Analiza ruchu DNS w praktyce – jak wykrywać malware, tunelowanie i wycieki danych
Analiza ruchu DNS w praktyce – jak wykrywać malware, tunelowanie i wycieki danych
DNS to jeden z najczęściej wykorzystywanych, ale też najbardziej podatnych na nadużycia protokołów w sieciach domowych i firmowych. Atakujący korzystają z niego do komunikacji z malware, tunelowania danych, a nawet exfiltracji informacji z systemów zabezpieczonych.
W tym poradniku pokazuję, jak analizować ruch DNS, jakie narzędzia stosować i na co zwracać uwagę, aby wykrywać anomalie i zagrożenia w czasie rzeczywistym.
🧠 Dlaczego DNS jest tak ważny dla bezpieczeństwa?
DNS (Domain Name System):
- działa praktycznie przy każdym połączeniu internetowym,
- najczęściej jest nieszyfrowany (chyba że używamy DoH/DoT),
- ruch DNS jest często ignorowany przez firewalle,
- stanowi idealny kanał do ukrycia komunikacji malware.
Złośliwe oprogramowanie często wykorzystuje DNS, bo:
- jest trudniej blokowalny niż HTTP/HTTPS,
- łatwo ukryć w nim dane,
- jest dostępny w każdej sieci.
🛠 Narzędzia do analizy ruchu DNS
1️⃣ tcpdump
Idealny do szybkiej analizy:
sudo tcpdump -n port 53
2️⃣ Wireshark
Najlepszy do diagnozowania:
- analiza zapytań NXDOMAIN,
- podejrzane rekordy TXT,
- zbyt długie nazwy domen.
3️⃣ dnstop
Podgląd statystyk DNS na żywo:
sudo dnstop eth0
4️⃣ Security Onion / Zeek
Do wykrywania tunelowania i malware w ruchu DNS.
5️⃣ Pi-hole / AdGuard Home
Świetne do filtrowania DNS w sieci domowej.
🧩 Co analizować w ruchu DNS?
Analiza powinna obejmować:
- częstotliwość zapytań – malware często odpyta wiele domen naraz,
- nietypowe rekordy – TXT i NULL mogą służyć do ukrywania danych,
- losowo generowane domeny (DGA),
- długość i złożoność nazw hostów,
- nagły wzrost NXDOMAIN – typowy dla botnetów,
- zapytania do rzadkich TLD (np. .top, .xyz, .tk).
🔍 Wykrywanie malware komunikującego się przez DNS
Malware, takie jak QakBot, TrickBot, AsyncRAT, DNSMessenger, często:
- wysyła zapytania do domen wyglądających losowo,
- korzysta z technik DGA (Domain Generation Algorithms),
- używa rekordów TXT do odbioru poleceń C2.
Przykład podejrzanego zapytania TXT:
example.com TXT “aGEgZG9iYmllIHBl"”
Wygląda jak Base64 → potencjalna exfiltracja.
🛰 Tunelowanie przez DNS – jak je wykryć?
Atakujący wykorzystują tunelowanie DNS np. przez:
- iodine
- dnscat2
- Heyoka
Tunelowanie DNS pozwala przesyłać:
- komendy powłoki,
- pliki,
- dane uwierzytelniające.
Wskaźniki tunelowania:
- bardzo długie nazwy domen (> 50 znaków),
- wiele małych zapytań w krótkim czasie,
- niespotykane typy rekordów (TXT, NULL),
- stałe zapytania do jednej domeny zarządzanej przez atakującego.
Przykład długiego subdomenowego „pakietu danych”:
a84dka9d9sdsu828sd.suspiciousdomain.net
To klasyczny wzór dla dnscat2.
📤 Wykrywanie wycieków danych (exfiltration)
Popularne techniki:
- zakodowane informacje wyciekające przez rekordy TXT,
- exfiltracja w subdomenach (np. Base32, Base64, binarnie),
- wysyłanie metadanych systemu w formie krótkich pakietów DNS.
Co sprawdzać?
- Nagłe zapytania do nietypowych domen,
- Długi strumień podobnych zapytań TXT,
- Analiza entropii zapytań — im wyższa, tym bardziej podejrzane.
🛡 Jak chronić sieć przed atakami DNS?
1️⃣ Włącz DNS Filtering
Przez:
- Pi-hole,
- NextDNS,
- AdGuard Home,
- firewall z DNS-over-HTTPS filtering.
2️⃣ Blokuj nieużywane porty UDP 53
W firmowych sieciach:
- pozwól tylko własnym serwerom DNS,
- blokuj zewnętrzne zapytania UDP 53.
3️⃣ Włącz DNS-over-TLS (DoT) lub DNS-over-HTTPS (DoH)
Zabezpiecza przed podsłuchem, ale pamiętaj — utrudnia analizę!
4️⃣ Monitoruj anomalia DNS w czasie rzeczywistym
- Zeek,
- Suricata,
- Security Onion.
5️⃣ Blokuj podejrzane TLD, np. .top, .xyz, .tk
Są często wykorzystywane do malware.
🧪 Przykładowy workflow analizy DNS
- Przechwyć ruch (tcpdump/Wireshark).
- Sprawdź statystyki (dnstop).
- Odszukaj anomalie: długie domeny, nietypowe rekordy.
- Zidentyfikuj domeny DGA (narzędzia ML lub online).
- Zweryfikuj listy reputation intelligence.
- Oceniaj, czy to tunelowanie, exfiltracja, czy tylko błąd aplikacji.
📘 Podsumowanie
Analiza DNS to jeden z najskuteczniejszych sposobów wykrywania malware i ataków w sieci domowej oraz firmowej. Dzięki odpowiednim narzędziom i analizie anomalii można:
- wykrywać botnety,
- blokować tunelowanie DNS,
- zapobiegać wyciekom danych,
- izolować zainfekowane urządzenia,
- budować realne systemy bezpieczeństwa.
To jeden z fundamentów nowoczesnego network threat hunting.
🤖 Spam generowany przez AI i deepfake’i 🔍 Jak ewoluują techniki spamowania i jak im przeciwdziałać 📈 Nowa era spamu: Czytaj dalej
🌐 Decentralizowane systemy reputacji e-mail jako przyszłość walki ze spamem Jak mogłyby działać i jakie mają zalety? 📩 Problem spamu Czytaj dalej
