Skip to content

Ihnen fällt auf, dass ein einzelner Host Tausende ungewöhnlicher, langer TXT-Record-DNS-Anfragen an eine einzige Domain stellt. Was ist die wahrscheinlichste Erklärung und Maßnahme?

Kurzantwort

TXT-Anfragen mit hohem Volumen und hoher Entropie oder lange Subdomains an eine einzige Domain sind eine klassische Signatur für DNS-Tunneling / C2-und-Exfiltration: Daten werden im DNS eingeschmuggelt, um die Egress-Filterung zu umgehen. Erfassen Sie eine Anfragestichprobe zur Analyse, sinkholen oder blockieren Sie die Domain, um den Kanal zu kappen, und pivotieren Sie zum Host, um den verantwortlichen Prozess zu finden. Es als normales Caching oder langsame Website abzutun übersieht eine laufende Exfiltration. Den DNS-Server neu zu starten ändert nichts am kompromittierten Endgerät und stört nur die Namensauflösung.

DNS ist aus fast jedem Netzwerk nach außen erlaubt, weshalb Angreifer es genau deshalb als verdeckten Kanal missbrauchen. Tausende lange, seltsam kodierte TXT-Anfragen von einem Host an eine Domain sind eine Lehrbuch-Signatur für DNS-Tunneling — und diese Frage prüft, ob Sie sie erkennen und reagieren, statt sie wegzurationalisieren.

Warum Tunneling die wahrscheinliche Erklärung ist

Gutartiges DNS ist kurz, gecacht und über viele Domains verteilt. Das Muster hier ist das Gegenteil: hohes Volumen, hohe Entropie (zufällig aussehende Subdomains, die kodierte Daten tragen), lange Labels, oft TXT-Records, alle auf eine einzige Domain gerichtet, die der Angreifer kontrolliert. Das sind Daten, die in DNS-Anfragen zerstückelt werden, um Informationen zu exfiltrieren oder C2-Verkehr an einer Egress-Filterung vorbeizuschleusen, die eine normale ausgehende Verbindung blockieren würde.

Die richtige Antwort ist dreifach: eine Stichprobe der Anfragen erfassen (zur Analyse und IOC-Extraktion), die bösartige Domain an Ihrem Resolver/Firewall sinkholen oder blockieren, um den Kanal zu kappen, und zum Host pivotieren, um den verkehrserzeugenden Prozess zu identifizieren und mit der Eingrenzung der Kompromittierung zu beginnen.

Warum die anderen Optionen scheitern

  • Normales Caching; ignorieren — Caching reduziert Anfragen; es erzeugt nicht Tausende einzigartiger langer TXT-Lookups an eine Domain. Es abzutun winkt eine laufende Exfiltration durch.
  • DNS-Server fehlkonfiguriert; neu starten — die Anomalie ist das Endgerät, nicht der Resolver. Ein DNS-Neustart stört die Namensauflösung aller und lässt den kompromittierten Host nach Rückkehr des Dienstes munter weiter tunneln.
  • Nur eine langsame Website — langsame Seiten verursachen Latenz, keine Flut von TXT-Anfragen mit hoher Entropie an eine einzige Domain. Diese Rationalisierung ist genau der blinde Fleck, auf den Angreifer setzen.

Was der Interviewer prüft

Er will einen Kandidaten, der das Protokollmissbrauchsmuster erkennt, versteht, warum DNS ein bevorzugter Exfiltrationskanal ist, und mit Erfassen, Eindämmen (Sinkhole/Blockieren) und den Host untersuchen reagiert — in dieser Reihenfolge. Die Anfragemerkmale (Länge, Entropie, Record-Typ, einzelne Domain) zu nennen zeigt, dass Sie verdeckte Exfiltration von gewöhnlichem DNS-Rauschen unterscheiden können.

Wahrscheinliche Anschlussfragen

  • Welche Anfragemerkmale (Länge, Entropie, Record-Typ, Frequenz) unterscheiden Tunneling von gutartigem DNS?
  • Warum ist DNS ein bevorzugter verdeckter Kanal, und wie schlüpft es durch typische Egress-Kontrollen?
  • Sobald Sie den Prozess auf dem Host gefunden haben, wie grenzen Sie ein, ob bereits Daten abgeflossen sind und was entwendet wurde?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.