DNS-запросы: что это такое, как работают, типы, как защитить

DNS-запрос — фундаментальный инструмент, который лежит в основе любого взаимодействия в интернете. Хакеры это знают и используют его в атаках на компании. По данным аналитиков Solar 4RAYS, 89% киберугроз связаны с DNS-протоколом и DNS-запросами. Традиционными методами защиты не всегда удается остановить такие атаки. Рассказываем о продвинутом решении, которое глубоко фильтрует DNS-запросы и обнаруживает даже нетипичные угрозы.

Что такое DNS-запрос

DNS-запрос — это сообщение, с помощью которого браузер узнает у DNS-сервера, какой IP-адрес у нужного сайта. Простая аналогия — поиск номера в телефонной книге по имени абонента. Браузер отправляет имя, а сервер в ответ должен назвать соответствующий номер.

Технически DNS-запрос представляет собой сетевое сообщение, которое обычно передается по стандартному UDP-порту 53. Сообщение содержит доменное имя, идентификатор запроса и тип записи, характеризующий запрашиваемый ресурс. DNS-сервер анализирует содержимое, ищет IP-адрес и посылает браузеру ответ по тому же порту 53.

Ответы на запросы кешируются — сохраняются в локальном DNS-кеше. Если пользователь повторно запрашивает IP-адрес, сервер сразу возвращается с нужным ответом. Это позволяет ускорить загрузку сайтов.

Типы DNS-запросов

Есть три типа запросов:

Рекурсивный (Recursive). Он работает по принципу «найди ответ любой ценой». В этой схеме всю работу берет на себя резолвер. Сервер сам связывается с другими DNS-серверами, ищет точный ответ и отправляет его пользователю.
Итеративный (Iterative). Здесь действует принцип «спроси у того, кто точно знает». Резолвер не делает всю работу сам — он передает клиенту адрес следующего сервера. Компьютер обращается уже к нему и при необходимости — дальше по цепочке, пока не получит нужный IP-адрес.
Обратный (Reverse DNS lookup). Это определение доменного имени по IP-адресу с помощью специальных PTR-записей в DNS. Такие запросы позволяют проверить, кому принадлежит сервер, или убедиться, что IP-адрес действительно связан с определенным доменом.

Рекурсивный DNS-запрос помогает делегировать серверу задачу по поиску IP-адреса, итеративный позволяет клиенту самому найти адрес, обратный — искать имя по адресу. Наиболее часто используется рекурсивный. Это удобно — клиент получает готовый результат без необходимости разбираться в цепочке DNS-серверов.

Перехват DNS-запросов

Протокол DNS изначально небезопасен — данные передаются в открытом виде, без шифрования и проверки подлинности. Без защиты DNS-запросы оказываются уязвимыми для атак.

Распространенные угрозы:

DNS-spoofing/DNS-poisoning — подмена ответов в кеше резолвера. Жертва получает ложный IP-адрес и попадает на фишинговый ресурс. Пользователь думает, что зашел на доверенный сайт, вводит логин/пароль. В результате данные оказываются в руках злоумышленников.
Man-in-the-Middle (MitM) — атака «человек посередине». Злоумышленник встает между клиентом и DNS-сервером, перехватывает или подменяет DNS-запросы. Он может подделать страницу авторизации, внедрить фишинговую форму регистрации или вредоносный файл.
Вредоносное ПО — замена настроек DNS. Вредонос, попавший на рабочую станцию или сервер, перенаправляет запрос на атакующий резолвер или изменяет записи в локальном hosts-файле на фальшивые. При такой атаке все запросы проходят через инфраструктуру злоумышленника.

Перехват и подмена DNS-запросов грозят бизнесу утечками данных, простоями сервисов, потерей репутации и прямыми финансовыми убытками. Ситуация усугубляется тем, что атаку не всегда удается обнаружить быстро, и злоумышленники успевают нанести компании серьезный вред.

Защита DNS-запросов

Для проактивной защиты требуется комплексное решение. К таким относится Solar DNS RADAR. Сервис фильтрует DNS-запросы и выявляет любую подозрительную активность. Он позволяет заблокировать соединения с сомнительными доменами, фишинговыми сайтами и C2-серверами, которые злоумышленники используют для управления зараженными устройствами.

Какие методы использует сервис:

Глубокая аналитика каждого DNS-запроса. Проверка по актуальным источникам Threat Intelligence, включая Solar TI Cloud.
Обнаружение сложных угроз. Выявление C2-серверов, DGA-доменов, APT-атак.
Модуль Zero Trust. Проверка каждого нового домена перед запросом на доступ.

Solar DNS RADAR позволяет снизить нагрузку на SOC-аналитиков. Сервис фильтрует 99,5% запросов, отсеивает «шум» и направляет в SIEM только подозрительные события.

Единая точка контроля DNS-запросов

DNS-запросы — критически важные и уязвимые элементы сетевого взаимодействия, поэтому их нужно защищать. Помимо традиционных DNSSEC и DNS over HTTPS/TLS можно использовать специализированный сервис Solar DNS RADAR. Его преимущества: