exfiltration از راه DNS: زیردامنههای پرشمار و طولانی
دو تا نشونهٔ DNS tunneling کنار هم: کاردینالیتی بالای زیردامنههای یکتا زیر یه دامنه و طول میانگین غیرعادی کوئریها.
کاربرد
تشخیص کانالهای پنهان DNS (تونلزنی یا استخراج داده).
پیشنیازها
Elasticsearch 8.12+, logs DNS (Packetbeat ou résolveur)
SQL
FROM "logs-dns-*"
| WHERE dns.question.name IS NOT NULL
AND @timestamp >= NOW() - 6 hours
| EVAL longueur = LENGTH(dns.question.name)
| STATS
requetes = COUNT(*),
sous_domaines = COUNT_DISTINCT(dns.question.name),
longueur_moy = ROUND(AVG(longueur), 1)
BY dns.question.registered_domain, source.ip
| WHERE sous_domaines > 100 AND longueur_moy > 40
| SORT sous_domaines DESC
| LIMIT 25نتیجه
dns.question.registered_domain | source.ip | requetes | sous_domaines | longueur_moy -------------------------------+------------+----------+---------------+------------- cdn-metrics-sync.net | 10.2.14.88 | 18421 | 17204 | 62.8 files-telemetry.io | 10.2.31.17 | 4812 | 4377 | 55.1 update-check-svc.com | 10.2.7.204 | 912 | 841 | 47.3
SOCDNSExfiltrationCOUNT_DISTINCT