DNS和谈又称域名系统是互联网的根蒂举措,只要上彀就会用到,因而DNS和谈是供应收集办事的主要和谈,在黑客进入内网后会使用DNS、ICMP、HTTP等和谈地道隐藏通信流量。本文经由DNS地道实验并对流量进行剖析,识别DNS地道流量特征。 [转载出处:www.ii77.com]
CentOS Linux 两台
[本文来自:www.ii77.com]
yum install bind*
点窜/etc/named.conf
将下图中选中的处所改为any
增加区域解析文件在/etc/named.rfc1912.zones增加区域解析记录文件
增加正向解析记录
将/var/named/named.localhost改为上图中点窜的名字
cp /var/named/named.localhost/var/named/name.dnstunel
点窜文件如下
添加NS记录,A记录
添加bind为自启动办事
systemctl enablenamed.service
systemctl restartnamed.service
查察启动状况
systemctl statusnamed.service
将另一台主机DNS办事器设置为192.168.1.7,ping ns.dnstuneltest.com是否准确解析,(若是不克解析,或者跟防火墙有关系,在DNS办事器上执行iptables -F)
Ionine支撑两种模式,中继以及直连模式,办事器与客户端能够直接通信而不需要第三种辅助软件,通信的DNS数据损坏轻易轻易被发现。
下载地址:
https://github.com/yarrick/iodine/archive/master.zip
unzip 解压
cd iodine-master
make
显现报错
yum -y install zlib-devel
make;make install
安装完成
进入 bin
iodined 办事器
iodine 客户端
办事器
./iodined -f -c -P 123456 10.1.0.1ns.dnstuneltest.com
-f 前台显露,运行后一向在号令行守候
-c 中继模式|直连模式
-P 认证暗码
Ip 虚拟出网卡的IP,在地道竖立后,客户端同样会多出一块dns0网卡,与该IP在 统一网段,能够随意设置,虚拟IP。
设置的域名,这里要跟区域设置文件一致。
输入完成之后,ifconfig查察会多一块网卡
客户端
./iodine -f -P 123456 192.168.1.7 ns.dnstuneltest.com
-f 前台显露
-P 认证暗码
IP 为设置DNS办事器IP或许为购置的云办事IP,输入此选项之后,直接与指定IP查询,而不经由其他DNS办事器层解析
客户端此时也会新增一个网卡,DNS0,IP为10.1.0.2与办事器DNS0网卡处于统一网段中,此时办事器端与客户端能够使用这两个IP互类似信。
抓包
tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap
在客户端启动后,会向办事器发送DNS恳求包
客户端谍报求包,恳求包的type类型为10 (未知,能够作为检测的一种特征),数据作为域名前缀
yrbh1o.ns.dnstuneltest.com, yrbh1o就是恳求的数据
办事器响应包,rdata字段携带数据,因为查询包没有指定查询类型,所以rdata字段没有长度限制(限制于UDP最大包长512字节)
采用中继模式,客户端会一向发送心跳包,连结链接(因为DNS办事器不会直接与客户端提议链接,所以客户端会一向想办事器发送数据包)然则DNS和谈的字段花样已经损坏。
通信过程的中的DNS和谈花样已经损坏,wireshark已经无法准确剖析
正常DNS的数据包中的query字段的形式是所占字节-三级域名-所占字节-二级域名-所占字节-一级域名形式而且正常的query字段时只有再域名竣事时才会显现00阶段。
05fanyi05baidu03com
地道中的流量显着不相符上文的query字段划定。由60 08开首。
UDP payload和谈偏移40个字节处是否为00 0a而且频率达到5秒3次以上。alert udp $HOME_NET any -> any 53 (msg:"dnstunnel-iodine-connect";content: "|00 0a|";offset:40;depth:4;threshold: type limit, track by_src, count 3, seconds 5;classtype:dns;sid:2010000; rev:1;) 通信包,query字段60 08开首,而且后背跟的不是59个字母或许数字的组合,或许后背的字母不存在\x00同时频率在60s一百次以上。alert udp $HOME_NET any -> any 53 (msg:"dnstunnel-iodine-traffic";dsize > 100;content:"|6008|";offset:12;pcre: !"/[\x60\x08][a-zA-Z0-9]{59}/";threshold: type limit,track by_src, count 100, seconds 60;classtype:dns; sid:2010001; rev:1;) alert udp $HOME_NET any -> any 53 (msg:"dnstunnel-iodine-traffic";dsize > 100;content:"|6008|";offset:12;content:"|00|";depth: 59;threshold: type limit, track by_src, count 100, seconds60;classtype: dns; sid:2010002; rev:1;)
