Skip to content

Vous remarquez qu'un seul hôte effectue des milliers de requêtes DNS inhabituelles et longues de type TXT vers un seul domaine. Quelle est l'explication la plus probable et l'action ?

Réponse courte

Des requêtes TXT à fort volume et forte entropie, ou de longs sous-domaines vers un seul domaine, sont une signature classique de tunneling DNS / C2-exfiltration : des données sont passées en douce dans le DNS pour échapper au filtrage de sortie. Capturez un échantillon de requêtes pour analyse, sinkholez ou bloquez le domaine pour couper le canal, et pivotez vers l'hôte pour trouver le processus responsable. L'écarter comme du cache normal ou un site lent laisse passer une exfiltration en cours. Redémarrer le serveur DNS ne fait rien contre le poste compromis et perturbe juste la résolution de noms.

Le DNS est autorisé en sortie de presque tous les réseaux, ce qui explique précisément que les attaquants en abusent comme canal caché. Des milliers de requêtes TXT longues et bizarrement encodées d'un seul hôte vers un seul domaine sont une signature de manuel de tunneling DNS — et cette question teste si vous la reconnaissez et réagissez, plutôt que de la rationaliser.

Pourquoi le tunneling est l'explication probable

Le DNS bénin est court, mis en cache et varié sur de nombreux domaines. Le motif ici est l'inverse : fort volume, forte entropie (sous-domaines d'apparence aléatoire portant des données encodées), labels longs, souvent des enregistrements TXT, tous dirigés vers un seul domaine que l'attaquant contrôle. Ce sont des données découpées en requêtes DNS pour exfiltrer de l'information ou porter du trafic C2 au-delà du filtrage de sortie qui bloquerait une connexion sortante normale.

La bonne réponse est triple : capturer un échantillon des requêtes (pour analyse et extraction d'IOC), sinkholer ou bloquer le domaine malveillant sur votre résolveur/pare-feu pour couper le canal, et pivoter vers l'hôte pour identifier le processus générant le trafic et commencer à cadrer la compromission.

Pourquoi les autres options échouent

  • Cache normal ; l'ignorer — le cache réduit les requêtes ; il ne produit pas des milliers de longues recherches TXT uniques vers un seul domaine. L'écarter laisse passer une exfiltration en cours.
  • Serveur DNS mal configuré ; le redémarrer — l'anomalie est l'hôte, pas le résolveur. Redémarrer le DNS perturbe la résolution de noms de tout le monde et laisse l'hôte compromis tunneler tranquillement dès le retour du service.
  • Juste un site lent — les sites lents causent de la latence, pas un flot de requêtes TXT à forte entropie vers un seul domaine. Cette rationalisation est exactement l'angle mort sur lequel comptent les attaquants.

Ce que le recruteur évalue

Il veut un candidat qui reconnaît le motif d'abus de protocole, comprend pourquoi le DNS est un canal d'exfiltration privilégié, et réagit par capturer, contenir (sinkhole/blocage), et investiguer l'hôte — dans cet ordre. Nommer les caractéristiques de requête (longueur, entropie, type d'enregistrement, domaine unique) montre que vous distinguez l'exfiltration cachée du bruit DNS ordinaire.

Questions de suivi probables

  • Quelles caractéristiques de requête (longueur, entropie, type d'enregistrement, fréquence) distinguent le tunneling du DNS bénin ?
  • Pourquoi le DNS est-il un canal caché privilégié, et comment échappe-t-il aux contrôles de sortie habituels ?
  • Une fois le processus trouvé sur l'hôte, comment cadrez-vous si des données sont déjà parties et lesquelles ont été prises ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.