетом.
Обновления ядра
- Новый метод обнаружения DGA. Он позволяет с высокой точностью определять сложные техники генерации доменных имен, которые используются вредоносными программами для сокрытия домена сервера управления (C&C). В основе нового метода — алгоритмы машинного обучения на базе 100 различных утилит и фреймворков C&C, а также серии тестов на вредоносном ПО.
- Улучшенные алгоритмы обнаружения DNS‑туннелей. Обновление предотвращает риск кражи данных через DNS‑туннели, которые задействуют особенности EDNS0 — расширения протокола DNS. Кроме того, в результате серии тестов увеличился список утилит, чьи DNS‑туннели детектирует и блокирует BI.ZONE Secure DNS: это подтвердилось в отношении Sliver, Pupy RAT, Metasploit, White Snake и еще более 10 программ.
- Повышенная скорость и производительность решения. Время разрешения доменных имен снизилось до 5–10 миллисекунд благодаря внедрению принципа single responsibility для компонентов BI.ZONE Secure DNS. Время проверки безопасности доменных имен сократилось до 20 миллисекунд за счет улучшенной интеграции с BI.ZONE Threat Intelligence — порталом данных об актуальных киберугрозах. Эти же изменения втрое увеличили производительность решения и обеспечили еще большую отказоустойчивость.
Обновления интерфейса
- Система журналирования событий. В обновленном личном кабинете отображаются все разрешаемые домены, DNS‑запросы и ответы. Это позволяет не только контролировать посещаемые веб‑ресурсы, но и отслеживать информацию об атаках и прочей подозрительной активности.
- Расширенные возможности системы отчетности. Во‑первых, в отчетах появились данные из журнала событий и новая статистика. Это информация об объеме трафика, IP‑адресах источников запросов, наиболее популярных небезопасных доменах, DNS‑туннелях и еще несколько страниц полезных сведений. Во‑вторых, благодаря разделу «Мои отчеты» можно настроить получение отчетов по расписанию и формировать их за любой период самостоятельно.
- Публичные API для управления решением. Появилась возможность менять настройки DNS‑фильтрации при помощи вызова API‑функций (GraphQL).
- Личный кабинет для локального варианта подключения. Раньше при полной on‑prem‑интеграции взаимодействовать с решением приходилось через командную строку. Теперь у локальной версии BI.ZONE Secure DNS появился личный кабинет, который позволяет просматривать статистику в удобном интерфейсе.
Что такое служба DNS
Система доменных имен (domain name system) преобразует привычные нам адреса сайтов в IP‑адреса. Например, у http://bi.zone это 185.163.159.90. Такой формат удобнее для обработки цифровыми системами, а пользователям интернета не приходится запоминать последовательности цифр.
Как работает технология DNS
Сейчас существует более 342 миллионов доменных имен
Когда вы набираете URL какого‑нибудь ресурса, браузер обращается к серверам в инфраструктуре DNS, чтобы узнать, какому IP‑адресу соответствует введенное доменное имя. Эти поиски могут проходить в несколько итераций в зависимости от того, есть ли этот адрес во временной памяти (кеше) сервера, в какой доменной зоне зарегистрирован ресурс и пр.
Какие бывают типы DNS‑серверов
DNS‑серверы выстраиваются в древовидную архитектуру:
- Корневые DNS‑серверы (root domain servers). Всего таких серверов существует 13. Каждый из них представляет собой распределенный комплекс реплик, работающих под одним IP‑адресом. Корневые серверы подхватывают приходящие запросы по принципу «кто ближе», чтобы в итоге они перенаправлялись в зону, к которой относится нужный веб‑ресурс.
- Серверы домена верхнего уровня (top level domain, TLD). Например, когда вы хотите открыть
bi.zone, запрос попадет на TLD‑сервер, который соответствует домену.zone. - Авторитативные DNS‑серверы. Они отвечают за конкретную DNS‑зону и хранят данные о конкретных сайтах, приложениях или онлайн‑сервисах. Если у авторитативного сервера нет информации о домене, он выдает ошибку, а браузер сообщает, что не может найти такой адрес.
- Рекурсивный сервер. С точки зрения иерархии стоит в конце, но именно к нему первым обращается пользователь. Этот сервер еще называют кеширующим или резолвером (от англ. to resolve, в одном из значений — «выполнять, отвечать на запрос»). Он принимает DNS‑запросы от пользовательских приложений и предоставляет ответ, если запрашиваемый домен находится в кеше, либо обращается к серверу следующего уровня.
