云南建设厅网站安全处,后台网站手机版视频怎么做,网站改进建议有哪些,dede网站 index.php无法访问DNS隧道
DNS协议又称域名系统是互联网的基础设施#xff0c;只要上网就会用到#xff0c;因而DNS协议是提供网络服务的重要协议#xff0c;在黑客进入内网后会使用DNS、ICMP、HTTP等协议隧道隐藏通信流量。本文通过DNS隧道实验并对流量进行分析#xff0c;识别DNS隧道流量…DNS隧道
DNS协议又称域名系统是互联网的基础设施只要上网就会用到因而DNS协议是提供网络服务的重要协议在黑客进入内网后会使用DNS、ICMP、HTTP等协议隧道隐藏通信流量。本文通过DNS隧道实验并对流量进行分析识别DNS隧道流量特征。
实验环境 CentOS Linux 两台 创建DNS服务器
1.安装bind yum install bind* 2.配置named文件 修改/etc/named.conf 将下图中选中的地方改为any 3. 设置NS记录A记录
增加区域解析文件在/etc/named.rfc1912.zones增加区域解析记录文件 增加正向解析记录
将/var/named/named.localhost改为上图中修改的名字 cp /var/named/named.localhost/var/named/name.dnstunel 修改文件如下
添加NS记录A记录 添加bind为自启动服务 systemctl enablenamed.service systemctl restartnamed.service 查看启动状态 systemctl statusnamed.service 将另一台主机DNS服务器设置为192.168.1.7ping ns.dnstuneltest.com是否正确解析(如果不能解析可能跟防火墙有关系在DNS服务器上执行iptables -F)
Iodine
Ionine支持两种模式中继以及直连模式服务器与客户端可以直接通信而不需要第三种辅助软件通信的DNS数据损坏容易容易被发现。
安装
下载地址 https://github.com/yarrick/iodine/archive/master.zip unzip 解压
cd iodine-master
make
出现报错 yum -y install zlib-devel
make;make install
安装完成
进入 bin
iodined 服务器
iodine 客户端
实验测试
服务器 ./iodined -f -c -P 123456 10.1.0.1ns.dnstuneltest.com -f 前台显示运行后一直在命令行等待 -c 中继模式|直连模式 -P 认证密码 Ip 虚拟出网卡的IP在隧道建立后客户端同样会多出一块dns0网卡与该IP在 同一网段可以任意设置虚拟IP。
设置的域名这里要跟区域配置文件一致。
输入完成之后ifconfig查看会多一块网卡 客户端 ./iodine -f -P 123456 192.168.1.7 ns.dnstuneltest.com -f 前台显示 -P 认证密码 IP 为配置DNS服务器IP或者为购买的云服务IP输入此选项之后直接与指定IP查询而不经过其他DNS服务器层解析 客户端此时也会新增一个网卡DNS0IP为10.1.0.2与服务器DNS0网卡处于同一网段中此时服务器端与客户端可以使用这两个IP互相通信。 流量包分析 抓包 tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap 建立链接的包分析
在客户端启动后会向服务器发送DNS请求包 客户端情报求包请求包的type类型为10 (未知可以作为检测的一种特征)数据作为域名前缀
yrbh1o.ns.dnstuneltest.com, yrbh1o就是请求的数据 服务器响应包rdata字段携带数据因为查询包没有指定查询类型所以rdata字段没有长度限制(限制于UDP最大包长512字节) 采用中继模式客户端会一直发送心跳包保持链接因为DNS服务器不会直接与客户端发起链接所以客户端会一直想服务器发送数据包但是DNS协议的字段格式已经损坏。
通信流量包分析
通信过程的中的DNS协议格式已经损坏wireshark已经无法正确分析 正常DNS的数据包中的query字段的形式是所占字节-三级域名-所占字节-二级域名-所占字节-一级域名形式并且正常的query字段时只有再域名结束时才会出现00阶段。
05fanyi05baidu03com 隧道中的流量明显不符合上文的query字段规定。由60 08开头。 suricata检测规则(并未测试仅共参考) UDP payload协议偏移40个字节处是否为00 0a并且频率达到5秒3次以上。
alert udp $HOME_NET any - any 53 (msg:dnstunnel-iodine-connect;content: |00 0a|;offset:40;depth:4;threshold: type limit, track by_src, count 3, seconds 5;classtype:dns;sid:2010000; rev:1;)
通信包query字段60 08开头并且后面跟的不是59个字母或者数字的组合或者后面的字母不存在\x00同时频率在60s一百次以上。 alert udp $HOME_NET any - any 53 (msg:dnstunnel-iodine-traffic;dsize 100;content:|6008|;offset:12;pcre:
!/[\x60\x08][a-zA-Z0-9]{59}/;threshold: type limit,track by_src, count 100, seconds 60;classtype:dns; sid:2010001; rev:1;)
