DNS как слепая зона безопасности: угрозы и подходы к защите
DNS — один из старейших и базовых сетевых протоколов интернета, отвечающий за преобразование доменных имен в IP‑адреса. Он критически важен для работы корпоративной IT‑инфраструктуры: без него невозможно корректное обращение серверов, рабочих станций и других устройств к внешним и внутренним ресурсам. Запросы на разрешение имен происходят каждый раз, когда сетевые устройства обращаются к сервисам по символическим именам, поэтому стабильность и безопасность DNS напрямую влияют на функционирование всех систем. Но в реальности DNS — один из наименее наблюдаемых и контролируемых протоколов в корпоративной IT‑инфраструктуре. По данным Forrester, 67% CISO отмечают отсутствие глубокой видимости и аналитики DNS‑запросов.
Злоумышленники используют протокол DNS, чтобы организовать скрытый канал передачи данных между вредоносным ПО и сервером управления. Через этот канал можно передавать различные типы информации, включая украденные персональные данные, команды управления, полезные нагрузки. В статье рассказали, какие подходы помогают выстраивать защиту на уровне DNS и как снизить риски атак с использованием DNS.
DNS часто рассматривают как фоновый служебный протокол: важно, чтобы он «просто работал». За его корректность традиционно отвечают IT‑подразделения, тогда как команды по кибербезопасности получают данные о DNS‑запросах в основном как поток событий в SIEM. При этом объем этих событий огромен, что делает его обработку в SIEM очень дорогой, так как расходуются лицензии на EPS (количество событий в секунду).
Кроме того, многие решения класса NGFW (next-generation firewall) предлагают лишь базовые сценарии защиты от атак через DNS. Это создает у организаций иллюзию защищенности. На практике же злоумышленники все активнее используют DNS‑канал для маскировки вредоносной активности, зная, что вероятность быть замеченными на этом уровне минимальна.
По оценке компании EfficientIP, средний ущерб от DNS‑атак в 2025 году достиг 1,1 миллиона долларов. Рост доли вредоносных DNS‑запросов на фоне многомиллионных убытков от атак показывает, что каждая компания, работающая в сети, потенциально уязвима. И защита DNS должна рассматриваться как один из приоритетов кибербезопасности.
Многие традиционные средства защиты, например IDS/IPS, не анализируют структуры сетевого пакета DNS, особенно при использовании зашифрованных протоколов DoH (DNS over HTTPS) или DoT (DNS over TLS), так как они по умолчанию не могу раскрывать TLS‑/SSL‑сертификаты. Это делает DNS уязвимым: злоумышленники могут использовать его как скрытый канал, чтобы передавать данные между вредоносным ПО и серверами управления (C&C) или подменять адреса и перенаправлять пользователей на вредоносные ресурсы. При наличии эффективного анализа такие атаки могут быть выявлены еще на этапе разрешения домена.
Один из типичных векторов атак — использование DNS‑туннелирования: злоумышленники передают команды вредоносным программам и выводят данные из сети через DNS-запросы, маскируя взаимодействие с внешними серверами под легитимный трафик.
Такой подход позволяет атакующим поддерживать устойчивый канал связи с C&C‑серверами, в том числе в средах с ограниченным интернет‑доступом. При этом данные могут передаваться в зашифрованном или закодированном виде, что затрудняет обнаружение по сигнатурам или простому анализу шаблонов.
Отдельную угрозу представляют утечки данных через DNS.
Даже если традиционные каналы вывода данных контролируются, злоумышленники могут использовать DNS‑запросы для передачи небольших фрагментов информации за периметр. Это позволяет им выстраивать медленные, но устойчивые каналы утечки данных, не вызывающие срабатывания системы на объем или частоту трафика.
Другой риск связан с коммуникацией вредоносного ПО с серверами управления.
В этом случае DNS используется для определения актуальных IP‑адресов командных серверов (C&C), которые могут динамически меняться для сокрытия инфраструктуры атакующих. При этом обновление доменных записей позволяет злоумышленникам быстро переключать управление ботнетами и вредоносными агентами, оставаясь вне поля зрения классических систем мониторинга.
DNS часто используется для проведения фишинговых атак и маскировки вредоносных доменов под легитимные ресурсы.
