DNS隧道小结

hw马上就开始了，突然心血来潮想做DNS Beacon上线的实验，万一hw碰上了不至于两眼黑，最起码能扯扯淡

随着目前攻击者越来越多地利用DNS通道来建立隧道与C2通信。从本地计算机到Internet的任何通信（不包括基于静态IP的通信）都依赖于DNS服务，限制DNS通信可能会导致合法远程服务的断开，因此，企业防火墙通常配置为允许UDP端口53（由DNS使用）上的所有数据包。

为了进一步做仿真模拟实验，在win7虚拟机上设置防火墙出网策略，只允许访问内网以及dns出网，但是因为windows防火墙的策略是阻断优先于放行，导致一直没有配置好环境，最终通过将阻断策略分为两条得以解决：

主机记录可以将DNS中的域名称对应到IPv4地址。

PTR可以定义某个对应的域名。

CNAME记录可以将注册的不同域名都转到一个域名记录上，由这个域名记录统一解析管理，与A记录不同的是，CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址。

NS记录用来指定该域名是由哪个DNS服务器来进行解析的，可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。

TXT记录一般是为某条记录设置说明，比如你新建了一条acom的TXT记录，TXT记录内容"this is a test TXT record"，然后用nslookup -qt=txt acom ，你就能看到"this is a test TXT record"的字样了。

DNS协议解析过程分为两种，迭代查询和递归查询。

本机查询本地域名服务器，这部分属于递归查询。
本地域名服务器查询根域名服务器，这部分属于迭代查询。

DNS隧道是隐蔽信道的一种，通过将其他协议封装在DNS协议中进行通信。封装由客户端完成，将DNS流量还原成正常的流量由服务器完成。DNS隧道攻击利用了防火墙放行DNS的特点以及协议解析流程来实现的。

1）直连型DNS隧道：

2）域名型DNS隧道（中继）：

DNS隧道建立的过程：

DNS Beacon原理：

发送端将隐蔽数据信息切分并且编码后封装到DNS报文域名中进行传输，每一级域名长度为63，域名总长度不超过253，接收端收到DNS报文后提取域名中的隐蔽信息字段进行解码重组还原得到IP报文。主要的工具有DNSCat,Iodine等

首先配置域名的记录。将自己的域名 >

网络 *** 作系统

网络 *** 作系统严格来说应称为软件平台,因为目前并非单一的网络 *** 作系统一统天下,而是存在着多种网络 *** 作系统并存的情况,这种情况是由以下两方面的原因造成的:

1以目前常用的NOS来说,主要有UNIX系统,Netware系统和WindowsNT系统。以推出的时间来说,UNIX为最早,Netware为第二,WindowsNT最晚。除去技术上的原因,依靠推出时间早的优势,UNIX几乎独霸了最早具有连网需求的邮电、银行、铁路、军事等领域,而随着网络技术的发展,虽然出现了像WindowsNT这样界面更友好的 *** 作系统,但用户出于保护投资及使用习惯上的原因不情愿完全抛弃一种 *** 作系统,从而导致了 *** 作系统的共存与混用。

2各种 *** 作系统在网络应用方面都有各自的优势,而实际应用却千差万别,这种局面促使各种 *** 作系统都极力提供跨平台的应用支持。由于Internet以TCP/IP协议为基础,而TCP/IP协议正是UNIX的标准协议,Internet的高速发展自然就为UNIX提供了极大的机遇;Microsoft早在Windows95里就提供了内嵌的TCP/IP协议,其WindowsNT网络 *** 作系统当然更是把对TCP/IP的支持作为其重要的开发策略;而随着Windows客户的日益增多,使得UNIX、Netware均提供对Windows的支持。

UNIX *** 作系统

作为最早推出的网络 *** 作系统,UNIX是一个通用、多用户的计算机分时系统,并且是大型机、中型机以及若干小型机上的主要 *** 作系统,目前广泛地应用于教学、科研、工业和商业等多个领域。

