DNSトンネリングとは何ですか？

DNSクエリやレスポンスにデータを埋め込んで通信する手法。ファイアウォールがDNS通信を許可していることを悪用してC2通信やデータ窃取に使われる。

DNSトンネリングのポイントは？

DNSの名前解決リクエストにデータを紛れ込ませて外部と通信する手法。ファイアウォールはDNS（53番ポート）を通常許可しているため、検知をすり抜けやすい。マルウェアのC2（コマンド＆コントロール）通信やデータの持ち出しに悪用される。異常に長いサブドメインや大量のDNSクエリを検知することで対策が可能

【でぃーえぬえすとんねりんぐ】

DNSトンネリングとは？

💡 「名前解決」の裏で密かにデータを運ぶ隠し通路

📌 このページのポイント

DNSの名前解決リクエストにデータを紛れ込ませて外部と通信する手法
ファイアウォールはDNS（53番ポート）を通常許可しているため、検知をすり抜けやすい
マルウェアのC2（コマンド＆コントロール）通信やデータの持ち出しに悪用される
異常に長いサブドメインや大量のDNS クエリを検知することで対策が可能

DNSトンネリングのイメージ

ひよこ

DNSトンネリングって、DNSで何をトンネルするの？

ペンギン先生

本来DNSは「このドメイン名のIPアドレスは？」と聞くだけの仕組みなんだけど、そのクエリの中にこっそりデータを埋め込んで通信するのがDNSトンネリングだよ

ひよこ

なんでわざわざDNSを使うの？

ペンギン先生

ファイアウォールはHTTPやSSHをブロックしても、DNSの53番ポートは名前解決に必要だから大抵開けてあるんだ。その「必ず通れる穴」を悪用するわけだね

ひよこ

具体的にはどうやってデータを隠すの？

ペンギン先生

たとえば「abc123.evil.com」のサブドメイン部分「abc123」に盗んだデータをBase64エンコードして入れるんだよ。DNSサーバーは律儀に応答を返すから、その応答にも指令を仕込めるんだ

ひよこ

それって見つけられないの？

ペンギン先生

完全に隠れるわけじゃないよ。異常に長いサブドメインや、短時間に大量のDNS クエリが発生するから、DNSログを監視していれば検知できるんだ

ひよこ

対策はどうすればいいの？

ペンギン先生

DNS クエリの長さや頻度を監視するツールを導入するのが基本だね。あとはDNSの通信先を自社のDNSサーバーに限定して、外部への直接DNS通信をブロックするのも効果的だよ

まとめ：ざっくりこれだけ覚えればOK！

「DNSトンネリング」って出てきたら「DNS通信にデータを隠して密かにやり取りする攻撃手法」と思えればだいたいOK！

📖 おまけ：英語の意味

「DNS Tunneling」＝ DNSトンネル通信

💬 tunnel（トンネル）の名の通り、DNSという「正規の通り道」の中に秘密の通路を掘るイメージだよ

← 用語集にもどる

DNSトンネリング とは？

DNSトンネリングとは？