轉(zhuǎn)自Hack Read,作者Waqas,藍(lán)色摩卡譯
DNS工作原理
域名系統(tǒng)(DNS)采用一個(gè)熟悉的、可理解的網(wǎng)站名稱,如Hackread.com,并將其轉(zhuǎn)換為IP地址。無(wú)論何時(shí)輸入Hackread.com或任何其他web地址,瀏覽器都會(huì)自動(dòng)對(duì)提供主機(jī)名的DNS服務(wù)器執(zhí)行DNS查詢。
接下來(lái),DNS服務(wù)器獲取主機(jī)名并將其轉(zhuǎn)換為數(shù)字IP地址,將瀏覽器與站點(diǎn)連接起來(lái)。這就是當(dāng)你輸入一個(gè)網(wǎng)址時(shí)所發(fā)生的事情。
名為DNS解析器的單元通過(guò)本地緩存檢查主機(jī)名的可用性。如果不可用,解析器將與多個(gè)DNS名稱服務(wù)器聯(lián)系,直到獲得用戶試圖查找的確切服務(wù)的IP,并將其返回給瀏覽器。
整個(gè)DNS服務(wù)器連接配合聽(tīng)起來(lái)像一個(gè)很長(zhǎng)的過(guò)程,但是它發(fā)生在一秒鐘之內(nèi)。
DNS記錄
盡管您可能忽略了它們的存在,但是DNS服務(wù)器對(duì)于創(chuàng)建DNS記錄和提供關(guān)于域名或主機(jī)名(更具體地說(shuō)是當(dāng)前IP地址)的信息非常重要。以下是一些常見(jiàn)的DNS記錄:
地址映射記錄(一條記錄)——這也稱為DNS主機(jī)記錄。它存儲(chǔ)一個(gè)主機(jī)名和與之對(duì)應(yīng)的IPv4地址。
IP版本6地址記錄(AAAA記錄)-不難記住。這個(gè)存儲(chǔ)主機(jī)名及其IPv6地址。
規(guī)范名稱記錄(CNAME記錄)——可以將此記錄應(yīng)用于主機(jī)名,將其別名為另一個(gè)主機(jī)名。
每當(dāng)DNS客戶機(jī)請(qǐng)求具有CNAME的記錄時(shí),DNS解析過(guò)程就會(huì)重復(fù),但是要使用一個(gè)全新的主機(jī)名。
郵件交換器記錄(MX記錄)——為域指定一個(gè)SMTP電子郵件服務(wù)器;它用于將發(fā)送出去的電子郵件路由到專用的電子郵件服務(wù)器。
Name Server Records (NS Record)——指定DNS區(qū)域(如forexample.com)被委托給特定的ANS(權(quán)威名稱服務(wù)器),并證明該服務(wù)器的地址。
反向查找指針記錄(PTR記錄)——這允許DNS解析器提供一個(gè)IP地址并獲得一個(gè)主機(jī)名(主要是DNS查找,但反向查找)。
文本記錄(TXT記錄)——它攜帶機(jī)器可讀的數(shù)據(jù),如機(jī)會(huì)加密、發(fā)送方策略框架、DMARC、DKIM等。
權(quán)威記錄(SOA)——的開(kāi)始記錄,可以發(fā)現(xiàn)在一個(gè)DNS區(qū)域文件,指示DNS區(qū)域(權(quán)威名字服務(wù)器),聯(lián)系信息管理員的領(lǐng)域,領(lǐng)域的序列號(hào),在DNS信息的頻率信息應(yīng)當(dāng)檢查該區(qū)域和刷新。
域名劫持
DNS記錄的維護(hù)非常高。對(duì)這些記錄的不充分保管將導(dǎo)致許多漏洞和暴露。通過(guò)對(duì)DNS記錄常見(jiàn)類型的了解,我們可以了解到DNS記錄管理不善所帶來(lái)的漏洞。
一個(gè)普遍存在的漏洞是域劫持。這是對(duì)您的DNS服務(wù)器和域名注冊(cè)商的直接攻擊,涉及非常不受歡迎的更改。例如竊取并引導(dǎo)您的流量遠(yuǎn)離原始服務(wù)器,到達(dá)黑客需要的地方。
域名劫持通常是由域名注冊(cè)系統(tǒng)中的一個(gè)可利用漏洞引起的。當(dāng)攻擊者獲得對(duì)DNS記錄的控制時(shí),也可以在DNS級(jí)別實(shí)現(xiàn)。
后果還真的是很可怕:一旦壞人有了你的域名,他們就可以發(fā)起各種惡意活動(dòng)。教科書(shū)上的例子是設(shè)置假的支付系統(tǒng)頁(yè)面,如PayPal、Visa或任何銀行。
攻擊者創(chuàng)建相同的銀行網(wǎng)站或PayPal副本,其余的由您填寫(xiě)您的個(gè)人信息(最近NordVPN的網(wǎng)站)完成。
電子郵件地址、用戶名、密碼都屬于它們。幸運(yùn)的是,您可以通過(guò)監(jiān)視DNS記錄來(lái)避免這種情況。
如何查找DNS記錄
讀完本文后,您可能希望立即檢查DNS記錄,擔(dān)心暴露在此類攻擊和漏洞中。這是一個(gè)值得關(guān)注的好理由,因?yàn)榇蠖鄶?shù)人幾乎沒(méi)有注意到這一點(diǎn),他們的信息很快就被竊取了。但問(wèn)題是如何找到DNS記錄?
