Terowong DNS ialah teknik yang menggunakan protokol Sistem Nama Domain (DNS) untuk merangkum protokol rangkaian lain, termasuk TCP dan HTTP. Ia sering digunakan sebagai kaedah memintas langkah keselamatan rangkaian, seperti tembok api, untuk mewujudkan saluran komunikasi rahsia.
Evolusi Sejarah Terowong DNS
Contoh terawal terowong DNS boleh dikesan kembali ke penghujung 1990-an dan awal 2000-an, apabila pengguna internet mencari cara untuk memintas sekatan akses atau menamakan aktiviti web mereka. Kaedah mengeksploitasi protokol DNS untuk merangkum protokol lain menjadi semakin popular kerana keberkesanannya dan kewujudan relatif protokol DNS itu sendiri.
Teknik ini menyaksikan peningkatan ketara dalam penggunaannya dengan kemunculan DNScat, alat yang dibangunkan pada tahun 2004 oleh Ron Bowes. Ini menandakan salah satu pelaksanaan praktikal pertama terowong DNS, membolehkannya mendapat pengiktirafan sebagai kaedah yang boleh dilaksanakan untuk memintas sekatan rangkaian.
Mendalami Terowong DNS
Terowong DNS merujuk kepada tindakan membenamkan data bukan DNS ke dalam pertanyaan dan respons DNS. Memandangkan permintaan DNS biasanya dibenarkan oleh kebanyakan tembok api, ini menyediakan saluran yang bijak untuk pertukaran data yang boleh memintas kebanyakan sistem keselamatan rangkaian tanpa disedari.
Proses ini melibatkan klien menghantar permintaan DNS yang mengandungi data yang dikodkan ke pelayan. Pelayan ini, seterusnya, menyahkod permintaan dan memproses data terbenam, kemudian menghantar respons kepada klien yang mengandungi sebarang data pulangan yang diperlukan, juga dikodkan dalam respons DNS.
Kerja Dalaman Terowong DNS
Proses terowong DNS adalah agak mudah dan boleh dipecahkan kepada langkah-langkah berikut:
-
Komunikasi Pelanggan-Pelayan: Pelanggan memulakan komunikasi dengan pelayan DNS yang telah disediakan untuk memudahkan terowong DNS.
-
Pengekodan Data: Pelanggan membenamkan data yang ingin dihantar ke dalam pertanyaan DNS. Data ini biasanya dikodkan ke dalam bahagian subdomain permintaan DNS.
-
Penghantaran Data: Pertanyaan DNS, lengkap dengan data terbenam, kemudian dihantar melalui rangkaian ke pelayan DNS.
-
Penyahkodan Data: Setelah menerima permintaan, pelayan DNS mengekstrak dan menyahkod data terbenam.
-
Pengekodan Respons: Jika respons diperlukan, pelayan membenamkan data pulangan ke dalam respons DNS, yang kemudiannya dihantar semula kepada klien.
-
Penyahkodan Respons: Pelanggan menerima respons DNS, menyahkod data terbenam dan memprosesnya dengan sewajarnya.
Ciri Utama Terowong DNS
Beberapa ciri utama yang menjadikan terowong DNS sebagai teknik yang berdaya maju termasuk:
-
Siluman: Terowong DNS boleh memintas banyak tembok api dan sistem keselamatan rangkaian tanpa dikesan.
-
serba boleh: Terowong DNS boleh merangkumi rangkaian protokol rangkaian yang luas, menjadikannya kaedah penghantaran data yang serba boleh.
-
Ubiquity: Protokol DNS hampir digunakan secara universal di internet, menjadikan terowong DNS boleh digunakan dalam pelbagai senario.
Pelbagai Jenis Terowong DNS
Terdapat dua jenis utama terowong DNS, dibezakan oleh mod penghantaran data:
-
Terowong DNS Terus: Ini adalah apabila pelanggan berkomunikasi secara langsung dengan pelayan melalui permintaan dan respons DNS. Ia biasanya digunakan apabila pelanggan dapat membuat permintaan DNS sewenang-wenangnya kepada mana-mana pelayan di internet.
Kaedah Komunikasi Terowong DNS Terus Komunikasi Langsung -
Terowong DNS Rekursif: Ini digunakan apabila klien hanya boleh membuat permintaan DNS kepada pelayan DNS tertentu (seperti pelayan DNS tempatan rangkaian), yang kemudiannya membuat permintaan selanjutnya bagi pihak klien. Pelayan terowong, dalam kes ini, biasanya pelayan DNS awam di internet.
Kaedah Komunikasi Terowong DNS Rekursif Komunikasi Tidak Langsung (Rekursif)
Aplikasi, Isu dan Penyelesaian Praktikal untuk Terowong DNS
Terowong DNS boleh digunakan dalam pelbagai cara, kedua-dua jinak dan berniat jahat. Ia kadangkala digunakan untuk memintas penapisan atau sekatan rangkaian lain, atau untuk mewujudkan perkhidmatan seperti VPN melalui DNS. Walau bagaimanapun, ia juga kerap digunakan oleh pelakon berniat jahat untuk mengeluarkan data, mewujudkan saluran arahan dan kawalan, atau terowong trafik berniat jahat.
Beberapa isu biasa dengan terowong DNS termasuk:
-
Prestasi: Terowong DNS boleh menjadi agak perlahan berbanding dengan komunikasi rangkaian standard, kerana DNS tidak direka untuk penghantaran data berkelajuan tinggi.
-
Pengesanan: Walaupun terowong DNS boleh memintas banyak tembok api, sistem keselamatan yang lebih maju mungkin dapat mengesan dan menyekatnya.
-
Kebolehpercayaan: DNS ialah protokol tanpa kewarganegaraan dan tidak menjamin penghantaran data yang boleh dipercayai.
Isu ini selalunya boleh dikurangkan melalui konfigurasi berhati-hati sistem terowong, penggunaan kod pembetulan ralat atau dengan menggabungkan terowong DNS dengan teknik lain untuk meningkatkan kesembunyian dan kebolehpercayaan.
Terowong DNS dalam Perbandingan dengan Teknik Serupa
Berikut ialah beberapa teknik yang serupa dan cara ia dibandingkan dengan terowong DNS:
Teknik | Terowong DNS | Terowong HTTP | Terowong ICMP |
---|---|---|---|
Siluman | tinggi | Sederhana | rendah |
serba boleh | tinggi | Sederhana | rendah |
Ubiquity | tinggi | tinggi | Sederhana |
Kelajuan | rendah | tinggi | Sederhana |
Seperti yang dilihat dalam jadual, walaupun terowong DNS bukanlah yang terpantas, ia menawarkan kesederhanaan dan serba boleh, menjadikannya teknik pilihan dalam pelbagai senario.
Perspektif Masa Depan Terowong DNS
Memandangkan keselamatan rangkaian terus meningkat, begitu juga teknik seperti terowong DNS. Perkembangan masa depan dalam bidang ini mungkin menumpukan pada meningkatkan lagi kesembunyian dan kepelbagaian terowong DNS, membangunkan kaedah pengesanan yang lebih canggih dan meneroka penyepaduannya dengan teknologi lain yang berkembang seperti pembelajaran mesin untuk pengesanan anomali.
Lebih-lebih lagi, dengan peningkatan perkhidmatan berasaskan awan dan peranti IoT, terowong DNS mungkin melihat aplikasi baharu, baik dari segi menyediakan saluran komunikasi terselindung yang selamat dan sebagai kaedah untuk penyingkiran data berpotensi atau saluran arahan dan kawalan untuk pelakon yang berniat jahat.
Peranan Pelayan Proksi dalam Terowong DNS
Pelayan proksi, seperti yang disediakan oleh OneProxy, boleh memainkan peranan penting dalam terowong DNS. Dalam persediaan yang menggunakan terowong DNS, pelayan proksi boleh bertindak sebagai perantara yang menyahkod data yang dibenamkan dalam permintaan DNS dan memajukannya ke destinasi yang sesuai.
Ini boleh meningkatkan keheningan dan kecekapan terowong DNS, kerana pelayan proksi boleh mengendalikan tugas pengekodan dan penyahkodan data, membolehkan pelanggan dan pelayan menumpukan pada tugas utama mereka. Tambahan pula, penggunaan pelayan proksi boleh memberikan lapisan tambahan tanpa nama dan keselamatan kepada proses tersebut.
Pautan berkaitan
Untuk mendapatkan maklumat lanjut tentang terowong DNS, anda boleh merujuk kepada sumber berikut: