揭开TCP-over-DNS流量的神秘面纱(图文)

一、TCP-over-DNS 是什么

在网络通信的复杂世界里，TCP-over-DNS 是一种独特且具有特殊用途的技术。从概念上讲，它是一种利用 DNS（域名系统，Domain Name System）协议来传输 TCP（传输控制协议，Transmission Control Protocol ）数据的方法。
我们都知道，传统的 DNS 主要用于将人类可读的域名（如www.example.com）解析为计算机可识别的 IP 地址，以便设备能够在网络中找到对应的服务器 。DNS 查询通常使用 UDP（用户数据报协议，User Datagram Protocol），因为 UDP 速度快且无连接，能快速响应域名解析请求。而当 DNS 响应数据过大（超过 512 字节）时，会切换到 TCP 进行传输。
但 TCP-over-DNS 却打破常规，它利用 DNS 协议来传输 TCP 数据，就像是在原本只用于运输信件（域名解析请求与响应）的邮路上，偷偷夹带了包裹（TCP 数据）。正常情况下，DNS 协议中的数据包包含了域名查询、响应等信息，而在 TCP-over-DNS 中，TCP 数据会被封装在 DNS 数据包里，比如利用 DNS 的 TXT 记录（原本用于存储文本信息的字段）来承载 TCP 数据。
打个比方，传统 DNS 就像是城市里专门负责传递地址信息的快递员，只在固定的路线上传递特定格式的地址信件；而 TCP-over-DNS 则像是一个 “改装” 后的快递员，在传递地址信件的同时，还偷偷在信件里藏了其他货物。这就使得 TCP-over-DNS 与传统 DNS 在功能和用途上有了本质区别。传统 DNS 专注于域名与 IP 地址的转换，而 TCP-over-DNS 更多地被用于突破网络限制、隐蔽通信等特殊场景。

二、为什么会出现 TCP-over-DNS

（一）突破网络限制

在网络环境日益复杂的今天，网络限制无处不在。无论是企业内部网络出于安全和管理目的对某些外部网站、服务的访问限制，还是校园网络为了规范学生上网行为而设置的访问策略，又或是在一些特殊地区由于政策等因素导致部分网络资源无法正常访问 ，都给用户获取信息和开展业务带来了阻碍。
在这种情况下，TCP-over-DNS 技术应运而生。由于 DNS 协议在网络通信中具有特殊地位，它承担着域名解析这一基础且关键的功能，绝大多数网络设备和防火墙都会允许 DNS 流量通过，以确保网络的基本连通性和正常运行。TCP-over-DNS 正是巧妙地利用了这一点，将 TCP 数据伪装在 DNS 数据包中。
例如，当企业员工需要访问被限制的特定外部业务系统时，通过 TCP-over-DNS 技术，就可以绕过企业防火墙对该系统直接访问的限制，成功与目标服务器建立连接并传输数据。同样，在校园中，学生若想访问一些学术资源网站，而这些网站被校园网络限制，TCP-over-DNS 也为他们提供了一种突破限制的途径 。这种技术就像是在网络的 “封锁线” 下挖掘了一条隐蔽的隧道，让受限的数据能够悄然通过。

（二）数据传输需求

在某些特殊的场景下，对数据传输有着特殊的要求，既需要保证数据传输的隐蔽性，防止被他人轻易窥探和监测，又需要确保数据能够可靠地到达目的地，不出现丢失、损坏或乱序的情况。而 TCP-over-DNS 技术恰恰能够满足这些严苛的需求。
在一些对数据安全性要求极高的商业活动中，企业之间进行机密数据的交换，如商业机密文件、敏感的财务信息等。如果采用常规的数据传输方式，很容易在传输过程中被竞争对手或恶意攻击者截获和篡改。而 TCP-over-DNS 将数据隐藏在 DNS 数据包中，利用 DNS 协议的普遍信任性和广泛使用性，降低了数据被检测和攻击的风险，为数据传输披上了一层 “隐形衣”。
在军事通信领域，战场上的通信环境复杂多变，充满了各种干扰和敌方的监听、攻击。军事单位之间需要传输重要的战略情报、作战指令等关键信息，这些信息一旦泄露或传输失败，可能会导致严重的后果。TCP-over-DNS 凭借其隐蔽性和可靠性，能够在复杂的战场网络环境中，保障军事通信的安全和稳定，确保信息准确无误地传达到指定的接收方 。

