Exfiltration DNS : sous-domaines nombreux et longs
Deux marqueurs du tunneling DNS combinés : forte cardinalité de sous-domaines uniques sous un même domaine et longueur moyenne anormale des requêtes.
Cas d'usage
Détection de canaux cachés DNS (DNS tunneling / exfiltration de données).
Prérequis
Elasticsearch 8.12+, logs DNS (Packetbeat ou résolveur)
SQL
FROM "logs-dns-*"
| WHERE dns.question.name IS NOT NULL
AND @timestamp >= NOW() - 6 hours
| EVAL longueur = LENGTH(dns.question.name)
| STATS
requetes = COUNT(*),
sous_domaines = COUNT_DISTINCT(dns.question.name),
longueur_moy = ROUND(AVG(longueur), 1)
BY dns.question.registered_domain, source.ip
| WHERE sous_domaines > 100 AND longueur_moy > 40
| SORT sous_domaines DESC
| LIMIT 25Résultat
dns.question.registered_domain | source.ip | requetes | sous_domaines | longueur_moy -------------------------------+------------+----------+---------------+------------- cdn-metrics-sync.net | 10.2.14.88 | 18421 | 17204 | 62.8 files-telemetry.io | 10.2.31.17 | 4812 | 4377 | 55.1 update-check-svc.com | 10.2.7.204 | 912 | 841 | 47.3
SOCDNSExfiltrationCOUNT_DISTINCT