DNS Tunneling چیست و چگونه کار میکند؟ 2025
DNS Tunneling یه روش حمله سایبریه که هکرها ازش استفاده میکنن تا از طریق درخواستهای DNS، اطلاعات رو به سرور خودشون بفرستن یا از اونجا دستورات مخرب دریافت کنن. این روش به خاطر ماهیت پنهانکاریاش، یکی از سختترین حملات برای شناسایی محسوب میشه با ایکس بازی همراه باشید.
DNS چطور کار میکنه و چرا هدف حملات میشه؟
DNS (سیستم نام دامنه) مثل یه دفترچه تلفن برای اینترنت عمل میکنه. این سیستم آدرسهای متنی (مثل example.com) رو به آدرسهای IP قابلفهم برای کامپیوترها تبدیل میکنه. اما هکرها از این قابلیت سوءاستفاده میکنن و از DNS بهعنوان یک کانال مخفی برای ارسال و دریافت اطلاعات استفاده میکنن.
مشکل چیه؟
چون DNS بهطور مداوم در حال ارسال و دریافت اطلاعات برای ترجمهی دامنهها به IP هست، تشخیص درخواستهای مخرب از درخواستهای معمولی خیلی سخته. همین باعث میشه DNS Tunneling یه روش محبوب برای دور زدن فایروالها و سرقت اطلاعات باشه.
چطور کار میکنه؟
1️⃣ هکر یه سرور مخرب داره که روش بدافزار اجرا شده و یه دامنهی آلوده هم به اون سرور متصل کرده.
2️⃣ وقتی سیستم قربانی به این دامنه درخواست DNS میفرسته، اون درخواست در واقع یه پیغام کدگذاریشده از طرف هکره.
3️⃣ سرور مخرب درخواست رو رمزگشایی میکنه و میفهمه که باید چه فرمانی رو به دستگاه آلوده بفرسته.
4️⃣ ارتباط مخفی بین هکر و دستگاه قربانی برقرار میشه و هکر میتونه اطلاعات رو سرقت کنه یا سیستم رو کنترل کنه.
نتیجه: کاربر فکر میکنه یه درخواست سادهی DNS انجام داده، ولی در واقع یه کانال ارتباطی مخفی بین سیستم خودش و سرور هکر ایجاد شده!
مثالهایی از حملات DNS Tunneling
🛑 کنترل از راه دور (Command and Control – C2):
- هکر یه بدافزار رو روی یه دستگاه آلوده نصب میکنه و از طریق DNS اون رو کنترل میکنه.
- از این روش برای اجرای حملات بعدی مثل باجافزار یا جاسوسی سایبری استفاده میشه.
📤 سرقت دادهها (Data Exfiltration):
- اطلاعات حساس (مثل رمزهای عبور و فایلها) در قالب چندین درخواست DNS کدگذاری میشن و به مرور زمان به سرور هکر ارسال میشن.
- این روش به خاطر سرعت پایینش کمتر مشکوک به نظر میرسه.
🚧 دور زدن محدودیتهای شبکه (WiFi Abuse & Policy Bypass):
- بعضی شبکهها اجازهی ترافیک DNS رو میدن ولی سایر ارتباطات اینترنتی رو محدود میکنن.
- هکرها میتونن از DNS Tunneling برای دور زدن فایروالها و استفادهی رایگان از اینترنت در شبکههای پولی یا محدودشده استفاده کنن.
آیا حملهی SUNBURST از DNS Tunneling استفاده کرده بود؟
حملهی SUNBURST یکی از معروفترین حملات سایبری بود که از DNS برای ارسال دادهها استفاده کرد. اما کارشناسان معتقدن که این حمله بیشتر به روش “تولید خودکار دامنه” (DGA) متکی بود تا DNS Tunneling کامل. در واقع، این حمله دادهها رو از طریق DNS ارسال میکرد، اما بیشتر برای انتخاب اهداف استفاده میشد تا اجرای کامل حمله از طریق این روش.
چطور میشه از DNS Tunneling جلوگیری کرد؟
🛡 تحلیل محتوای درخواستهای DNS (Payload Analysis):
- بررسی محتوای درخواستهای DNS و تشخیص تفاوت غیرعادی بین حجم درخواست و پاسخ.
- شناسایی نامهای دامنهی عجیب و طولانی که برای ارسال داده استفاده میشن.
🛡 تحلیل ترافیک شبکه (Traffic Analysis):
- نظارت روی تعداد درخواستهای DNS، محل جغرافیایی سرورها و رفتار غیرمعمول.
- استفاده از یادگیری ماشینی برای تشخیص الگوهای مشکوک در درخواستهای DNS.
🛡 رمزگشایی ترافیک DNS:
- استفاده از DNS-over-HTTPS (DoH) و DNS-over-TLS (DoT) برای ایمنسازی ترافیک DNS.
- ابزارهای امنیتی باید قابلیت رمزگشایی پروتکلهای TLS 1.3 و Kerberos رو داشته باشن تا ارتباطات مشکوک رو بررسی کنن.
تاریخچهی DNS Tunneling و ابزارهای معروف اون
💡 دهه ۱۹۹۰: اولین بحثها دربارهی امکان سوءاستفاده از DNS مطرح شد.
💡 ۲۰۰۴: در کنفرانس Black Hat، “Dan Kaminsky” روشی برای استفاده از DNS Tunneling معرفی کرد.
💡 ۲۰۰۶: ابزار Iodine توسعه داده شد که به کاربران امکان ایجاد تونلهای DNS رو میداد.
💡 ۲۰۱۰: ابزار DNScat معرفی شد که امکان ارتباطات رمزگذاریشده از طریق DNS رو فراهم میکرد.
ابزارهای دیگه مثل NSTX (فقط برای لینوکس) هم از همون روشهای قدیمی استفاده میکنن، ولی همچنان این روش حمله یکی از مشکلات امنیتی مهم محسوب میشه.
جمعبندی
📌 DNS Tunneling یکی از روشهای حملهی پنهانکاره که هکرها از طریق اون میتونن اطلاعات رو سرقت کنن یا دستگاههای آلوده رو کنترل کنن.
📌 این روش به دلیل استفاده از DNS، که ذاتاً یک پروتکل پررفتوآمد و پرسروصداست، خیلی سخت قابل شناساییه.
📌 روشهایی مثل تحلیل ترافیک، بررسی محتوای درخواستهای DNS و رمزگشایی دادهها میتونن به شناسایی این نوع حملات کمک کنن.
در نهایت، امنیت سایبری بدون نظارت دقیق روی ترافیک DNS، همیشه یه حفرهی خطرناک داره!
مطالب مرتبط:
CDN و DNS چگونه با هم کار میکنند؟ 2025
