Me doy cuenta de que esta es una pregunta antigua, pero simplemente la encontré y pensé en publicar mi perspectiva por el próximo tipo.
La respuesta de mejor es la respuesta de caelyx : diseñe la red de manera que solo el proxy puede resolver nombres de host DNS externos. Como señala, es difícil adaptar esto a un entorno de producción.
Un compromiso es bloquear todo udp / 53 de salida a menos que se origine desde su servidor DNS interno y / o permita solo a su servidor DNS externo. Esto mitiga las aplicaciones que simplemente envían datos sobre udp / 53 a un servidor externo arbitrario. no reduce el riesgo de tunelización de DNS, ya que sus servidores DNS internos y externos con gusto reenviarán cualquier tráfico compatible con RFC.
Investigo esto en 2009 y publiqué mis hallazgos en armatum.com . La primera publicación consistía en caracterizar el tráfico DNS "de rutina" y compararlo con las implementaciones típicas de túneles DNS. La segunda fase consistió en crear un algoritmo para detectar el comportamiento inusual; comenzó como un algoritmo de agrupamiento y terminó como una simple visualización de características clave:
(hagaclicparaveryverelvideo,vealaaplicaciónquefuncionaentiemporeal)Esascaracterísticasclaveterminaronenfocándoseenlalongituddelnombredehostconsultado,eltipodesolicitudyelnúmerodecaracteresúnicosenelnombredehostsolicitado.LamayoríadelasimplementacionesdetúnelesDNScompatiblesconRFCmaximizanestosvaloresparamaximizarelanchodebandaascendente,loqueresultaenunaumentosignificativodelosvaloressobreeltráficoDNStípico.
Comoseñaléenlaactualizacióndelasegundapublicación,sivolvieraahaceresetrabajohoy,incluiríalainvestigaciónquesehapublicadodesdeentoncesytambiénutilizarélacuentadesubdominiospordominiocomounacaracterísticaclave.Esaesunatécnicainteligente.
Construíestocomounaherramientaquequeríaenelperímetrodemiredempresarialmi,enfuncióndelosañosenquedesempeñéeserol.Porloquesé,nohayaplicaciones/hardwaredelaindustriadeclaseempresarialqueproporcionenestaprofundidaddeconocimiento.Losmáscomunessonlos"firewalls de nivel de aplicación" que garantizan el cumplimiento de RFC, algo que puede (generalmente) hacer cumplir con la arquitectura de red de DNS dividida más simple descrita anteriormente.
Es de destacar que he visto que los registros de respuesta de TXT están totalmente prohibidos en un gran perímetro empresarial (450k hosts) sin una reducción significativa en la utilidad. Sus puertas de enlace de correo necesitan registros TXT para SPF, pero los otros usos comunes rara vez tienen un lugar en la empresa. No abogo por este enfoque, porque "rompe internet", pero en circunstancias extremas no puedo discutir su sentido práctico.
Y, finalmente, sí, he visto esta técnica utilizada en vivo, aunque es inusual. (refiriéndose a empresas, no puntos de acceso público de pago por uso)