1、入侵檢測(cè)系統(tǒng)
無(wú)論你使用 Snort、Suricata 還是 OSSEC,都可以制定規(guī)則,要求系統(tǒng)對(duì)未授權(quán)客戶的 DNS 請(qǐng)求發(fā)送報(bào)告。
你也可以制定規(guī)則來(lái)計(jì)數(shù)或報(bào)告 NXDomain 響應(yīng)、包含較小 TTL 數(shù)值記錄的響應(yīng)、通過(guò) TCP 發(fā)起的 DNS 查詢、對(duì)非標(biāo)準(zhǔn)端口的 DNS 查詢和可疑的大規(guī)模 DNS 響應(yīng)等。
DNS 查詢或響應(yīng)信息中的任何字段、任何數(shù)值基本上都“能檢測(cè)”。唯一能限制你的,就是你的想象力和對(duì) DNS 的熟悉程度。防火墻的 IDS (入侵檢測(cè)系統(tǒng))對(duì)大多數(shù)常見(jiàn)檢測(cè)項(xiàng)目都提供了允許和拒絕兩種配置規(guī)則。
2、流量分析工具
Wireshark 和 Bro 的實(shí)際案例都表明,被動(dòng)流量分析對(duì)識(shí)別惡意軟件流量很有效果。捕獲并過(guò)濾客戶端與解析器之間的 DNS 數(shù)據(jù),保存為 PCAP (網(wǎng)絡(luò)封包)文件。
創(chuàng)建腳本程序搜索這些網(wǎng)絡(luò)封包,以尋找你正在調(diào)查的某種可疑行為。或使用 PacketQ (最初是 DNS2DB )對(duì)網(wǎng)絡(luò)封包直接進(jìn)行 SQL 查詢。(記住:除了自己的本地解析器之外,禁止客戶使用任何其他解析器或非標(biāo)準(zhǔn)端口。)
3、解析器日志記錄
本地解析器的日志文件是調(diào)查 DNS 流量的最后一項(xiàng),也可能是最明顯的數(shù)據(jù)來(lái)源。在開(kāi)啟日志記錄的情況下,你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之類的工具收集 DNS 服務(wù)器的日志,并搜索已知惡意域名。
盡管本文提到了不少資料鏈接、案例分析和實(shí)際例子,但也只是涉及了眾多監(jiān)控 DNS 流量方法中的九牛一毛,疏漏在所難免,要想全面快捷及時(shí)有效監(jiān)控 DNS 流量,不妨試試 DNS 服務(wù)器監(jiān)控。
好消息是,有很多在線工具可以幫助您監(jiān)視DNS記錄。一個(gè)很好的例子是DNStable工具。它是Spyse生態(tài)系統(tǒng)中的主要工具之一,允許您快速方便地查找所需的所有DNS記錄。
Spyse盡其所能向沒(méi)有多少技術(shù)知識(shí)的用戶開(kāi)放可用性,因此即使您不知道我們?cè)谶@里討論什么,也可以保護(hù)您的DNS記錄。
聲明:我們尊重原創(chuàng)者版權(quán),除確實(shí)無(wú)法確認(rèn)作者外,均會(huì)注明作者和來(lái)源。轉(zhuǎn)載文章僅供個(gè)人學(xué)習(xí)研究,同時(shí)向原創(chuàng)作者表示感謝,若涉及版權(quán)問(wèn)題,請(qǐng)及時(shí)聯(lián)系小編刪除!
