欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

DNS隧道流量分析

来源:本站整理 作者:佚名 时间:2019-10-08 TAG: 我要投稿

DNS隧道
DNS协议又称域名系统是互联网的基础设施,只要上网就会用到,因而DNS协议是提供网络服务的重要协议,在黑客进入内网后会使用DNS、ICMP、HTTP等协议隧道隐藏通信流量。本文通过DNS隧道实验并对流量进行分析,识别DNS隧道流量特征。
实验环境
CentOS Linux 两台
创建DNS服务器
1.安装bind
yum install bind*
2.配置named文件
修改/etc/named.conf
将下图中选中的地方改为any

3. 设置NS记录,A记录
增加区域解析文件在/etc/named.rfc1912.zones增加区域解析记录文件

增加正向解析记录
将/var/named/named.localhost改为上图中修改的名字
cp /var/named/named.localhost/var/named/name.dnstunel
修改文件如下
添加NS记录,A记录

添加bind为自启动服务
systemctl enablenamed.service
systemctl restartnamed.service
查看启动状态
systemctl statusnamed.service

将另一台主机DNS服务器设置为192.168.1.7,ping ns.dnstuneltest.com是否正确解析,(如果不能解析,可能跟防火墙有关系,在DNS服务器上执行iptables -F)
Iodine
Ionine支持两种模式,中继以及直连模式,服务器与客户端可以直接通信而不需要第三种辅助软件,通信的DNS数据损坏容易容易被发现。
安装
下载地址:
https://github.com/yarrick/iodine/archive/master.zip
unzip 解压
cd iodine-master
make
出现报错

yum -y install zlib-devel
make;make install
安装完成
进入 bin
iodined 服务器
iodine 客户端
实验测试
服务器
./iodined -f -c -P 123456 10.1.0.1ns.dnstuneltest.com
-f 前台显示,运行后一直在命令行等待
-c 中继模式|直连模式
-P 认证密码
Ip 虚拟出网卡的IP,在隧道建立后,客户端同样会多出一块dns0网卡,与该IP在 同一网段,可以任意设置,虚拟IP。
设置的域名,这里要跟区域配置文件一致。
输入完成之后,ifconfig查看会多一块网卡


客户端
./iodine -f -P  123456 192.168.1.7 ns.dnstuneltest.com
-f 前台显示
-P 认证密码
IP 为配置DNS服务器IP或者为购买的云服务IP,输入此选项之后,直接与指定IP查询,而不经过其他DNS服务器层解析
客户端此时也会新增一个网卡,DNS0,IP为10.1.0.2与服务器DNS0网卡处于同一网段中,此时服务器端与客户端可以使用这两个IP互相通信。

流量包分析
抓包
tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap
建立链接的包分析
在客户端启动后,会向服务器发送DNS请求包

客户端情报求包,请求包的type类型为10 (未知,可以作为检测的一种特征),数据作为域名前缀
yrbh1o.ns.dnstuneltest.com, yrbh1o就是请求的数据

服务器响应包,rdata字段携带数据,因为查询包没有指定查询类型,所以rdata字段没有长度限制(限制于UDP最大包长512字节)

采用中继模式,客户端会一直发送心跳包,保持链接(因为DNS服务器不会直接与客户端发起链接,所以客户端会一直想服务器发送数据包)但是DNS协议的字段格式已经损坏。
通信流量包分析
通信过程的中的DNS协议格式已经损坏,wireshark已经无法正确分析

正常DNS的数据包中的query字段的形式是所占字节-三级域名-所占字节-二级域名-所占字节-一级域名形式并且正常的query字段时只有再域名结束时才会出现00阶段。
05fanyi05baidu03com

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载