歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

DNS隧道流量分析

來源:本站整理 作者:佚名 時間:2019-10-08 TAG: 我要投稿

DNS隧道
DNS協議又稱域名系統是互聯網的基礎設施,只要上網就會用到,因而DNS協議是提供網絡服務的重要協議,在黑客進入內網后會使用DNS、ICMP、HTTP等協議隧道隱藏通信流量。本文通過DNS隧道實驗并對流量進行分析,識別DNS隧道流量特征。
實驗環境
CentOS Linux 兩臺
創建DNS服務器
1.安裝bind
yum install bind*
2.配置named文件
修改/etc/named.conf
將下圖中選中的地方改為any

3. 設置NS記錄,A記錄
增加區域解析文件在/etc/named.rfc1912.zones增加區域解析記錄文件

增加正向解析記錄
將/var/named/named.localhost改為上圖中修改的名字
cp /var/named/named.localhost/var/named/name.dnstunel
修改文件如下
添加NS記錄,A記錄

添加bind為自啟動服務
systemctl enablenamed.service
systemctl restartnamed.service
查看啟動狀態
systemctl statusnamed.service

將另一臺主機DNS服務器設置為192.168.1.7,ping ns.dnstuneltest.com是否正確解析,(如果不能解析,可能跟防火墻有關系,在DNS服務器上執行iptables -F)
Iodine
Ionine支持兩種模式,中繼以及直連模式,服務器與客戶端可以直接通信而不需要第三種輔助軟件,通信的DNS數據損壞容易容易被發現。
安裝
下載地址:
https://github.com/yarrick/iodine/archive/master.zip
unzip 解壓
cd iodine-master
make
出現報錯

yum -y install zlib-devel
make;make install
安裝完成
進入 bin
iodined 服務器
iodine 客戶端
實驗測試
服務器
./iodined -f -c -P 123456 10.1.0.1ns.dnstuneltest.com
-f 前臺顯示,運行后一直在命令行等待
-c 中繼模式|直連模式
-P 認證密碼
Ip 虛擬出網卡的IP,在隧道建立后,客戶端同樣會多出一塊dns0網卡,與該IP在 同一網段,可以任意設置,虛擬IP。
設置的域名,這里要跟區域配置文件一致。
輸入完成之后,ifconfig查看會多一塊網卡


客戶端
./iodine -f -P  123456 192.168.1.7 ns.dnstuneltest.com
-f 前臺顯示
-P 認證密碼
IP 為配置DNS服務器IP或者為購買的云服務IP,輸入此選項之后,直接與指定IP查詢,而不經過其他DNS服務器層解析
客戶端此時也會新增一個網卡,DNS0,IP為10.1.0.2與服務器DNS0網卡處于同一網段中,此時服務器端與客戶端可以使用這兩個IP互相通信。

流量包分析
抓包
tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap
建立鏈接的包分析
在客戶端啟動后,會向服務器發送DNS請求包

客戶端情報求包,請求包的type類型為10 (未知,可以作為檢測的一種特征),數據作為域名前綴
yrbh1o.ns.dnstuneltest.com, yrbh1o就是請求的數據

服務器響應包,rdata字段攜帶數據,因為查詢包沒有指定查詢類型,所以rdata字段沒有長度限制(限制于UDP最大包長512字節)

采用中繼模式,客戶端會一直發送心跳包,保持鏈接(因為DNS服務器不會直接與客戶端發起鏈接,所以客戶端會一直想服務器發送數據包)但是DNS協議的字段格式已經損壞。
通信流量包分析
通信過程的中的DNS協議格式已經損壞,wireshark已經無法正確分析

正常DNS的數據包中的query字段的形式是所占字節-三級域名-所占字節-二級域名-所占字節-一級域名形式并且正常的query字段時只有再域名結束時才會出現00階段。
05fanyi05baidu03com

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任