Половина корпоративного трафика идёт в обход внутренних блокировок
3 мин
68
Более половины нелегитимного трафика (61%) в компаниях — это переходы на домены, заблокированные внутренними правилами компаний. Причём часть сотрудников делает это умышленно, например они пытаются обойти корпоративную политику, чтобы добраться до заблокированных ресурсов вроде внешних облачных хранилищ. Риски в таком случае могут включать утечки данных и другие инциденты безопасности, следует из данных статистики DNS-фильтрации за 2025 год, которую представила компания BI.ZONE.
Остальная часть такого трафика — это переходы по старым ссылкам, из рассылок или с вводом адреса вручную. Это может привести к загрузке вредоносного контента и киберинциденту. Злоумышленники всё активнее используют DNS-протокол, чтобы незаметно управлять вредоносными программами и выгружать конфиденциальные данные, обходя базовые средства сетевой защиты.
Аналитики отметили, что для обычного пользователя DNS-трафик остаётся невидимым. Сотрудник просто открывает почту или браузер, при этом параллельно идёт постоянный поток фоновых DNS-запросов. Автоматические запросы отправляют и легитимные, и вредоносные программы, о чём пользователь часто даже не подозревает. Часть их связана с фишингом, вредоносным ПО и теневыми ресурсами.
DNSSEC-аномалии составили 25% нелегитимного трафика в 2025 году. Они возникают, когда проверка DNSSEC показывает, что данные по домену не проходят валидацию. Для компаний это индикатор проблем в конфигурации, который в сочетании с другими признаками может указывать на потенциально вредоносную активность.
На DGA-запросы приходятся 6,8% нелегитимного трафика. Злоумышленники используют их для скрытой связи вредоносного ПО и ботнетов с управляющими серверами. Вредоносные программы генерируют тысячи доменных имён в сутки, так что блокировка отдельных адресов оказывается неэффективной. Для компаний это означает, что вредоносное ПО может долго оставаться незамеченным, маскируясь под случайный трафик. DGA часто применяется в целевых атаках для промышленного шпионажа, кражи данных и компрометации систем.
Ещё 6% нелегитимного трафика — это запросы, связанные с DNS Rebinding — техникой, при которой домен переводится на другой IP-адрес. Пользователь думает, что обращается к одному ресурсу, а запрос уходит на другой. Такой подход позволяет злоумышленнику обходить защитные механизмы веб-приложений от SSRF, заставляя корпоративные системы отправлять запросы к внутренним сервисам, недоступным извне.
DNS-туннели остаются нишевым, но вариативным способом скрытой передачи данных и удалённого управления сетью. За год кибербез-спецы зафиксировали 1 тысячу попыток построить DNS-туннель для скрытого вывода информации из корпоративных сетей, даже оснащённых IDPS- и NTA-системами.
