DNS-трафик: что это, виды и как защитить от кибератак

DNS-трафик, который генерирует каждый запрос к сайту, почте или облаку, — это «кровеносная система» интернета, невидимый фон всех онлайн-действий. Традиционно он считается доверенным, но на самом деле — один из основных каналов для кибератак. Исследования Solar 4RAYS показывают, что 89% киберугроз используют DNS-протокол. Поэтому защита DNS-трафика — не опция, а необходимость.

Что такое DNS-трафик

DNS-трафик — это поток запросов и ответов между пользовательскими устройствами и DNS-серверами. Он возникает при преобразовании доменных имен веб-ресурсов в IP-адреса, которые помогают компьютерам открывать вызываемые сайты. С технической стороны DNS-трафик можно рассматривать в качестве сетевых пакетов, которые в основном передаются по протоколу UDP через порт 53 и содержат ответ на вопрос «какой IP у site.com?».

Как это работает:

• Пользователь вводит в своем браузере адрес сайта.
• Запрос отправляется на локальный DNS-сервер провайдера.
• Если информация о вызываемом веб-ресурсе уже есть на этом сервере, устройство пользователя сразу получает ответ.
• Если данных нет, локальный сервер передает запрос на корневой, затем на доменный DNS-сервер.
• Найденный IP-адрес нужного сайта по обратной цепочке передается пользователю, и происходит подключение к интернет-ресурсу.

Виды DNS-трафика

Рассмотрим два вида DNS-трафика.

Первый — по направлению запросов:

• Внешний. Запросы от внутренних устройств к DNS-серверам в интернете. Это основной вектор для утечек данных и связи с C2-серверами, которые хакеры используют для управления атакуемыми устройствами.
• Внутренний. Запросы между устройствами внутри корпоративной сети. Например, обращения к внутренним доменам. Такой DNS-трафик критически важен для обнаружения угроз в изолированных сегментах сети.

Второй — по характеру запросов:

• Легитимный. Запросы к доверенным сервисам, сайтам, корпоративным приложениям.
• Вредоносный. Запросы к фишинговым доменам, ботнетам, C2-серверам управления зараженными устройствами.

Почему DNS-трафик так важен

DNS-трафик играет ключевую роль в работе интернета. Каждый раз, когда человек открывает сайт, запускает приложение или проверяет почту, система сначала выполняет DNS-запрос. Это нужно, чтобы компьютер «понимал», к какому серверу подключаться. Во-вторых, от DNS-трафика зависят скорость загрузки и доступность веб-ресурсов, а это очень важно для ведения бизнеса. Чем быстрее отвечает DNS-сервер, тем быстрее устанавливается соединение. При сбоях DNS сайты и сервисы могут быть недоступны, даже если работают исправно.

DNS-трафик — лакмусовая бумажка угроз. Практически в любой атаке, будь то вредоносное ПО, фишинг или целенаправленная APT, хакеры на определенном этапе инициируют DNS-запрос. Возможные цели злоумышленников:

• Туннелирование трафика — передача файлов и команд внутри DNS-запросов/ответов.
• Разведка сети — проверка доступных корпоративных сервисов и приложений.
• Фишинговые сайты — подмена ресурсов и перенаправление пользователей.
• Управление зараженными устройствами — подключение к хакерским C2-серверам с помощью DNS-запросов.

По статистике Solar 4RAYS, 95% индикаторов компрометации, выявленных в сети, встречаются повторно. Это значит, что злоумышленники при атаках на компании неоднократно используют одни и те же инструменты. Специализированное решение для защиты DNS-трафика позволит массово блокировать известные угрозы и предотвращать повторные инциденты ИБ.

Проактивная защита от атак на DNS

Традиционные средства защиты, такие как файрволы и антивирусы отсекают сетевые угрозы и обнаруживают вредоносное ПО на устройствах. Угрозы в DNS-трафике они могут пропустить, поскольку не анализируют его глубоко. Зато их обнаруживают специализированные системы фильтрации. К ним относится сервис Solar DNS RADAR.

Решение в режиме реального времени анализирует DNS-запросы, используя мощную аналитику и актуальные данные Threat Intelligence, блокирует соединения с вредоносными доменами. Дополнительно сервис позволяет ограничивать доступ к нежелательному контенту.

Ключевые возможности Solar DNS RADAR:

• Глубокая аналитика на основе данных Рунета. Использование уникальной телеметрии от «Ростелекома» для обнаружения неизвестных угроз.
• Фильтрация DNS-трафика на основе Threat Intelligence. Интеграция с Solar TI Cloud и другими источниками для блокировки запросов к известным вредоносным доменам.
• Снижение нагрузки на аналитиков. Уменьшение объема событий для SOC на 99,5%. В SIEM-систему поступают только подтвержденные инциденты, а не сырые «шумовые» события.
• Принцип Zero Trust на практике. Блокировка новых доменов, сбор статистики по ним на протяжении месяца. Эксперты «Солара» собирают данные с магистральных сетей «Ростелекома» и делают прогнозы о легитимности.
• Единая точка контроля. Замена разрозненных инструментов одним эффективным решением для фильтрации внутреннего и внешнего DNS-трафика.

Решение нового поколения Solar DNS RADAR позволяет быстро взять DNS-трафик под защиту. Сервис можно встроить в любую инфраструктуру за один день без сложных настроек.

Эффективная фильтрация DNS-трафика против кибератак

DNS-трафик — это ключевой ресурс, который необходимо защищать так же активно, как и периметр сети. Пассивное наблюдение без глубокого анализа и фильтрации равноценно разрешению на кибератаку. Держать DNS-трафик под контролем поможет Solar DNS RADAR. Преимущества решения для бизнеса:

• Разные модели поставки — облачная, гибридная или on-premise.
• Подключение за один день при выборе облачного решения.
• Гибкая тарификация и снижение операционных затрат на анализ трафика.
• Предоставление детализированных карточек с данными обо всех разработках сервиса для сбора статистики.

Закажите консультацию по продукту или запросите бесплатную демонстрацию.