DNS隧道

最新推荐文章于 2025-03-02 14:01:54 发布
最新推荐文章于 2025-03-02 14:01:54 发布
阅读量5.2k 收藏 18
点赞数 4
分类专栏: 安全知识 文章标签: 服务器 网络 安全 hacks web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jd_cx/article/details/122660833
版权

DNS隧道

原理说明

DNS隧道是一种隐秘隧道,通过将其他协议封装到DNS协议中传输建立通信的方式。因为DNS协议在网络中一种基础必不可少的服务,所以大部分防火墙和入侵检测设备是不会对对DNS流量进行拦截过滤,这就给DNS作为隐蔽通信提供了有力条件,从而可以利用它实现诸如僵尸网络或木马的远程控制通道和对外传输数据等。

DNS隧道运营的原理可以归结为:“如果你不知道,请问别人”。当DNS服务器收到要解析的地址的DNS请求时,服务器开始在其数据库中查找。如果没有找到记录,则服务器向数据库中指定的域发送请求。

下面举一个例子说明,让我们看看如何工作的:僵死主机发起URL请求,比如域名为Y3VyaW9zaXR5.example.com。DNS服务器收到此请求首先尝试找到域扩展名“.com”,然后找到“example.com”,但是在其数据库中找不到“Y3VyaW9zaXR5.example.com”。然后它将请求转发到example.com,并询问它是否知道这样的名称,作为回应example.com预计将返回相应的IP;然而,它可以返回任意字符串,包括C&C指令。

DNS隧道C&C通信原理

DNS隧道数据传输原理

危害说明

1、主机可能已中毒,攻击者利用DNS隧道控制主机对外发起DoS攻击,可能存在被网安、网信办通报的风险。

2、主机可能已中毒,攻击者利用DNS隧道对外传输敏感数据,导致客户信息被泄露。

处置建议

主机存在DNS隧道通信,这表明只是可能被病毒利用进行通信,因为部分客户正常业务也会采用DNS隧道进行通信。即使是病毒所为,但并不清楚僵尸主机到底中了什么病毒,无法使用对应的专杀工具进行针对性处置;而病毒本身在制作过程中,也会考虑免杀方案,逃避专杀工具的检测;所以杀毒工具也不能100%查杀出病毒。

1、在此推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、如果查杀不出病毒,请联系我们的安服人员进行处理。

