Каждый 2‑й нелегитимный DNS‑запрос — попытка сотрудников перейти на запрещенный домен

Мы подвели итоги работы сервиса DNS‑фильтрации BI.ZONE Secure DNS за 2025 год

19 декабря 2025 г.

Основной нелегитимный поток — переходы на заблокированные домены

Более половины нелегитимного трафика (61,6%) составляют переходы на домены, заблокированные внутренними правилами компаний. Часть таких переходов происходит умышленно: сотрудники пытаются получить доступ к заблокированным ресурсам, обходя ограничения корпоративной политики, например для использования внешних облачных хранилищ. Это создает риски утечки данных и других инцидентов безопасности. Остальная часть такого трафика — переходы, например, по старым ссылкам, из рассылок или при ручном вводе адреса. Однако даже такие действия опасны, так как могут привести, например, к загрузке вредоносного контента и спровоцировать киберинцидент.

Кроме того, злоумышленники все активнее используют DNS‑протокол, чтобы незаметно управлять вредоносными программами и выгружать конфиденциальные данные через туннели, обходя базовые средства сетевой защиты.

Для обычного пользователя DNS‑трафик остается невидимым: человек просто открывает почту или заходит в браузер. Но параллельно с этим идет постоянный поток фоновых DNS‑запросов — их автоматически отправляют как легитимные программы, так и вредоносные, о чем пользователь даже не знает. Часть из этих запросов связана с фишингом, вредоносным ПО и теневыми ресурсами. Наша цель — перехватить эти обращения до того, как они приведут к инциденту.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

DNSSEC‑аномалии: четверть вредоносного трафика

Так, DNSSEC‑аномалии составили 25% нелегитимного трафика. Они возникают, когда проверка DNSSEC показывает, что данные по домену не проходят валидацию. Для компаний это служит индикатором проблем в конфигурации, а в сочетании с другими признаками может указывать на потенциально вредоносную активность.

DGA‑запросы в структуре вредоносного трафика

6,8% нелегитимного трафика приходятся на DGA‑запросы. Злоумышленники используют их для скрытой связи ВПО и ботнетов с управляющими серверами. Вредоносные программы генерируют сотни и тысячи доменных имен в сутки, что делает блокировку отдельных адресов неэффективной. Для компаний это означает, что ВПО может долго оставаться незамеченным, маскируясь под случайный трафик. DGA часто применяется в целевых атаках для промышленного шпионажа, кражи данных и компрометации систем.

DNS‑ребиндинг: изменение назначения домена в ходе сессии

Еще 6% нелегитимного трафика составляют запросы, связанные с DNS rebinding (перепривязкой DNS) — техникой, при которой домен переводится на другой IP‑адрес. Фактически пользователь обращается к одному ресурсу, а запрос перенаправляется на другой. Такой подход позволяет злоумышленнику обходить механизмы защиты веб‑приложений от SSRF, заставляя корпоративные системы отправлять запросы к внутренним сервисам, недоступным извне.

DNS‑туннелирование для скрытой передачи данных

DNS‑туннели остаются нишевым, но вариативным способом скрытой передачи данных и удаленного управления сетью. За год BI.ZONE Secure DNS зафиксировал более тысячи попыток построить DNS‑туннель для скрытого вывода информации из корпоративных сетей, даже оснащенных IDPS и NTA‑системами.