DNS隧道基础

　　DNS协议是一种请求/应答协议，也是一种可用于应用层的隧道技术。虽然激增的DNS流量可能会被发现，但基于传统socket隧道已经濒临淘汰鸡TCP、UDP通信大量被防御系统拦截的状况，DNS、ICMP、HTTP/HTTPS等难以被禁用的协议已成为攻击者控制隧道的主要渠道。

　　在网络中DNS是一个必不可少的服务，而且DNS报文本身具有穿透防火墙的能力，由于防火墙和入侵检测设备大都不会过滤DNS流量，这也为DNS成为隧道信道创造了条件。

C&C：Command and Control Server，C&C服务器是用于管理僵尸网络和进行APT攻击的服务器。C&C节点分为两种，分别是C&C服务端（攻击者）和C&C客户端（被控制的计算机）。C&C通信是指被植入C&C客户端的木马或者后门程序与C&C服务端上的远程控制程序之间的通信。

　　正常网络之间的通信，都是在两台机器之间建立TCP连接后进行的。在进行数据通信时：如果目标是IP地址，可以直接发送报文；如果目标是域名，会先将域名解析成IP地址，再进行通信。两台机器建立连接后，C&C服务器就可以将指令传递给C&C客户端上的木马（后门）程序，让其受到控制。

内网中安装了各种软硬件防护设施来检查主机与外部网络的连接情况。很多厂商会收集C&C服务器的域名、IP地址、URL等数据，帮助防火墙进行阻断操作。这样一来，C&C通信就会被切断。于是，通过各种隧道技术实现C&C通信的技术（特别是DNS隧道技术）就出现了。

　　DNS隧道的工作原理很简单，在进行DNS查询时，如果查询的域名不在DNS服务器的缓存中，就会访问互联网进行查询，然后返回结果。如果在互联网上有一台定制的服务器，那么依靠DNS协议即可进行数据包的交换。从DNS协议的角度看，这样的操作只是在一次次地查询某个特定的域名并得到解析结果，但其本质问题是，预期的返回结果应该是一个IP地址，而事实是返回的可以是任意字符串，包括加密的C&C指令。

 

域名DNS隧道木马的通信架构，如下：

DNS隧道原理图：

在使用DNS隧道与外部进行通信时，从表面上看是没有连接到外网的（内网网关没有转发IP数据包），但实际上，内网的DNS服务器进行了中转操作。这就是DNS隧道的工作原理，简单的说就是将其他协议封装在DNS协议中进行传输。