三、TCP-over-DNS 流量特征详细解析

（一）协议层面特征

正常情况下，DNS 协议的工作流程清晰且有序。当我们在浏览器中输入一个域名，比如www.example.com ，首先，我们的设备会向本地 DNS 服务器发送查询请求，询问这个域名对应的 IP 地址。本地 DNS 服务器会先在自己的缓存中查找，如果缓存中有对应的记录，就会直接返回 IP 地址给设备，这大大提高了查询效率。若缓存中没有，本地 DNS 服务器就会向根域名服务器发起查询 。根域名服务器会告知本地 DNS 服务器负责该顶级域名（如.com）的权威域名服务器的 IP 地址。本地 DNS 服务器接着向权威域名服务器查询，最终获取到该域名的 IP 地址，并返回给我们的设备。在这个过程中，DNS 查询通常使用 UDP 协议，因为 UDP 具有速度快、无连接的特点，能快速响应域名解析请求。而当 DNS 响应数据过大（超过 512 字节）时，会切换到 TCP 进行传输 。
在 TCP-over-DNS 流量中，报文结构出现了明显的变化。通常，DNS 报文中的查询类型主要是 A 记录（用于将域名解析为 IPv4 地址）、AAAA 记录（用于将域名解析为 IPv6 地址）、MX 记录（邮件交换记录）等常规类型，这些类型是为了满足正常的域名解析需求。但在 TCP-over-DNS 中，可能会出现大量异常的查询类型，比如频繁出现 TXT 记录查询，且查询的域名格式怪异、长度超长。这是因为攻击者利用 TXT 记录来承载 TCP 数据，将数据编码后放入 TXT 记录的查询域名中，以此实现数据的隐蔽传输。
在某些恶意的 TCP-over-DNS 攻击场景中，攻击者会构造特殊的 DNS 报文。例如，将恶意软件的控制指令或敏感数据编码后，伪装成 DNS 的 TXT 记录查询。这些查询的域名可能包含大量看似无意义的字符组合，如 “abcdefghijklmnopqrstuvwxyz1234567890-._~!@#$%^&*()+=[]{}|;':,./<>?`” 等，长度远远超过正常域名的长度限制，而且查询频率极高，与正常的 DNS 查询行为截然不同。

（二）流量行为特征

从时间分布来看，正常的 DNS 流量呈现出一定的规律性和稳定性。在日常网络使用中，DNS 查询通常在用户访问新的网站、应用程序首次连接服务器等场景下发生，频率相对稳定，且在一天中的不同时段，查询量会随着用户的使用习惯而有所波动，但总体变化较为平稳。例如，在工作时间，由于大量用户使用办公网络访问各类工作相关的网站和服务，DNS 查询量会相对较高；而在深夜，用户活动减少，DNS 查询量也会随之降低。
TCP-over-DNS 流量的时间分布却往往表现出异常。它可能会出现突发的流量高峰，这些高峰与正常的网络使用模式毫无关联。比如在凌晨时分，当大多数用户都处于休息状态，网络流量极低时，TCP-over-DNS 流量却突然大幅增加，这很可能是攻击者在利用这段时间进行数据传输，以避免被发现。它还可能呈现出持续的低流量传输状态，这种隐蔽的方式使得监测难度大大增加。攻击者通过持续、缓慢地传输数据，就像在网络中进行一场 “悄无声息的潜行”，不易被常规的流量监测手段察觉。
在数据量大小方面，正常 DNS 查询和响应的数据量相对较小。一般来说，一个简单的 DNS 查询报文可能只有几十字节，而响应报文也通常在几百字节以内，这是因为正常的域名解析信息本身并不复杂。而 TCP-over-DNS 流量的数据量则变化较大，有时会出现大量小数据包的频繁传输，这些小数据包可能是经过拆分后的 TCP 数据片段，通过多次 DNS 查询和响应来逐步传输完整的数据；有时又会出现较大的数据块，这可能是一次性传输的较为复杂的指令或大量的数据内容。
正常的 DNS 连接频率与用户的网络行为紧密相关。当用户打开几个新的网站或应用程序时，会产生相应数量的 DNS 查询连接，连接频率相对较低且符合用户的操作逻辑。而 TCP-over-DNS 流量的连接频率可能会异常高，远远超出正常的网络活动范围。恶意程序可能会在短时间内发起大量的 DNS 连接请求，试图快速传输数据或与控制服务器进行频繁的通信，这种异常的连接频率就像是网络中的 “急促心跳”，暴露了其不寻常的本质。

