На одном из red team проектов в финансовом секторе я гонял C2-сессию через dnscat2, выгружая хеши из NTDS.dit. Suricata молчала. SIEM — пусто. SOC-аналитики разбирали HTTP-логи, а DNS-трафик спокойно уходил через корпоративный резолвер наружу. Никто не проверял энтропию поддоменов, никто не считал длину запросов. Почему так происходит? DNS и HTTP — протоколы, которым инфраструктура доверяет по умолчанию. Файрвол пропускает, прокси не лезет вглубь, baseline никто не строил. 🔍 Как работает DNS tunneling Атакующий регистрирует домен, поднимает авторитетный DNS-сервер...