关注我们
摘自哈克·里德,瓦卡斯著,蓝摩卡译
DNS的工作原理
域名系统采用熟悉和可理解的网站名称,如Hackread.com,并将其转换为IP地址。每当您输入Hackread.com或任何其他网址,浏览器将自动在提供主机名的DNS服务器上执行DNS查询。
接下来,DNS服务器获取主机名并将其转换为数字IP地址,从而将浏览器与网站连接起来。这就是当你输入一个网址时发生的事情。
一个名为DNS解析器的单元通过本地缓存检查主机名的可用性。如果不可用,解析器将联系多个DNS名称服务器,直到获得用户试图查找的确切服务的IP并将其返回给浏览器。
整个DNS服务器连接协调听起来是一个漫长的过程,但它发生在一秒钟内。
DNS记录
尽管您可能会忽略它们的存在,但DNS服务器对于创建DNS记录和提供有关域名或主机名的信息非常重要。以下是一些常见的DNS记录:
地址映射记录-这也称为DNS主机记录。它存储主机名及其对应的IPv4地址。
IP 6地址记录——不难记。存储该主机名及其IPv6地址。
规范记录-您可以将此记录应用于一个主机名,并将其作为另一个主机名的别名。
每当DNS客户端请求CNAME记录时,将重复DNS解析过程,但将使用全新的主机名。
邮件记录-为域指定SMTP电子邮件服务器;它用于将发出的电子邮件路由到专用的电子邮件服务器。
server records-指定DNS区域被委派给特定的ANS,并证明该服务器的地址。
查找反向指针记录——这允许DNS解析器提供IP地址并获取主机名。
文本记录-它携带机器可读的数据,如机会加密、发送方的策略框架、DMARC、DKIM等。
权威记录——起始记录可以在一个DNS zone文件中找到,指明DNS zone,联系信息管理员的域,域的序列号,DNS信息的频率信息要在这个zone中检查并刷新。
域名劫持
DNS记录的维护成本非常高。这些记录保存不充分会导致很多漏洞和暴露。通过了解DNS记录的常见类型,我们可以了解到由于DNS记录管理不善而导致的漏洞。
一个常见的漏洞是域劫持。这是对你的DNS服务器和域名注册商的直接攻击,涉及非常不得人心的改动。例如,窃取并引导您的流量远离原始服务器,到达黑客需要的地方。
域名劫持通常是由域名注册系统中可利用的漏洞引起的。当攻击者获得DNS记录的控制权时,也可以在DNS级别实现。
后果真的很可怕:坏人一旦有了你的域名,就可以发动各种恶意活动。教科书中的例子是建立假的支付系统页面,如PayPal、Visa或任何银行。
攻击者创建相同的银行网站或PayPal副本,您填写您的个人信息来完成其余部分。
电子邮件地址,用户名和密码都属于他们。幸运的是,您可以通过监控DNS记录来避免这种情况。
如何查找DNS记录
看完这篇文章,你可能会因为害怕暴露在这样的攻击和漏洞下,而想立刻检查DNS记录。这是一个值得关注的好理由,因为大多数人几乎不会注意到这一点,他们的信息很快就会被窃取。但问题是如何找到DNS记录。
1.入侵检测系统
无论您使用Snort、Suricata还是OSSEC,您都可以制定规则,要求系统发送关于未授权客户的DNS请求的报告。
您还可以制定规则来统计或报告NXDomain响应、具有较小TTL值的响应、通过TCP发起的DNS查询、对非标准端口的DNS查询以及可疑的大规模DNS响应。
DNS查询或响应信息中的任何字段、任何数值,基本都是“可检测”的。唯一能限制你的是你的想象力和对DNS的熟悉程度。对于最常见的检测项目,IDS of firewall提供了两种配置规则:允许和拒绝。
2.流量分析工具
Wireshark和Bro的实际案例表明,被动流量分析在识别恶意软件流量方面非常有效。捕获和过滤客户端和解析器之间的DNS数据,并将其保存为PCAP文件。
创建一个脚本程序,在这些网络数据包中搜索您正在调查的一些可疑行为。或者使用PacketQ直接用SQL查询网络包。
3.解析器的日志记录
本地解析器的日志文件是调查DNS流量的最后一项,也可能是最明显的数据源。登录后,您可以使用Splunk plus getwatchlist或OSSEC等工具来收集DNS服务器的日志,并搜索已知的恶意域名。
虽然这篇文章提到了很多数据链接、案例分析和实际例子,但在众多监控DNS流量的方法中,它只涉及到九根牛一的头发,疏漏在所难免。想要全面、快速、有效的监控DNS流量,不妨试试DNS服务器监控器。
好消息是有很多在线工具可以帮助你监控DNS记录。DNStable工具就是一个很好的例子。它是Spyse生态系统中的主要工具之一,可以让你快速方便地找到你需要的所有DNS记录。
Spyse尽最大努力向几乎没有技术知识的用户开放可用性,这样即使你不知道我们在这里讨论什么,你也可以保护你的DNS记录。
声明:我们尊重原创者的版权,除无法确认作者外,都会注明作者和出处。文章转载仅供个人学习和研究。同时,我要对原创者表示感谢。如涉及版权问题,请及时联系边肖删除!
后面棒极了
嗨,我是超级盾牌。
超级盾可以做到:可保护,实惠,连接快,打得好,双向可见,加密!
截至目前,超级盾已经成功抵御了史上最大的2.47T黑客DDoS攻击,具有无限DDoS防御和100% CC防御的优势。
