DNS tunneler jobbe på en allerede kompromittert datamaskin ved koding små mengder data i en ondsinnet DNS-navn. Den kompromitterte maskinen kan utføre et DNS-oppslag på ondsinnet domenenavn og /eller bruke en DNS-server som kontrolleres av angriperen. Når DNS-forespørsler fra den kompromitterte maskinen komme til mottakeren DNS-server eller enhet, kan angriperen enten logge at data for senere bruk og /eller sende en liten mengde data tilbake til den kompromitterte maskinen i DNS respons. DNS reaksjon kan være en kommando for den kompromitterte maskinen til å utføre. Denne utvekslingen kan tunnel en liten mengde data ut av et nettverk og konfigurert indirekte kommunikasjon mellom to datamaskiner på Internett.
Forsvar mot angrep ved hjelp av DNS tunneler første krever detektere avvik DNS-trafikk. Dette kan gjøres ved å overvåke DNS stokker eller ved å overvåke nettet direkte ved hjelp av et verktøy. Den første DNS-server kan også konfigureres til å logge DNS lookup forespørsler, og disse loggene kan overvåkes på jakt etter, for eksempel, et stort antall DNS-forespørsler fra ett endepunkt eller et stort antall DNS-forespørsler som trengs for å bli videresendt. Den samme analysen kan også utføres ved å overvåke nettverkstrafikk
Organisasjoner kan ta seg av jobben i huset med DNS sikkerhetsverktøy eller outsource til DNS-leverandører -. Som Neustar Inc., OpenDNS og percipient Networks - som kan utføre analyser på enterprise DNS-trafikk, og kan potensielt blokkere eller Blackhole DNS lookup sendes til ondsinnet DNS-serveren.