Злоумышленники регистрируют домены, визуально похожие на оригинальные. Например, вместо буквы «i» используют «l», «m» заменяют на сочетание букв «rn» или выбирают одинаково выглядящие символы из разных алфавитов — латинскую и кириллическую «а» или «о». Затем они привязывают этот домен к IP‑адресу, на котором размещен фишинговый сайт, имитирующий легитимный ресурс. DNS‑записи превращаются в скрытое звено мошеннических схем, оставаясь не замеченными для защитных механизмов: они проверяют исключительно адреса веб-ресурсов (URL) либо содержимое HTTP(S)‑соединений. Поскольку доменное имя — лишь один из компонентов URL, атакующие могут обходить средства фильтрации, которые не работают с информацией DNS‑трафика.
Все эти сценарии делают DNS не просто техническим элементом инфраструктуры, а полноценной частью цепочек кибератак, которая часто остается вне зоны видимости стандартных средств защиты и мониторинга. И это далеко не весь спектр угроз: существуют и другие техники, такие как DNS rebinding или DNS cache poisoning (он же DNS spoofing), позволяющие злоумышленникам перехватывать трафик или управлять маршрутизацией запросов. Если компания пренебрегает анализом и контролем DNS‑трафика, это создает для нее значимый риск, так как атака может развиваться скрытно, обходить существующие системы защиты и приводить к утечке данных или остановке бизнес‑процессов.
Системы анализа сетевого трафика (NTA/NDR) могут выявлять атаки в DNS‑трафике, если он передается в незашифрованном виде. Они позволяют анализировать протокол достаточно глубоко (в зависимости от реализации решения):
- фиксировать заголовки и расширения DNS, включая EDNS0;
- определять типы данных;
- выявлять аномалии частоты запросов;
- сопоставлять обращения с известными индикаторами компрометации, если интегрировать систему с платформами киберразведки и анализа информации об угрозах.
При этом NTA/NDR полезны тем, что работают сразу с широким спектром сетевых протоколов на уровнях L2–L7, позволяя видеть не только угрозы в DNS, но и связи с другими этапами атаки.
Однако есть и ограничения. Во‑первых, NTA/NDR по умолчанию не могут анализировать зашифрованный DNS‑трафик, включая DoT и DoH, поскольку работают методом пассивного мониторинга и не имеют доступа к расшифрованному содержимому. Для получения такой видимости потребуется отдельная инфраструктура TLS decryption (например, на NGFW или прокси). Во‑вторых, NTA/NDR лишь выявляют и сигнализируют об угрозах в трафике, но не блокируют их. Для нейтрализации угрозы необходимо последующее реагирование через другие средства защиты или с помощью ручной обработки инцидентов. В отличие от NDA/NDR специализированные решения по защите DNS могут работать именно на этапе разрешения доменных имен. Такие системы сохраняют видимость запросов даже в случае шифрования и блокируют вредоносные или аномальные запросы в реальном времени. Это снижает нагрузку на команду реагирования и предотвращает развитие атаки на раннем этапе.
Шлюзы веб-безопасности (SWG) используют для контроля доступа сотрудников к интернет‑ресурсам за счет анализа HTTP(S)‑трафика. Эти решения позволяют:
- блокировать переход на вредоносные или запрещенные корпоративной политикой сайты;
- проверять URL‑адреса, заголовки запросов и даже содержимое страниц и скачиваемых файлов, выявляя вредоносные программы еще до их загрузки на устройство.
Однако SWG работает на более позднем этапе — в момент, когда уже произошло разрешение доменного имени и установлено соединение с сервером. Поэтому угрозы, характерные именно для уровня DNS (например, DGA‑домены, DNS‑туннелирование или атаки с подменой IP‑адресов в кеше), остаются вне поля зрения. Кроме того, некоторые приложения (например, для передачи голоса, видео или телеметрии интернета вещей) могут обходить прокси‑сервер SWG и обращаться напрямую к IP‑серверам. Это оставляет часть обращений вне контроля шлюза. Также для полноценной проверки трафика SWG может требовать расшифровки HTTPS, что создает дополнительную нагрузку на инфраструктуру и повышает стоимость использования.
SWG и специализированная защита DNS работают на разных слоях модели OSI и эффективно дополняют друг друга. DNS‑фильтрация позволяет блокировать подозрительные запросы еще до установления соединения и обращения по другим протоколам, разгружая инфраструктуру и сокращая объем нежелательного трафика. При этом SWG дает более глубокую видимость и контроль за содержимым, к которому пользователи обращаются в интернете.
Межсетевые экраны следующего поколения (NGFW) и UTM стремятся к универсальности, объединяя в одном устройстве фильтрацию трафика, сигнатурное обнаружение угроз, антивирусные модули и анализ на уровне приложений. Некоторые публичные DNS‑сервисы действительно способны анализировать DNS‑трафик на уровне L7, используя сигнатуры и встроенные IDS/IPS‑модули. Однако в реальной эксплуатации проверки обычно ограничиваются минимально необходимым набором правил для экономии ресурсов. Включение детальной фильтрации и инспекции всего трафика может резко снизить производительность устройства, что делает такие проверки неполными или выборочными.
