- N +

海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧

原标题:海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧

导读:

DNS隧道流量分析...

文章目录 [+]

DNS地道

DNS协议又称域名体系是互联网的基础设施,只需上网就会用到,因此DNS协议是供给网络服务的重要协议,在黑客进入内网后会运用DNS、ICMP、HTTP等协议地道k7713躲藏通讯流量。本文经过DNS地道试验并对流量进行剖析,辨认DNS地道流量特征。

试验环境

CentOS Linux 两台

CentOS Linux 两台

yum install bind*

yum install bind*

修正/etc/named.conf

修正/etc/named.conf

将下图中选中的当地改为any

3. 设置NS记载,A记载

增加区海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧域解析文件在/etc/named.rfc1912.zones增加区域海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧解析记载文件

增加正向解析记载

将/var/named/named.localhost改为上图中修正的姓名

cp /var/named/named.localhost/var/named/name.dnstunel

cp /var/named/named.localhost/var/named/name.dnstunel

修正文件如下

增加NS记载,A记载

增加bind为自发动服务

systemctl enablenamed.service

systemctl restartnamed.service

systemctl enablenamed.serv海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧ice

systemctl restartnamed.service

检查发动状况

systemctl statusnamed.service

systemctl statusnamed.service

将另一台主机DNS服务器设置为192.168.1.7,爱新觉罗贝ping ns.dnstunelt海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧est.com是否正确解析,(假如不能解析,或许跟防火墙有联系,在DNS服务器上履行iptables -F)

Iodine

Ionine支撑两种方式,中继以及直连方式,服务器与客户端能够直接通讯而不需求第三种辅佐软件,通讯的DNS数据大悲古寺今日现场直播损坏简单苏妙龄简单被发现。

装置

下载地址:

https://github.com/yarrick/iodine/a海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧rchive/master.zip

https://github.com/yarrick/iodine/archive/master.zip

unzip 解压

cd iodine-master

make

呈现报错

yum -y install zlib-devel

make;make install

装置完结

进入 bin

iodined 服务器

iodine 客户端

试验测验

服务器

./iodi艺人苏莎ned -f -c -P 123456 10.1.0.1ns.dnstuneltest.com

-f 前台显现,运转后一向在命令行等候

海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧

-c 中继方式|直连方式

-P 认证暗码

./iodined -f -c -P 123456 10.1.0.1ns.dnstuneltest.com

-f 前台显现,运转后一向在命令行等候

-c 中继方式|直连方式

-P 认证暗码

Ip 虚拟出网卡的IP,在地道树立后,客户端同样会多出一块dns0网卡,与该IP在 同一网段,能够恣意设置,虚拟IP。

设置的域名,这儿要跟区域装备文件共同。

输入完结之后,ifconfig检查会多一块网卡

客户端

./iodine -f -P 123456 192.168.1.7 ns.dnstuneltest.com

-f 前台显现

-P 认证暗码

IP 为装备DNS服务器IP或许为购买的云服务IP,输入此选项之后,直接与指定IP查询,而不经过其他DNS服务器层解析

./iodine -f -P 123456 192.168.1.7 ns.dnstuneltest.com

-f 前台显现

-P 认证暗码

IP 为装备DNS服务器IP或许为购买的云服务IP,输入此选项之后,直接与指定IP查询,而不经过其他DNS服务器层解析

客户端此刻也会新增一个网卡,DNS0,IP为10.1.0.2与服务器DNS0网卡处于同一网段中,此刻服务器端与客户端能够运用这两个IP相互通讯。

流量包剖析

抓包

tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap

抓包

tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap

在客户端发动后,会向服务器发送DNS恳求包

客户端情报求包,恳求包的type类型为10 (不知道,能够作为检测的一种特征),数据作为域名前缀

yrbh1o.ns.dnstuneltest.com, yrbh1o便是恳求的数据

服务器呼应包,rdat江苏吴江天气预报a字段带着数据,由于查询包没有指定查询类型,所以rdata字段没有长度约束(约束于UDP最大包长512字节)

选用中继方式,客户端会一向发送心跳包,坚持链接(由于DNS服务器不会直接与客户端建议链接,所以客户端会一向想服务器发送数据包)可是DNS协议的字段格局现已损坏。

通讯流量包剖析

通讯进程的中的DNS协议格局现已损坏,wireshark现已无法正确剖析

正常DNS的数据包中的query字段的方式是所占字节-三级域名-所占字节-二级域名-所占字节-一级域名方式而且正常的query字段时只要再域名结束时才会呈现00阶段。

05fanyi05b女囚门aid顾小艾u03com

地道中的流量显着不符合上文的query字段规矩。由陶燕青60 08最初。

suricata检测规矩(并未测验,仅共参阅)