需要与其他回连对象合营,或许写入反弹shell
下载链接
链接:https://pan.baidu.com/s/14SIxdiIWHKZDUz6lgn_Zag
提取码:t1rw
安装编译
./configure make;make install
办事器端
server/dns2tcpd
客户端
Linux: client/dns2tcpc windows:
云盘直接下载windows版本,或许下载
dns2tcpc.exe
办事器端
1.建立设置文件
Vim/etc/dns2.conf Listen = 192.168.1.6(Linux办事器的IP,办事器的IP) port = 53 (监听本机的端口) user =nobody chroot = /tmp domain =.ns.dnstuneltest.com(上面设置NS记录的域名) resources =ssh:127.0.0.1:22,socks:127.0.0.1:1082,http:127.0.0.1:3128(设置内陆监听的办事资源,凭据自身办事开启的资源设置)
2.启动
./dns2tcpd -f/etc/dns2.conf
启动之后会将DNS的地道流量凭据客户端选择的资源使用对应的办事竖立保持
显现如下错误需要封闭办事器自带的dns解析办事
客户端
dns2tcpc -r ssh-z ns.dnstuneltest.com 192.168.1.6 -l 8888 -d 2
r:指定对应的资源,前面办事器需开启指定的资源
-z:自定解析的dns域名,若是域名已经添加的公网的DNS解析则能够省略后背的IP
-l:端口
-d:是否为调试模式 2 品级能够省略
客户端使用接见办事器
竖立链接并未发生通信包
使用ssh接见时,才会发生数据包
数据包剖析
需要时客户端会向办事端提议TXT类型恳求,办事器的返回包也会放在复原的TXT记录中
客户端经由TXT类型记录的域名前缀来发出数据,经由DNS RR中的TXT记录来附加回应的内容。域名前缀和回应内容均采用base64编码,若是提取单条数据,进行base64解码,即可看到传输的内容。从发包行为上能够发现,若是在进行传输数据这种大量数据交互把持的情形,dns2tcp会将数据切分成多数个小单元,依次发出,时间距离非常小,而当无数据交互,余暇时,两头仍然经由发包维持通信状况。
因为Dns2tcp采用的是尺度的dns和谈花样,所以只能经由发包的频率检测
alert udp $HOME_NET any -> any 53(msg:"dns tunnel-dns2tcp";content: "|0010|";offset:40;depth:4; threshold: type limit, track by_src, count 150,seconds 10;classtype:dns; sid:2010003; rev:1;)
结尾
小白水文,求大神放过
pcap包下载地址:
链接:https://pan.baidu.com/s/1R9IhfxI285QMLGwjh_gQVw
提取码:n5ha
*本文原创作者:johylodog,本文属于FreeBuf原创奖励规划,未经许可禁止转载
出色介绍
信息收集是渗透测试中第二阶段的工作,也是非常主要的一项。所收集到的谍报信息,能直接影响下一阶段的工作及结果。那么具体的信息收集工作应若何实施呢?接下来我会用一此捏
据路透社新闻,美国商务部工业与平安局(BIS)10月8日在官网公布,对28家中国组织和企业实行商业封禁,加入“实体清单”,个中受影响企业共有8家,包罗视频监控范畴的海康威视、
小长假回来的第一天,就碰到美国商务部“搞事情”。 据外媒报道,本地时间10月7日,美商务部财富平安局新增了一批“实体清单”。 名单中有28家中国企业,个中包罗了海康威视、大
起原 | 中国基金报(ID: chinafundnews) 作者 | 泰勒 放假回来第一天上班,中国8大公司就被美国拉黑了。 美国商务部周一透露,将8家中国企业加入美国商业管制黑名单,禁止与美国企业
在 Galanz Next 2019大会上,格兰仕集体副董事长梁惠强透露,智能物联网时代,不克以电脑、智妙手机的芯片为中心,而要用新的手艺架构。 所以,格兰仕与SiFive China合作,为智能家电设
本月投融资形势总体示意精巧,国内略有下跌。 正文共 3277 字 20 图; 估计阅读时间 11 分钟 据统计,本月全球的投融资笔数,国表里共计完成 16 笔,国内占 3 笔、国外占 13 笔;全球总
这些公司之所以会提前预备预案,是因为这已经是 BIS 本年第四次将中国企业加入「实体清单」了。 据美国商务部在美东时间 10 月 7 日发布的文件,以及路透社等多家媒体的 报道 ,美
比来随处可见的告白口号以及一批批与我们晤面的5G手机,仿佛都在敷陈我们,5G即将走进人们的生活。 但我们经常可以看到有好多公家号都在给用户科普什么才叫真5G,并激发了一场场
方才进入5G时代, 5G收集必然要合营5G终端才能呈现出该有的结果。不外自打5G手机发布之后,不罕用户都反映5G手机太贵了,资费今朝也履历了3G、4G时代方才光降时的不算太亲民的价钱
整顿 | 胡巍巍 出品 | CSDN(ID:CSDNnews) 昔时,阿基米德爷爷说出“给我一个支点,我就能撬动地球”这句话时,估量没少蒙受嘲讽。 然尔后来的我们,都曾在物理教材上学过这句话。
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!