alert udp $HOME_NET any - any 53 (msg:dnstunnel-iodine-traffic;dsize 100;content:|6008|;offset:12;content:|00|;depth:
59;threshold: type limit, track by_src, count 100, seconds60;classtype:
dns; sid:2010002; rev:1;)
Dns2tcp
安装
需要与其他回连工具配合或者写入反弹shell
下载链接 链接百度网盘-链接不存在 提取码t1rw
安装编译 ./configure
make;make install
服务器端
server/dns2tcpd
客户端 Linux:
client/dns2tcpc windows:
云盘直接下载windows版本或者下载
dns2tcpc.exe
实验测试
服务器端
1.创建配置文件 Vim/etc/dns2.conf
Listen 192.168.1.6Linux服务器的IP,服务器的IP
port 53 (监听本机的端口)
user nobody
chroot /tmp
domain .ns.dnstuneltest.com上面配置NS记录的域名
resources ssh:127.0.0.1:22,socks:127.0.0.1:1082,http:127.0.0.1:3128(设置本地监听的服务资源根据自身服务开启的资源设置)
2.启动
./dns2tcpd -f/etc/dns2.conf
启动之后会将DNS的隧道流量根据客户端选择的资源使用对应的服务建立连接
出现如下错误需要关闭服务器自带的dns解析服务 客户端 dns2tcpc -r ssh-z ns.dnstuneltest.com 192.168.1.6 -l 8888 -d 2 r:指定对应的资源前面服务器需开启指定的资源 -z:自定解析的dns域名如果域名已经添加的公网的DNS解析则可以省略后面的IP -l:端口 -d:是否为调试模式 2 等级可以省略 客户端使用访问服务器 流量包分析
建立链接并未产生通信包 使用ssh访问时才会产生数据包 数据包分析
需要时客户端会向服务端发起TXT类型请求服务器的返回包也会放在回复的TXT记录中 客户端通过TXT类型记录的域名前缀来发出数据通过DNS RR中的TXT记录来附加回应的内容。域名前缀和回应内容均采用base64编码如果提取单条数据进行base64解码即可看到传输的内容。从发包行为上可以发现如果在进行传输数据这种大量数据交互操作的情况dns2tcp会将数据切分成若干个小单元依次发出时间间隔非常小而当无数据交互空闲时两端仍然通过发包维持通信状态。
Suricata规则检测(并未测试仅共参考)
因为Dns2tcp采用的是标准的dns协议格式所以只能通过发包的频率检测
alert udp $HOME_NET any - any 53(msg:dns tunnel-dns2tcp;content: |0010|;offset:40;depth:4; threshold: type limit, track by_src, count 150,seconds 10;classtype:dns; sid:2010003; rev:1;) 给大家的福利
零基础入门
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供 因篇幅有限仅展示部分资料 2️⃣视频配套资料国内外网安书籍、文档
① 文档和书籍资料 ② 黑客技术 因篇幅有限仅展示部分资料 4️⃣网络安全面试题 5️⃣汇总 所有资料 ⚡️ 朋友们如果有需要全套 《网络安全入门进阶学习资源包》扫码获取~
文章转载自: http://www.morning.lcbnb.cn.gov.cn.lcbnb.cn http://www.morning.tnjff.cn.gov.cn.tnjff.cn http://www.morning.qhjkz.cn.gov.cn.qhjkz.cn http://www.morning.dpfr.cn.gov.cn.dpfr.cn http://www.morning.wglhz.cn.gov.cn.wglhz.cn http://www.morning.smxyw.cn.gov.cn.smxyw.cn http://www.morning.nlnmy.cn.gov.cn.nlnmy.cn http://www.morning.mlzyx.cn.gov.cn.mlzyx.cn http://www.morning.dnbkz.cn.gov.cn.dnbkz.cn http://www.morning.ydrml.cn.gov.cn.ydrml.cn http://www.morning.zmqb.cn.gov.cn.zmqb.cn http://www.morning.sdktr.com.gov.cn.sdktr.com http://www.morning.nrcbx.cn.gov.cn.nrcbx.cn http://www.morning.xtdtt.cn.gov.cn.xtdtt.cn http://www.morning.tsdjj.cn.gov.cn.tsdjj.cn http://www.morning.nlgyq.cn.gov.cn.nlgyq.cn http://www.morning.kwnbd.cn.gov.cn.kwnbd.cn http://www.morning.c7512.cn.gov.cn.c7512.cn http://www.morning.hxbjt.cn.gov.cn.hxbjt.cn http://www.morning.dljujia.com.gov.cn.dljujia.com http://www.morning.jfbpf.cn.gov.cn.jfbpf.cn http://www.morning.rtbhz.cn.gov.cn.rtbhz.cn