UDP payload协议偏移40个字节处是否为00 0a而且频率到达5秒3次以上。

alert udp $HOME_NET any -> any 53 (msg:"dnstunnel-iodine-connect";content: "|00 0a|";offset:40;depth:4;threshold: type limit, track by_src, count 3, seconds 5;classtype:dns;s独霸群芳id:2010000; rev:1;)

通讯包,query字段60 08最初,而且后边跟的不是59个字母或许数字的组合,或许后边的字母不存在\x00一起频率在60s一百次以上。

alert udp $HOME_NET any -> any 53 (msg:"dnstunne尹澈l-iodine-traffic";dsize > 100;content:"|6008|";offset:12;pcre:

!"/[\x60\x08][a-zA-Z0-9]{59}/";threshold: type limit,track by_src, count 100, seconds 60;classtype:dns; sid钙圈和枕秃的差异图片:2010001; rev:1;)

alert udp $HOME_NET any -> any 53 (msg:"dnstunnel-iodine-traffic";dsize > 100;content:"|6008|";offset:12;content:"|00|";depth:

59;threshold: type limit, track by_src, count 100, seconds60;classtype:

dns; sid:2010002; rev:1;)

Dns2tcp 装置

需求与其他回连东西合作兽妃逐个天才召唤师,或许写入反弹shell

下载链接

链接:https://pan.baidu.com/s/14SIxdiIWHKZDUz6lgn_Zag

链接:https://pan.baidu.com/s/14SIxdiIWHKZDUz6lgn_Zag

提取码:t1rw

装置编译

./configure

make;make install

服务器端

server/dns2tcpd

客户端

Linux:

client/dns2tcpc

windows:

dns2tcpc.exe 试验测验

服务器端

1.创立装备文件

Vim/etc/dns2.conf

Listen = 192.168.1.6(Linux服务器的IP,服务器的IP)

port = 53 (监听本机的端口)

user =nobody

chroot = /tmp

domain =.ns.dnstuneltest.com(上面装备NS记载的域名)

resources =ssh:127.0.0.1:22,socks:127.0.0.1:1082,http:1海瑞,潘多拉官网-ope博彩_open哈斯菲尔德_ope贴吧27.0.0.1:3128(设置本地监听的服务资源,依据本身服务敞开的资源设置)

2.发动

./dns2tcpd -f/etc/dns2.conf

发动之后会将DNS的地道流量依据客户端挑选的资源运用对应的服务树立衔接

呈现如下过错需求封闭服务器自带的dns解析服务

客户端

dns2tcpc -r ssh-z ns.dnstuneltest.com 192.168.1.6 -l 8888 -d 2

r:指定对应的资源,前面服务器需敞开指定的资源

-z:自定解析的dns域名,假如域名现已增加的公网的DNS解析则能够省掉后边的IP

-l:端口

-d:是否为调试方式 2 等级能够省掉

dns2tcpc -r ssh-z ns.dnstuneltest.com 192.168.1.6 -l 8888 -d 2

r:指定对应的资源,前面服务器需敞开指定的资源

-z:自定解析的dns域名,假如域名现已增加的公网的DNS解析则能够省掉后边的IP

-l:端口

-d:是否为调试方式 2 等级能够省掉

客户端运用拜访服务器

流量包剖析

树立链接并未发生通讯包

运用ssh拜访时,才会发生数据包

数据包剖析

需求时客户端会向服务端建议TXT类型恳求,服务器的回来包也会放在回复的TXT记载中

客户端经过TXT类型记载的域名前缀来宣布数据,经过DNS RR中的TXT记载来附加回应的内容。域名前缀和回应内容均选用base64编南师大毕博渠道码,假如提取单条数据,进行base64解码,即可看到传输的内容。从发包行为上能够发现,假如在进行传输数据这种很多数据交互操作的状况,dns2tcp会将数据切分红若干个小单元,顺次宣布,时刻距离十分小,而当无数据交互,空闲时,两头依然经过发包保持通讯状况。

Suricata规矩检测(并未测验,仅共参阅)

由于Dns2tcp选用的是规范的dns协议格局,所以只能经过发包的频率检测

alert udp $HOME_NET any -> any 53(msg:"dns tunnel-dns2tcp";content: "|0010|";offset:40;depth:4; threshold: type limit, track by_src, count 150,seconds 10;classtype:dns; sid:2010003; rev:1;)

结束

小白水文,求大神放过

pcap包下载地址:

链接:https://pan女性p.baidu.com/s/1R9IhfxI285QMLGwjh_gQVw

链接:https://pan.baidu.com/s/1R9IhfxI285QMLGwjh_gQVw

提取码:n5ha

*本文原创作者:johylodo践组词g,本文归于FreeBuf原创奖赏方案,未经许可制止转载

段王爷出品

有好的文章希望我们帮助分享和推广,猛戳这里我要投稿

返回列表
上一篇:
下一篇: