DNS exfiltration là một hành động đánh cắp dữ liệu từ mạng nội bộ ra ngoài internet thông qua các câu truy vấn giải mã tên miền. Điều này xảy ra khi attacker có thể truy cập vào được mạng nội bộ và lợi dụng DNS để tiến hành qua mặt tường lửa.

Với sự tăng trưởng trong số lượng domain trên internet hiện nay thì đã vượt quá khả năng lưu trữ của một máy chủ, do đó giao thức DNS được thiết kế như một cơ sở dữ liệu phân tán.

Mỗi hostname solution sẽ tương ứng với một máy chủ trong cơ sở dữ liệu phân tán, hay được gọi là authoriative name server (AuthNS – máy chủ định danh có thẩm quyền). Với request hostname solution được gửi đi, DNS client sẽ lặp qua các AuthNS đến khi tìm được chính xác AuthNS. Lúc này, AuthNS đó sẽ trả lời hostname tương ứng.

Ở đây ta có thể coi “hostname” như là incoming data (input) cho AuthNS và ta có một ví dụ cụ thể như sau:

1. Hostname ở đây chính là password và malware gửi tới domain exfiltration(.)com của attacker

2. Và request này sẽ được chuyển hướng tới DNS server của attacker

3. Một khi request tới được server của attacker thì lúc này attacker đã có được thông tin request bao gồm password (subdomain hay là hostname)

Mọi thông tin chi tiết xem tại: https://www.facebook.com/inseclab/posts/pfbid0foZwadZSUmpNwNwFrU91dcEJJ5175jTixuFxKe1TVx4YgfJMngDTyG9xFRHF4QYTl

Hạ Băng - Cộng tác viên Truyền thông trường Đại học Công nghệ Thông tin