NHỮNG ĐIỂM CHÍNH
Hiểu rõ DNS Exfiltration là gì và vì sao nguy hiểm
Nắm cơ chế hoạt động theo từng bước cụ thể
Biết cách nhận diện lưu lượng DNS bất thường
Áp dụng các biện pháp phòng thủ hiệu quả
DNS EXFILTRATION LÀ GÌ
DNS Exfiltration là kỹ thuật tấn công trong đó kẻ xấu sử dụng giao thức DNS để đánh cắp dữ liệu từ hệ thống nội bộ ra bên ngoài. Thay vì gửi dữ liệu trực tiếp qua HTTP hoặc FTP (dễ bị phát hiện), dữ liệu sẽ được “ngụy trang” trong các truy vấn DNS.
Điểm nguy hiểm nằm ở chỗ DNS thường được coi là lưu lượng hợp lệ, nên firewall và các hệ thống giám sát truyền thống ít khi chặn hoặc kiểm tra sâu.

CƠ CHẾ HOẠT ĐỘNG CỦA DNS EXFILTRATION
Quá trình này thường diễn ra theo 3 bước chính:
BƯỚC 1: MÃ HÓA DỮ LIỆU VÀO HOSTNAME
Sau khi xâm nhập được vào máy, malware sẽ thu thập dữ liệu nhạy cảm như mật khẩu, token hoặc file nội bộ. Thay vì gửi trực tiếp, dữ liệu sẽ được mã hóa (thường là Base64) và chèn vào subdomain.
Ví dụ:
Secret123 → mã hóa → gắn vào dạng
secret123.attacker-domain.com
BƯỚC 2: GỬI TRUY VẤN DNS RA NGOÀI
Máy bị nhiễm sẽ gửi request DNS để “phân giải” domain này. Do đây là hành vi bình thường, hệ thống mạng nội bộ vẫn cho phép đi qua firewall và proxy.
Các truy vấn này sẽ đi qua nhiều DNS server trung gian trước khi đến máy chủ đích.
BƯỚC 3: THU THẬP DỮ LIỆU TẠI MÁY CHỦ TẤN CÔNG
Khi truy vấn đến authoritative DNS server do attacker kiểm soát, hệ thống này sẽ ghi log toàn bộ request. Phần subdomain chính là dữ liệu đã bị đánh cắp.
Attacker chỉ cần đọc log là có thể thu thập thông tin.

CÁCH NHÚNG DỮ LIỆU VÀ NHẬN BIẾT DNS EXFILTRATION
Kẻ tấn công thường sử dụng nhiều kỹ thuật để giấu dữ liệu:
Mã hóa và nhúng vào subdomain
Chia nhỏ dữ liệu thành nhiều truy vấn liên tiếp
Tùy chỉnh cấu trúc gói tin DNS để đánh lừa hệ thống
Dấu hiệu nhận biết:
Xuất hiện nhiều truy vấn DNS dài bất thường
Tần suất truy vấn cao đến domain lạ
Subdomain chứa chuỗi ký tự ngẫu nhiên (entropy cao)
Lưu lượng DNS tăng đột biến không rõ nguyên nhân
Trong thực tế, việc phát hiện thủ công gần như không khả thi. Do đó, các hệ thống sử dụng AI/Machine Learning sẽ giúp phân tích pattern và phát hiện bất thường hiệu quả hơn.
CÁCH NGĂN CHẶN DNS EXFILTRATION
Để phòng tránh hiệu quả, cần kết hợp nhiều lớp bảo mật:
Triển khai hệ thống giám sát DNS chuyên dụng để phân tích log và phát hiện bất thường
Giới hạn truy vấn DNS chỉ qua server nội bộ, không cho phép truy vấn trực tiếp ra ngoài
Cấu hình firewall chặn các DNS server không được ủy quyền
Sử dụng DNS filtering để block domain độc hại
Giới hạn tốc độ truy vấn DNS để phát hiện hành vi bất thường
Cập nhật và vá lỗi hệ thống DNS định kỳ
Đào tạo người dùng tránh tải file hoặc chạy phần mềm không rõ nguồn gốc

DNS Exfiltration không phải là kỹ thuật mới, nhưng vẫn cực kỳ hiệu quả vì đánh vào “điểm mù” của nhiều hệ thống. Nếu không giám sát DNS đúng cách, bạn có thể bị rò rỉ dữ liệu mà không hề hay biết.