（三）数据内容特征

TCP-over-DNS 流量的数据编码和加密方式多种多样，这也是其实现隐蔽通信的关键手段之一。常见的数据编码方式包括 Base64 编码，它将二进制数据转换为可打印的 ASCII 字符，使得数据能够在 DNS 报文中安全传输。在某些 TCP-over-DNS 的恶意活动中，攻击者会将恶意软件的更新文件或敏感的用户数据进行 Base64 编码，然后将编码后的内容嵌入到 DNS 的 TXT 记录或其他字段中。通过这种方式，数据在看似普通的 DNS 流量中悄然传输，不易被检测到。
除了编码，加密也是常用的手段。一些 TCP-over-DNS 流量会使用对称加密算法，如 AES（高级加密标准），对数据进行加密处理。在恶意软件的控制与通信场景中，攻击者会使用 AES 算法对控制指令和窃取到的数据进行加密，只有接收方拥有正确的密钥才能解密并获取数据。这种加密方式为数据传输提供了一层额外的保护，使得安全人员在分析流量时难以直接获取数据内容。
要从数据内容中发现异常并非易事，但也并非无迹可寻。在对 DNS 流量进行深入分析时，安全人员可以关注域名的命名规则。正常的域名通常具有一定的语义和结构，符合常见的命名规范，如包含有意义的词汇、遵循域名的层级结构等。而 TCP-over-DNS 流量中的域名可能会包含大量随机字符，毫无语义可言，这些随机字符很可能是经过编码或加密后的数据片段。通过对大量 DNS 流量的域名进行统计分析，建立正常域名的特征模型，当出现不符合该模型的异常域名时，就可以进一步深入调查。
对 DNS 报文中的 TXT 记录内容进行分析也至关重要。正常的 TXT 记录通常用于存储与域名相关的文本信息，如域名验证信息、邮件服务器配置说明等，内容具有明确的含义和格式。而在 TCP-over-DNS 流量中，TXT 记录的内容可能会出现乱码、超长字符串或不符合常规格式的文本，这些异常内容很可能是被伪装的数据。通过建立 TXT 记录内容的合规性检测规则，对 TXT 记录进行实时监测和分析，一旦发现异常，就能及时发出警报，从而有效识别 TCP-over-DNS 流量。

四、如何检测 TCP-over-DNS 流量

（一）基于流量特征的检测方法

基于流量特征的检测方法是应对 TCP-over-DNS 流量隐蔽性挑战的有效手段，其核心在于通过建立精准的流量模型，利用机器学习算法来实现对 TCP-over-DNS 流量的准确识别。
在建立流量模型时，需要全面考虑 TCP-over-DNS 流量在协议层面、流量行为和数据内容等多方面的特征。从协议层面来看，要关注 DNS 报文结构的变化，如查询类型中异常出现的 TXT 记录查询，以及查询域名格式怪异、长度超长等特征。通过对大量正常 DNS 流量和 TCP-over-DNS 流量的分析，统计不同查询类型的出现频率、域名长度分布等数据，构建出正常 DNS 流量的协议特征模型。当实际监测到的流量中，DNS 报文的这些特征偏离正常模型范围时，就可能存在 TCP-over-DNS 流量的嫌疑。
流量行为特征也是建模的关键因素。分析流量的时间分布，正常 DNS 流量在一天中的变化通常与用户的使用习惯相符，而 TCP-over-DNS 流量可能会出现突发高峰或持续低流量传输的异常情况。通过收集长时间的流量数据，建立起流量时间分布的正常模式，设定合理的流量波动阈值。一旦检测到流量在时间分布上超出正常阈值范围，就可进一步深入分析是否为 TCP-over-DNS 流量。关注数据量大小和连接频率的变化，正常 DNS 流量的数据量和连接频率相对稳定，而 TCP-over-DNS 流量的数据量变化大、连接频率异常高，将这些特征纳入模型，能够更准确地识别异常流量。
数据内容特征同样不容忽视。研究 TCP-over-DNS 流量常用的数据编码和加密方式，如 Base64 编码、AES 加密等。通过分析编码后数据的格式特征、加密算法的指纹信息等，建立数据内容特征库。当检测到 DNS 流量中的数据内容符合这些异常编码或加密特征时，即可发出警报。
机器学习算法在基于流量特征的检测中发挥着核心作用。常见的算法包括支持向量机（SVM）、随机森林（RF）、深度学习中的卷积神经网络（CNN）等。以支持向量机为例，它通过寻找一个最优的超平面，将正常流量和 TCP-over-DNS 流量在特征空间中进行分隔。在训练过程中，将提取到的各种流量特征作为输入数据，将已知的正常流量和 TCP-over-DNS 流量样本标记为不同的类别，让支持向量机学习这些特征与类别的映射关系。经过充分训练后，支持向量机就能够根据输入的流量特征，判断该流量是否属于 TCP-over-DNS 流量。
随机森林算法则是通过构建多个决策树，对流量特征进行多次划分和判断，最终综合多个决策树的结果来确定流量的类别。深度学习中的卷积神经网络擅长自动提取数据的复杂特征，它通过多层卷积层和池化层，对流量数据进行特征提取和抽象，能够发现一些人类难以直接察觉的流量特征模式，从而提高检测的准确性。

