您的当前位置:主页 > 03024玄机图二四六 >
DNS隧道流量分析
【发布时间:2019-10-09】 【作者:admin】

  DNS协议又称域名系统是互联网的基础设施,只要上网就会用到,因而DNS协议是提供网络服务的重要协议,在黑客进入内网后会使用DNS、ICMP、HTTP等协议隧道隐藏通信流量。本文通过DNS隧道实验并对流量进行分析,识别DNS隧道流量特征。

  将另一台主机DNS服务器设置为192.168.1.7,否正确解析,(如果不能解析,可能跟防火墙有关系,在DNS服务器上执行iptables -F)

  Ionine支持两种模式,中继以及直连模式,服务器与客户端可以直接通信而不需要第三种辅助软件,通信的DNS数据损坏容易容易被发现。

  Ip 虚拟出网卡的IP,在隧道建立后,客户端同样会多出一块dns0网卡,与该IP在 同一网段,可以任意设置,虚拟IP。

  IP 为配置DNS服务器IP或者为购买的云服务IP,输入此选项之后,直接与指定IP查询,而不经过其他DNS服务器层解析

  IP 为配置DNS服务器IP或者为购买的云服务IP,输入此选项之后,神算子中特网卓创资讯成品油分析师徐娜对澎湃新闻()介绍称,。直接与指定IP查询,而不经过其他DNS服务器层解析

  客户端此时也会新增一个网卡,DNS0,IP为10.1.0.2与服务器DNS0网卡处于同一网段中,此时服务器端与客户端可以使用这两个IP互相通信。

  客户端情报求包,请求包的type类型为10 (未知,可以作为检测的一种特征),数据作为域名前缀

  服务器响应包,rdata字段携带数据,因为查询包没有指定查询类型,所以rdata字段没有长度限制(限制于UDP最大包长512字节)

  采用中继模式,客户端会一直发送心跳包,保持链接(因为DNS服务器不会直接与客户端发起链接,所以客户端会一直想服务器发送数据包)但是DNS协议的字段格式已经损坏。

  通信过程的中的DNS协议格式已经损坏,wireshark已经无法正确分析

  正常DNS的数据包中的query字段的形式是所占字节-三级域名-所占字节-二级域名-所占字节-一级域名形式并且正常的query字段时只有再域名结束时才会出现00阶段。

  UDP payload协议偏移40个字节处是否为00 0a并且频率达到5秒3次以上。

  通信包,query字段60 08开头,并且后面跟的不是59个字母或者数字的组合,或者后面的字母不存在\x00同时频率在60s一百次以上。

  -z:自定解析的dns域名,如果域名已经添加的公网的DNS解析则可以省略后面的IP

  -z:自定解析的dns域名,如果域名已经添加的公网的DNS解析则可以省略后面的IP

  需要时客户端会向服务端发起TXT类型请求,服务器的返回包也会放在回复的TXT记录中

  客户端通过TXT类型记录的域名前缀来发出数据,通过DNS RR中的TXT记录来附加回应的内容。域名前缀和回应内容均采用base64编码,如果提取单条数据,进行base64解码,即可看到传输的内容。从发包行为上可以发现,如果在进行传输数据这种大量数据交互操作的情况,dns2tcp会将数据切分成若干个小单元,依次发出,时间间隔非常小,而当无数据交互,空闲时,两端仍然通过发包维持通信状态。

  因为Dns2tcp采用的是标准的dns协议格式,所以只能通过发包的频率检测

开奖结果| 好彩堂| 一肖中特| 开奖记录| 高手联盟| 中特网| 高手论坛| 高手论坛| 苹果报| 开奖结果| 玄机图| 特码玄机| 富民天下论坛| 马会特区总站资料| 彩霸王论坛精选资料|