Например, при DNS‑туннелировании злоумышленники могут использовать шаблонные особенности в именах, частоту, длину и энтропию запросов. Для обнаружения потребуется более гибкая аналитика. Часто для блокировки подобных туннелей запрещают взаимодействие с конкретными IP‑адресами, что может привести к нежелательным эффектам, включая блокировку легитимных публичных резолверов. В реальной эксплуатации проверки DNS в составе NGFW также обычно ограничиваются минимально необходимым набором правил для экономии ресурсов. Таким образом, NGFW обеспечивает базовую видимость и контроль DNS‑запросов, но для полноценной защиты на уровне протокола DNS требует дополнения специализированными решениями, которые позволяют проводить глубокий анализ и точечную блокировку угроз в DNS‑трафике без избыточной нагрузки на инфраструктуру.
Публичные DNS‑сервисы — это внешние рекурсивные резолверы, обрабатывающие DNS‑запросы от клиентов или внутренних DNS‑серверов компаний. Они предоставляют ответы из собственного кеша или разрешают имена через глобальную систему DNS. Некоторые публичные DNS‑сервисы реализуют базовые функции безопасности, включая блокировку доступа к известным вредоносным доменам и защиту от отравления DNS‑кеша. Публичные резолверы не обладают контекстом корпоративной сети: они видят только IP‑адрес источника запроса, но не могут сопоставить его с конкретным пользователем, устройством или бизнес‑операцией внутри организации. Более того, использование публичных сервисов подразумевает передачу данных за пределы корпоративной инфраструктуры, что может привести к утечке конфиденциальной информации о пользовательской активности, используемых бизнес‑приложениях.
В отличие от публичных DNS‑сервисов специализированное решение класса secure DNS на базе корпоративного рекурсивного резолвера:
- развертывается под управлением организации (в собственной инфраструктуре или в облаке);
- обеспечивает полный контроль над DNS‑трафиком, дополняя функцию разрешения доменных имен возможностью защищать пользователей от угроз;
- анализирует запросы и ответы на уровне всего протокола DNS, выявляя не только известные угрозы, но и новые методы атак, такие как DNS‑туннелирование или домены, сгенерированные алгоритмами;
- не передает данные сторонним сервисам, что сохраняет конфиденциальность корпоративной информации.
Таким образом, специализированный DNS‑защитник обеспечивает значительно более высокий уровень безопасности и контроля по сравнению с публичными DNS‑сервисами, что особенно важно в корпоративном сегменте.
Для надежной защиты DNS‑трафика требуется сочетание нескольких классов решений, так как ни одно из них не обеспечивает полной видимости и блокировки всех угроз:
- NTA/NDR обеспечивают широкую видимость, но не работают с зашифрованным DNS‑трафиком и не блокируют угрозы.
- SWG контролирует HTTP(S)‑трафик, но не способен видеть и фильтровать DNS‑специфичные атаки.
- NGFW и UTM часто включают базовые функции проверки DNS, но их возможности ограничены из‑за необходимости сохранять высокую производительность и универсальность, что снижает глубину анализа и эффективность блокировки угроз.
Поэтому для эффективной защиты DNS рекомендуется использовать специализированные решения класса secure DNS, способные работать с протоколом DNS на уровне приложений. Это позволит обеспечить полный контроль, включая защиту от новых методов атак и шифрованного трафика.
Игнорирование DNS в архитектуре защиты может привести к незаметным атакам, которые обходят дорогостоящие решения, развернутые на периметре. Как минимум нужно понимать, какие из описанных выше решений оптимальны для бизнеса и как они снижают риски остановки операций или потерь данных. Реализовать базовую защиту DNS можно без существенного увеличения затрат за счет использования возможностей NGFW и SWG при правильной настройке, а также за счет интеграции с NDR для получения контекста инцидентов. Это позволит не нарушать непрерывность бизнес‑процессов, уменьшать риск остановки сервисов и минимизировать вероятность потери конфиденциальных данных при атаках. Важно интегрировать мониторинг DNS в процессы threat hunting и incident response, создать политику блокировки обращений к известным вредоносным доменам и использовать threat intelligence для обогащения данных по DNS‑запросам.
Правильный выбор подхода к защите DNS в зависимости от масштаба бизнеса и зрелости функции кибербезопасности позволит снизить риски утечки данных, простоев и репутационных потерь, не увеличивая расходы без необходимости.