（二）工具辅助检测

在检测 TCP-over-DNS 流量的技术体系中，工具辅助检测发挥着至关重要的作用。Wireshark 和 Suricata 等网络流量分析工具凭借其强大的功能，成为了安全人员识别 TCP-over-DNS 流量的得力助手。
Wireshark 是一款广为人知的开源网络协议分析工具，它能够深入到网络数据包的层面，对各种网络协议进行详细解析和分析。在检测 TCP-over-DNS 流量时，Wireshark 的使用方法相对直观。安全人员可以通过在网络接口上进行抓包操作，捕获流经该接口的所有网络数据包。在抓包过程中，Wireshark 会实时显示捕获到的数据包信息，包括源 IP 地址、目的 IP 地址、协议类型、数据包大小等基本信息。
为了更高效地检测 TCP-over-DNS 流量，安全人员可以利用 Wireshark 强大的过滤功能。通过设置过滤规则，如 “udp.port == 53” 来筛选出 DNS 相关的数据包，因为 DNS 协议通常使用 UDP 端口 53 进行通信。进一步结合 TCP-over-DNS 流量的特征，如异常的域名格式、超长的域名长度等，使用更复杂的过滤表达式，如 “dns.qry.name contains "异常字符串" && dns.qry.type == TXT”，可以精准地筛选出可能存在 TCP-over-DNS 流量的数据包。
一旦筛选出可疑数据包，Wireshark 提供了丰富的分析功能。可以查看 DNS 报文的详细结构，包括查询类型、查询域名、响应数据等，通过分析这些信息，判断是否符合 TCP-over-DNS 流量的特征。查看 TXT 记录的内容，若发现内容呈现乱码、超长且无明显语义的情况，很可能是被用于传输 TCP 数据的伪装。
Suricata 是另一款备受关注的开源网络入侵检测和防御系统，它具有高性能、多线程处理等优势，在检测 TCP-over-DNS 流量方面也表现出色。Suricata 的工作原理基于规则匹配，它支持用户自定义规则，以适应各种复杂的网络安全检测需求。
在检测 TCP-over-DNS 流量时，用户可以根据 TCP-over-DNS 流量的特征编写相应的检测规则。例如，根据 TCP-over-DNS 流量中可能出现的异常域名长度特征，可以编写规则 “alert udp any any -> any 53 (msg:"Possible TCP-over-DNS traffic - long domain name"; content:"|00|"; offset:12; depth:2; byte_test:1, gt, 255, relative; sid:10001; rev:1;)”。这条规则的含义是，当检测到 UDP 协议的数据包，源地址和源端口任意，目的端口为 53（DNS 端口），且数据包中从第 12 个字节开始的 2 个字节表示的域名长度大于 255 时，触发警报，提示可能存在 TCP-over-DNS 流量。
Suricata 还支持实时流量监测和分析，它能够快速处理大量的网络流量数据，并根据预设的规则及时发现潜在的 TCP-over-DNS 流量威胁。通过与其他安全工具的集成，如 SIEM（安全信息和事件管理）系统，Suricata 可以将检测到的警报信息及时传递给安全管理人员，以便他们采取相应的措施进行处理。