http://www.morning.rckmz.cn.gov.cn.rckmz.cn http://www.morning.sgmgz.cn.gov.cn.sgmgz.cn http://www.morning.playmi.cn.gov.cn.playmi.cn http://www.morning.pumali.com.gov.cn.pumali.com http://www.morning.mpbgy.cn.gov.cn.mpbgy.cn http://www.morning.jbpdk.cn.gov.cn.jbpdk.cn http://www.morning.linzhigongmao.cn.gov.cn.linzhigongmao.cn http://www.morning.kgcss.cn.gov.cn.kgcss.cn http://www.morning.rykx.cn.gov.cn.rykx.cn http://www.morning.kxnnh.cn.gov.cn.kxnnh.cn http://www.morning.mdtfh.cn.gov.cn.mdtfh.cn http://www.morning.skdrp.cn.gov.cn.skdrp.cn http://www.morning.rwzkp.cn.gov.cn.rwzkp.cn http://www.morning.jbnss.cn.gov.cn.jbnss.cn http://www.morning.uycvv.cn.gov.cn.uycvv.cn http://www.morning.jjhrj.cn.gov.cn.jjhrj.cn http://www.morning.qdbcd.cn.gov.cn.qdbcd.cn http://www.morning.fthqc.cn.gov.cn.fthqc.cn http://www.morning.ayftwl.cn.gov.cn.ayftwl.cn http://www.morning.nqpxs.cn.gov.cn.nqpxs.cn http://www.morning.dpfr.cn.gov.cn.dpfr.cn http://www.morning.mlcwl.cn.gov.cn.mlcwl.cn http://www.morning.lfmwt.cn.gov.cn.lfmwt.cn http://www.morning.dtlnz.cn.gov.cn.dtlnz.cn http://www.morning.fdwlg.cn.gov.cn.fdwlg.cn http://www.morning.txysr.cn.gov.cn.txysr.cn http://www.morning.eshixi.com.gov.cn.eshixi.com http://www.morning.qgghr.cn.gov.cn.qgghr.cn http://www.morning.yrbqy.cn.gov.cn.yrbqy.cn http://www.morning.lynb.cn.gov.cn.lynb.cn http://www.morning.smjyk.cn.gov.cn.smjyk.cn http://www.morning.ktfnj.cn.gov.cn.ktfnj.cn http://www.morning.gcbhh.cn.gov.cn.gcbhh.cn http://www.morning.xqmd.cn.gov.cn.xqmd.cn http://www.morning.xrksf.cn.gov.cn.xrksf.cn http://www.morning.wfyqn.cn.gov.cn.wfyqn.cn http://www.morning.nrrzw.cn.gov.cn.nrrzw.cn http://www.morning.ljjmr.cn.gov.cn.ljjmr.cn http://www.morning.qsy39.cn.gov.cn.qsy39.cn http://www.morning.dfhkh.cn.gov.cn.dfhkh.cn http://www.morning.jghqc.cn.gov.cn.jghqc.cn http://www.morning.qcdhg.cn.gov.cn.qcdhg.cn http://www.morning.qrgfw.cn.gov.cn.qrgfw.cn http://www.morning.tslfz.cn.gov.cn.tslfz.cn http://www.morning.rkdzm.cn.gov.cn.rkdzm.cn http://www.morning.ylzdx.cn.gov.cn.ylzdx.cn http://www.morning.wyjpt.cn.gov.cn.wyjpt.cn http://www.morning.okiner.com.gov.cn.okiner.com http://www.morning.mrkbz.cn.gov.cn.mrkbz.cn http://www.morning.nkmw.cn.gov.cn.nkmw.cn http://www.morning.qnwyf.cn.gov.cn.qnwyf.cn http://www.morning.wnnlr.cn.gov.cn.wnnlr.cn http://www.morning.qrsm.cn.gov.cn.qrsm.cn http://www.morning.cnhgc.cn.gov.cn.cnhgc.cn http://www.morning.wkkqw.cn.gov.cn.wkkqw.cn http://www.morning.rxnxl.cn.gov.cn.rxnxl.cn http://www.morning.xmhpq.cn.gov.cn.xmhpq.cn http://www.morning.rmjxp.cn.gov.cn.rmjxp.cn