Как DNS-серверы обрабатывают запросы
Предположим, вы хотите зайти на сайт bi.zone. Вы вводите адрес (доменное имя), после чего браузер уточняет у DNS‑сервера, какой IP соответствует такому набору символов.
Если резолвер не обнаружит нужный ресурс в кеше, он обратится к корневому DNS‑серверу. В ответ придет IP‑адрес TLD‑сервера, который соответствует доменной зоне нужного сайта (в нашем примере — .zone). TLD‑сервер возвратит резолверу адрес авторитативного DNS‑сервера, а тот наконец предоставит IP‑адрес bi.zone.
Получив адрес в ответе от DNS‑сервера, браузер открывает ресурс.
Как DNS‑протокол используют в атаках
Угрозы, связанные с DNS-трафиком, можно разделить на две группы:
DoS-/DDoS-атаки, цель которых — вывести DNS‑сервер компании из строя. В этом случае пользователь не сможет попасть на сайт организации или открыть ее веб‑приложение, потому что браузер не получит IP‑адрес. Примеры подобных атак — ICMP flood
, NXDOMAIN attack , phantom domain attack , domain lockup attack . Для защиты от атак этой группы задействуют вторичный DNS‑сервер (secondary DNS): он выступает в роли авторитативного DNS для доменной зоны и обрабатывает запросы вместо защищаемого DNS‑сервера. Пример такого решения — BI.ZONE AntiDDoS.
-
Атаки, использующие особенности протокола DNS для подмены или кражи данных. Например, злоумышленник может перенаправить пользователя на поддельный сайт или отправить команду вредоносной программе, чтобы получить конфиденциальные данные с зараженного устройства.
Чтобы заблокировать подобные атаки, внедряют решения, способные глубоко анализировать DNS‑трафик и обнаруживать аномалии в нем. Их называют DNS‑фильтрами, DNS‑шлюзами или межсетевыми экранами для контроля DNS (DNS firewall). Пример такого решения — BI.ZONE Secure DNS.
От каких угроз защищает сервис BI.ZONE Secure DNS
Отравление DNS‑кеша. Атакующие подменяют IP‑адрес легитимного сайта на адрес ресурса под контролем злоумышленника.
Переход на ненадежные ресурсы. Это могут быть фишинговые сайты, из‑за которых утекают пароли, а на устройства сотрудников попадают вредоносные программы. А могут быть и нежелательные для компании легитимные страницы, которые отнимают рабочее время или помогают обходить политики безопасности: общедоступные файлообменники, торрент‑трекеры, сайты с азартными играми и т. д.
Перепривязывание DNS. Этой техникой часто пользуются, чтобы обойти средства защиты при проникновении в локальную сеть предприятия.
Вредоносное ПО. Команды для него могут передавать внутри DNS‑трафика, чтобы спрятать активность от решений сетевой безопасности. Последствия зависят от типа программы: криптомайнер нагрузит оборудование нецелевой задачей; шифровальщик может полностью заблокировать работу в организации. К связанным угрозам относятся:
- Кража данных через DNS‑туннелирование. Это один из примеров, как злоумышленники используют скрытый канал связи с вредоносными программами — маскируют под DNS‑запросы выгрузку конфиденциальных данных из приватной сети в интернет.
- C&C‑cерверы ботнета
. Зараженные компьютеры объединяют в сеть, чтобы без ведома владельцев задействовать в DDoS‑атаках. - Использование DGA
. С помощью этого алгоритма киберпреступники генерируют псевдослучайные доменные имена и скрывают домен сервера управления вредоносным ПО.
Как устроена атака через отравление кеша DNS
Отравление кеша DNS (DNS‑спуфинг, или подмена DNS) позволяет перенаправлять пользовательские запросы на вредоносные страницы.
Эти кибератаки используют системные уязвимости DNS‑серверов, чтобы управлять трафиком: пользователь вводит URL www.example.com, а браузер получает IP‑адрес страницы www.1000virusov.ru. В результате жертва попадает на вредоносный сайт, где киберпреступники могут украсть приватные данные, установить удаленное наблюдение за компьютером и отправлять ему команды.
Как перепривязывание DNS задействуют в атаках
Перепривязывание DNS, или DNS rebinding, — это еще один способ перенаправить пользователя на сторонний ресурс вместо легитимной страницы. Эту технику применяют при сканировании инфраструктуры и получении доступа к внутренним серверам. Вот как это работает.