五、TCP-over-DNS 的应用场景与潜在风险

（一）合法应用场景

在一些特殊网络环境下，TCP-over-DNS 有着不可或缺的合法应用。在某些跨国企业中，分布在不同国家和地区的分支机构，可能会面临当地网络政策和限制的差异。例如，某跨国企业在 A 国的分支机构，由于当地网络监管政策，无法直接访问位于 B 国总部的特定业务系统。而通过 TCP-over-DNS 技术，该分支机构可以将与总部业务系统通信的 TCP 数据封装在 DNS 数据包中，绕过当地网络的限制，实现与总部的正常业务通信，确保企业业务的连续性和数据交互的及时性。
在科研领域，一些研究机构需要与国际上其他机构进行数据共享和协作。但由于科研数据的敏感性和网络环境的复杂性，普通的数据传输方式可能存在安全风险或受到网络限制。TCP-over-DNS 技术为科研数据传输提供了一种安全、隐蔽的解决方案。研究机构可以利用 TCP-over-DNS 将科研数据加密后，通过 DNS 协议传输给合作机构，既保证了数据的安全性，又突破了可能存在的网络限制，促进了科研合作的顺利开展。

（二）潜在风险

TCP-over-DNS 技术如果被恶意利用，会带来严重的安全风险。DNS 隧道攻击就是其中一种典型的恶意利用方式。攻击者利用 TCP-over-DNS 技术创建 DNS 隧道，将恶意软件的控制指令、窃取到的敏感数据等封装在 DNS 数据包中进行传输。在数据泄露方面，黑客可以通过植入恶意软件，利用 TCP-over-DNS 技术，将窃取到的用户账号密码、企业商业机密、个人隐私数据等，通过 DNS 隧道传输到外部的控制服务器。在某起数据泄露事件中，黑客入侵了一家企业的内部网络，利用 TCP-over-DNS 技术，在长达数月的时间里，持续将企业的客户信息、财务报表等敏感数据，以隐蔽的方式传输出去，给企业造成了巨大的经济损失和声誉损害。
在网络攻击方面，攻击者可以利用 TCP-over-DNS 控制被感染的主机，对外发起分布式拒绝服务（DDoS）攻击。攻击者通过 DNS 隧道向大量被植入恶意软件的主机发送攻击指令，这些主机同时向目标服务器发送海量的请求，导致目标服务器因不堪重负而瘫痪，无法正常提供服务。一些黑客组织利用 TCP-over-DNS 技术控制了大量的物联网设备，组成僵尸网络，对目标网站发起大规模的 DDoS 攻击，导致该网站长时间无法访问，严重影响了用户体验和业务运营。

六、总结与展望

TCP-over-DNS 作为一种特殊的网络通信技术，其流量特征既独特又复杂。从协议层面看，它对 DNS 报文结构进行了改造，利用异常的查询类型和怪异的域名格式来传输 TCP 数据，与正常 DNS 协议的有序运作形成鲜明对比。在流量行为上，它打破了正常 DNS 流量的时间分布规律，出现突发高峰或持续低流量传输的异常情况，数据量大小和连接频率也表现出与正常流量截然不同的特征。数据内容方面，多样化的数据编码和加密方式使其隐蔽性更强，增加了检测的难度。
检测 TCP-over-DNS 流量对于维护网络安全和稳定至关重要。它能够及时发现恶意的 DNS 隧道攻击，防止数据泄露和网络攻击的发生，保护用户的隐私和企业的商业机密。通过基于流量特征的检测方法和工具辅助检测，我们能够更有效地识别 TCP-over-DNS 流量，但这些检测方法仍面临着诸多挑战，如检测的准确性和及时性难以平衡，对新型的 TCP-over-DNS 变种检测能力不足等。
未来，TCP-over-DNS 流量特征的研究方向具有广阔的拓展空间。一方面，随着人工智能技术的不断发展，将深度学习、强化学习等更先进的人工智能算法应用于检测，有望进一步提高检测的准确性和效率。通过构建更复杂、更智能的模型，能够更好地学习 TCP-over-DNS 流量的复杂特征，及时发现新型的隐蔽流量。另一方面，随着网络环境的不断变化，TCP-over-DNS 技术也可能会不断演进，我们需要持续关注其新的应用场景和潜在风险，不断更新检测技术和方法，以适应新的网络安全挑战。同时，加强对 TCP-over-DNS 合法应用场景的研究和规范，使其在合理的范围内发挥积极作用，也是未来研究的重要方向之一。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。