dns隧道的通信原理及特征
墨痕诉清风的博客
05-25 1503
目录 1、dns是什么 2、域名的层级 3、dns解析过程 4、dns缓存时间 5、dns的记录类型 6、iodine搭建dns隧道 6.1公网环境(中继实现dns隧道,本地局域网环境,不需要这一步) 6.2 使用iodine搭建dns隧道 服务端执行 客户端执行 7、流量分析 绿盟分析DNS隧道参考 1、dns是什么 DNS是 Domain Name System 的缩写,也就是 域名解析系统,它的作用非常简单,就是根据域名查出对应的 IP地址。 2、域名的层级 ..
一步一步测试DNS隧道
imtech的博客
07-24 3012
Dns的解析过程;dns隧道的搭建;frp配合dns隧道建立代理;
DNS隧道检测的原理
最新发布
咸鱼的博客
03-02 1012
DNS隧道检测的核心原理是通过分析DNS流量中的异常特征,识别出隐藏在正常DNS协议中的非授权数据传输
内网隐藏通信隧道技术——DNS隧道
qq_44005305的博客
07-31 1520
在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。
tunviz:DNS隧道检测
05-02
DNS隧道检测 介绍 该应用程序解析DNS服务器日志条目,并通过非常复杂的方法过滤掉不需要的废话并计算剩余部分,以查找DNS隧道活动的迹象。 要求 TLDextract是必需的。 在以下位置获取它: : 指示 命令行参数 ...
iodine:一款可快速创建 DNS 隧道的工具 该项目包含 C 语言写的 DNS 隧道服务器和客户端,可快速搭建 DNS 隧道
01-06
iodine:一款可快速创建 DNS 隧道的工具。该项目包含 C 语言写的 DNS 隧道服务器和客户端,可快速搭建 DNS 隧道传输 IPv4 数据,常用于绕过防火墙等场景。因为一般情况下防火墙的 DNS 端口是打开的,所以将流量伪装...
(源码)基于C语言的DNS隧道工具.zip
02-15
# 基于C语言的DNS隧道工具 ## 项目简介 iodine 是一个基于C语言的开源工具,用于通过DNS协议隧道传输IPv4数据。它可以在网络环境受限的情况下(例如防火墙仅允许DNS查询)实现网络通信。通过将IPv4数据封装在DNS...
基于HTTP流量和DNS隧道技术进行检测
12-07
此外,DNS隧道技术也开始被一些样本利用,以逃避传统的检测机制。 【HTTP可疑流量及检测】 HTTP流量检测是识别恶意活动的关键方法。通过对HTTP流量的深入分析,可以发现许多异常特征。目前,已经归纳出六类主要的...
DNS隧道+FRP隧道
snowman12138的博客
03-02 2448
DNS隧道,是隧道技术的一种。当我们HTTP、HTTPS这样的上层协议、正反向端口转发都失败的时候,可以尝试DNS隧道DNS隧道很难防范,因为平时的业务等功能难免会用到DNS协议进行解析,所以防火墙大多对DNS流量是放行的状态。这时候,如果我们在不出机器构造一个恶意的域名,本地DNS服务器无法给出回答时,就会以迭代查询的方式通过互联网定位到所查询域的权威DNS服务器。最后,这条DNS请求会落到我们提前搭建好的恶意DNS服务器上,于是乎,我们的不出网主机就和恶意DNS服务器交流上了。
4、DNS隧道
Fly_鹏程万里
06-08 1740
0x00 前言前两天和朋友说到代理,随之讨论了一下关于隧道技术,之前也发过一篇关于DNS隧道技术的文章,不过感觉没有写好,今天就重写一下关于隧道技术的总结;首先这篇文章是以前写的,也发在乌云过,最近为博客更新一些隧道技术的东西,所以先把这篇老文章拿出来,后面会更新一些新的东西,也欢迎大家提出新的思路;0x01 概念隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方...
DNS协议隧道(1)
分享学习网络的点点滴滴
09-29 706
windows 2008:安装DNS服务,配置转发器,创建区域lab.com;指派二级域test.lab.com,NS记录指向kali防火墙:只允许出站UDP 53端口流量Ubuntu:安装dns2tcp、wireshark、firefox。
DNS隧道技术
weixin_45007073的博客
05-01 3242
DNS隧道技术安全中的DNS协议dnscat2iodine防御DNS隧道攻击各种隧道技术的优缺点 安全中的DNS协议 DNS的解析原理我们可以参考以下文章 https://blog.youkuaiyun.com/baidu_37964071/article/details/80500825 DNS协议是一种请求/应答协议,也是一种可用于应用层的隧道技术。因为传统的socket隧道已经濒临淘汰及TCP、UDP通信大量被防御系统拦截的状况,DNS、ICMP、HTTP/HTTPS等难以被禁用的协议已成为攻击者控制隧道的主流渠
内网渗透之DNS隧道
蚁景网安学院
08-26 551
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
zeek检测dns隧道
01-14
### 使用Zeek进行DNS隧道检测 #### 配置Zeek以增强DNS监控能力 为了有效检测DNS隧道攻击,需先确保Zeek正确配置并运行于目标环境中。通过编辑`node.cfg`文件来指定监听的网络接口[^5]: ```bash vi /opt/zeek/etc/node.cfg ``` 对于特定网卡(例如ens33),应调整如下参数: ```ini [worker-1] type=worker host=localhost interface=ens33 lb_method=custom lb_procs=auto ``` 接着,在`networks.cfg`中定义受保护的内部网络范围。 #### 启用和自定义DNS日志记录功能 启用详细的DNS查询日志有助于后续分析潜在的DNS隧道行为。这可以通过修改`local.zeek`或其他适当位置实现。添加以下内容至配置文件内: ```zeek redef LogAscii::use_json = T; @load protocols/dns/logs event dns_request(c: connection, msg: DNS_Msg, q: DNS_Question) { if (q$qtype == DNS_A || q$qtype == DNS_CNAME) { log_format("%s %d \"%s\"", c$id$orig_h, c$id$resp_p, q$qname); } } ``` 上述脚本片段会针对A记录和CNAME类型的请求生成更详尽的日志条目[^3]。 #### 实施专门的DNS隧道检测逻辑 基于已知特征开发针对性强的检测算法是必要的。下面给出了一种简单的策略——统计单位时间内同一源地址发起的不同子域数量超过阈值即触发警报: ```zeek global max_subdomains_per_minute = 10; module Custom_DNS_Tunneling; hook LocalEvents::install() { add EventPolicy::add_event_handler(DNS::log_dns, handle_dns_log); } function handle_dns_log(rec: DNS::Info): bool { local key = fmt("%s-%s", rec$query, get_orig_ip_str(rec)); # 维护每分钟内的唯一子域名计数器 global subdomain_counts : table[string] of int &create_expire=60secs; ++subdomain_counts[key]; if (subdomain_counts[key] > max_subdomains_per_minute) { NOTICE([$note="Potential DNStunnel detected", $msg=fmt("Suspicious number (%d) of unique subdomains queried by %s within one minute.", subdomain_counts[key], get_orig_ip_str(rec)), $conn_id=rec$conn]); delete subdomain_counts[key]; # 清除过期项 } return F; # 不阻止事件传播 } ``` 此代码段实现了对异常频繁变换子域名模式的识别机制,并会在发现疑似案例时发出通知。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值