Предположим, что есть веб‑приложение, которое умеет обращаться к сторонним ресурсам по HTTP‑протоколу. Пользователь вбивает нужный адрес в текстовое поле, приложение обрабатывает запрос и открывает страницу.
Грамотные разработчики веб‑приложений в таких ситуациях предусматривают защиту от подмены запроса на стороне сервера (server side request forgery, SSRF). Эта техника позволяет подменить внешний IP‑адрес локальным, чтобы перенаправить уязвимое приложение за разрешением домена к внутренней инфраструктуре. В результате злоумышленники могут просканировать LAN‑сегмент веб‑приложения, собрать информацию о доступных портах и хостах, используемых операционных системах и т. д.
Чаще всего для защиты от SSRF на бэкенде веб‑приложения закрываются доступные подсети. Если в запросе есть октеты локального IP‑адреса, например 192.168.x.x, 10.10.x.x. и т. д., он блокируется и не выполняется.
Именно на этот механизм направлена атака с перепривязыванием DNS. Злоумышленники создают DNS‑запись A (используется для связи домена с IP‑адресом сервера), где указывают подменный IP‑адрес, который нужно вернуть приложению. Например:
test.appdomain.com — 192.168.1.1
Веб‑приложение увидит в поле ввода test.appdomain.com, не обнаружит октеты локального IP‑адреса и пропустит запрос. Так злоумышленник с помощью SSRF и DNS rebinding сможет получить несанкционированный доступ к информации о локальном сетевом окружении ресурса.
Как работает DNS‑туннелирование
DNS‑туннелирование позволяет злоумышленникам создать канал связи, который обходит большинство фильтров, сетевых экранов и антивирусов. Поэтому DNS‑туннели применяются для доставки вредоносного ПО и отправки ему команд, кражи данных из скомпрометированных сетей.
Технически это возможно благодаря тому, что DNS‑протокол позволяет добавить строки данных в пакет, идущий от клиента к серверу или обратно. Есть два способа это сделать:
- Взаимодействие с C&C‑сервером по DNS‑протоколу происходит в виде специфических запросов, добавляемых в доменное имя.
- В заголовки DNS‑пакетов внедряются нелегитимные метрики, в ответ на которые сервер выдает нужный ответ.
Какие специализированные методы существуют для защиты DNS
Общедоступные решения для защиты DNS‑трафика построены на целой библиотеке рекомендаций и международных протоколов. Вот некоторые из них:
- DNSSEC (DNS Security Extensions) — набор расширений основного протокола DNS, позволяющих блокировать атаки по подмене доменных имен. На каждом уровне DNS данные заверяются цифровой подписью. Например, при переходе на
bi.zoneкорневой DNS‑сервер подписывает ключ для сервера зоны.zone, а тот — для авторитативного сервераbi.zone. Если на каком‑то шаге в цепочку попадет скомпрометированный сервер, он не сможет подмешать свои запросы в трафик. - TSIG (transaction signature, транзакционная сигнатура) — протокол безопасности для идентификации и проверки целостности данных с применением асимметричного шифрования. Защищенную сигнатуру
клиент и сервер проставляют в специальный раздел DNS‑запроса, чтобы подтвердить легитимность сообщения. - DANE (DNS-based authentication of named entities, аутентификация объектов на основе DNS) — метод, который проверяет подлинность сертификатов и цифровых подписей через структуру системы DNS с использованием DNSSEC.
Как сервис BI.ZONE Secure DNS защищает от атак через DNS‑протокол
Эффективная защита DNS‑трафика объединяет в себе статические (сигнатурные) и динамические методы фильтрации: первые ищут угрозы по накопленным базам знаний, вторые отслеживают новые признаки нежелательной активности.
Статические методы:
- проверка доменов по черным и белым спискам (в т. ч. через описание с помощью RegEx);
- валидация IP‑адресов по адресным пространствам;
- фильтрация запросов к доменам с использованием более 80 категорий (например, «азартные игры» и «социальные сети»);
- фильтрация запросов к фишинговым и вредоносным доменам, а также к серверам C&C на основе данных киберразведки с портала BI.ZONE Threat Intelligence.
Динамические методы фильтрации:
- обнаружение и блокировка DNS‑туннелей, в том числе благодаря статистическим моделям;
- фильтрация запросов к DGA за счет алгоритмов машинного обучения;
- поддержка DNSSEC;
- сравнение ответов от авторитативных DNS‑серверов, рандомизация запросов, обработка запросов в разном регистре.