DNS隧道攻擊

　DNS Tunneling Attack 稱為「DNS隧道攻擊」或稱「DNS通道攻擊」，兩者僅是翻譯不同，它是一種濫用 DNS 協定來傳輸非 DNS 正常資料的攻擊手法。

　所謂的「隧道」或「通道」是駭客把資料「偷偷打包」藏在 DNS 查詢/回應中，像是在 DNS 之中挖出一條秘密通道的概念，就是透過 DNS 開闢一個非正常用途的傳輸管道。

　駭客會把惡意的資料或指令包裝在 DNS 查詢或回應裡，藉由企業通常允許的 DNS 流量，偷偷建立一條隧道來傳輸資料或控制指令，達到 繞過防火牆、竊取資料、或遠端操控 的目的。

DNS隧道運作原理

　在正常的 DNS 查詢流程的情況下，使用者輸入網址後，電腦就會向 DNS 伺服器發送查詢，請求該網址網域的 IP，之後 DNS 伺服器會回傳正確的 IP 位址，讓使用者能夠順利前往並瀏覽網站，這就是一個單純的「名稱 ↔ IP」的對應。

　而 DNS 隧道攻擊，駭客會把「資料或指令」藏在 DNS 查詢與回應之中，透過合法的 DNS 流量建立一條「隱藏通道」。

• 受害端：把資料編碼 → 放進 DNS 查詢 → 傳送。

• 防火牆：看到的只是正常 DNS 流量 → 放行。

• 駭客 DNS 伺服器：解碼 → 取回資料 / 下達指令。

　DNS 隧道運作原理，就是 利用 DNS 查詢與回應作為「秘密管道」，把惡意資料傳出或指令傳入，達到繞過防火牆、隱匿通訊、竊取資料的效果。DNS 封包通常透過 UDP 53 埠傳輸，因此隧道化的惡意流量也會偽裝在這個埠口，讓傳統防火牆難以分辨。

攻擊者如何濫用 DNS

【資料外洩範例】

• 惡意程式將竊取的帳號密碼編碼，放進 DNS 子網域：password123.evil.com

• 當這個查詢送出時，會經過公司防火牆，抵達駭客控制的「evil.com」DNS 伺服器。

• 駭客的伺服器解碼子網域，就能取回竊取的資料。

【遠端控制範例】

• 駭客在 DNS 回覆中夾帶隱藏的指令。

• 受害電腦收到回覆後解碼，執行駭客命令。

為什麼 DNS 隧道有效

• 大多數企業允許 DNS 流量：
  就算封鎖 HTTP/FTP/SMTP 等協定，DNS 還是必須存在，否則網路無法運作。

• 隱匿性強：
  外觀看起來就像正常的 DNS 查詢與回應。

• 低頻率也能偷資料：
  雖然傳輸速率慢，但足夠用來竊取敏感資料、維持 C2(Command and Control，駭客遠端控制通道) 通道。

生活情境比喻 DNS 隧道攻擊

　現在我們用生活情境來比喻和說明「DNS隧道攻擊」的攻擊手法，讓讀者能夠更加順利理解。

情境一：大樓包裹管制

你住在一棟大樓裡。

【正常情況(一般 DNS)】
大樓有門禁管制(防火牆)，住戶要搬東西出去(資料傳輸)，都得經過保全檢查，像是快遞或行李箱，保全會檢查內容物，確保沒有危險品。

【駭客手法(DNS 隧道攻擊)】
有人把貴重物品或非法物品藏在「看似無害的包裹」裡，像是把金條藏進一包洋芋片袋子(DNS 查詢)裡，再透過快遞送出去(惡意 DNS 伺服器)。

• 保全只看到「這是洋芋片」(正常 DNS 查詢)，覺得沒問題，就放行了。

• 但實際上，裡面被偷偷塞了寶物(敏感資料或駭客指令)。

【結果】
看似只是日常的快遞(DNS 流量)，卻成為駭客和內部之間的「秘密通道」，讓資料不斷被偷運出去。DNS 隧道攻擊，就是利用「大家覺得理所當然會通過的管道」(DNS 流量)，偷偷傳送不該出去的東西。

情境二：監獄書信檢查

【正常情況(一般 DNS)】
假設有一個監獄，囚犯要寫信給家人，為了安全，所有信件都會經過獄警檢查(防火牆/資安系統)，只允許「普通家書內容」通過(DNS 查詢)。這就像 DNS 平常只用來做「查網址 → 找 IP」的工作。

【駭客手法(DNS 隧道攻擊)】
囚犯偷偷把「越獄計畫」寫進信紙的邊角或折縫裡(敏感資料/駭客指令)，外觀看起來還是家常的問候信(就像正常的 DNS 查詢)，獄警只掃一眼，覺得沒問題，就放行了。

【結果】
看似普通的信件，實際上卻成了暗號傳遞的工具，讓外面的同夥收到計畫、進一步行動(受害電腦 → 駭客 DNS 伺服器)，這就是 DNS 隧道：利用「一定會被允許通過的管道」傳送隱藏訊息。這就像駭客把敏感資料藏進 DNS 查詢封包裡，即使看起來是正常流量，也能偷偷外洩資料。

如何防禦 DNS隧道攻擊

　只有透過多層次的監控與防護，才能避免駭客利用「看似無害的 DNS 查詢」偷運資料或建立後門；核心思路：監控 + 過濾 + 限制 + 偵測 + 教育，多層防護才能有效阻止 DNS 隧道攻擊。

強化 DNS 流量監控

• 異常流量檢測：
  持續監控 DNS 查詢的數量、頻率與大小，若發現「查詢過長、過於頻繁、或帶有隨機字串」的請求，應列入警示。

• 長度與格式檢查：
  正常的網域名稱通常不會過長或出現大量亂碼。

部署 DNS 安全閘道

• DNS 防火牆：
  過濾已知惡意網域與可疑請求。

• 威脅情資比對：
  整合威脅情報，自動封鎖惡意 DNS 伺服器。

• DNSSEC：
  DNSSEC 主要是防止 DNS 回應被竄改，雖然不是專門針對隧道攻擊的技術，但搭配其他防護措施能降低偽造回應的風險。

終端與網路行為分析

• 行為異常檢測：
  若某台電腦頻繁發送異常 DNS 請求，可能就是被植入惡意程式。

• 網路隔離：
  一旦發現可疑流量，立即隔離該裝置，避免資料持續外洩。

• 流量沙盒：
  可疑的 DNS 查詢可導向分析環境，驗證是否為隧道攻擊。

存取控制與最小化原則

• 限制 DNS Server 使用：
  企業內部裝置只允許連線到指定的官方 DNS 伺服器，避免員工電腦直接查詢外部不明 DNS。

• 分層防護：
  防火牆、IDS/IPS、EDR(端點偵測)協同工作，多層過濾異常流量。

員工教育與資安政策

• 釣魚郵件警覺：
  DNS 隧道攻擊常由惡意軟體引發，員工需避免點擊可疑郵件與附件。

• 定期稽核：
  檢查 DNS 日誌、審視是否有異常網域被頻繁查詢。

• 事件應變流程：
  一旦發現資料外洩跡象，能快速追蹤來源並封鎖。