UNIX系统提供的服务与其他 *** 作系统所提供的服务基本上一样:它允许程序的运行;它为连接到大多数计算机上的各种各样的外部设备提供了方便和一致的接口;它还为信息管理提供了文件系统。

UNIX最主要的长处之一是其可移植性强,它可以在各种不同类型的计算机上运行。在UNIX系统的控制下,某类计算机上运行的普通程序通常不作修改或作很少的修改就可以在别的类型的计算机上运行。另外,分时 *** 作也是UNIX的一个十分重要的特点,UNIX系统把计算机的时间分成若干个小的等分,并且在各个用户之间分配这些时间。

UNIX开创了许多重要的概念。其中最重要的当属管道(Pipe)概念,由管道概念导致了这样的思想:复杂的功能可以通过编制成一组在一起工作的程序来实现。管道连接使得用户需要多少程序就可以使用多少。贯穿UNIX系统的另一个重要概念就是软件工具的概念。应该说,软件工具的概念并不是UNIX系统所独有的,但是比起其他系统来说,这种思想在UNIX系统中得到了更进一步的发展。

值得一提的是,与其他系统相比,UNIX系统有两个主要的不足之处。首先,在核心部分,UNIX系统是无序的。如果系统中的每一个用户做的事都不同,那么UNIX系统可以工作得很好。但是,如果各个用户都要做同一件事情,就会引起麻烦。其次,实时处理能力是UNIX系统的一个弱项,虽然UNIX系统完成大部分实时 *** 作有一定的可能性,但是,另外一些 *** 作系统在实时应用中比UNIX系统做得更好。

Novell公司的Netware *** 作系统曾经红极一时,1996年10月Novell又推出了其极具竞争力的Intranet解决方案——。该产品以Netware *** 作系统为基础,在各种Intranet解决方案中具有一些独到的优势,它提供了一套全面的Internet/Intranet解决方案,主要包括以下组件:

1Novell最新网络 *** 作系统Netware411;

2WebServer25;

3Netscape浏览器;

4FTP服务;

5Novell多协议路由软件(MPR和WANExtention);

6IPX/IP网关;

7增强性客户端软件Client32forDOS/Windows3x和Windows95。

Netware的目录管理技术被公认为业界的典范,而的核心技术正是Netware的目录管理服务——NDS,利用它可顺利地访问所有授权的网络资源。NDS具有能在单台服务器或全球多服务器网络上管理所有网络资源的强大功能,是一种跨平台、跨地域的目录服务,为DOS,Windows3x,Windows95,WindowsNT,Macintosh,OS/2和UNIX工作站提供全面的客户端软件,且在不同的服务器上只需登录一次,就可享受到NDS的服务。有了IntranetWare,就可以用Netscape浏览器方便地查看目录,各种变动也能动态地看到,例如,如果在香港的用户添加到目录中,纽约的用户很快就能见到添加后的结果。同时,有了NDS,管理员能同时管理多重目录树——如北京的目录和天津的目录。为反映从北京到天津的人员调动,管理员仅需打开两个树的浏览窗口,在窗口之间拖放目录对象即可。更方便的是随着这一改变,与之相关的一些项目也能自动地进行变动,极大地方便了目录管理。

的新特性包括:NetwareWebServer25,用于创建Intranet的NetBasic工具,支持DHCP的TCP/IP,IP/IPX网关,多协议路由,ISP连接,Java平台,对称多处理器(SMP),硬件自动探测,协议自动选择和配置,带有DS移植实用程序的NDS建模技术,Netware文件移植程序,AbendRecovery,NDS管理器,改善的GUI管理和符合C2标准的网络安全性等。支持Internet/Intranet发布和访问所需的全部标准,支持所有IP协议,并提供Web服务器的平滑连接、Web浏览器功能、对>

WindowsNT

WindowsNT可以说是发展最快的一种 *** 作系统。它采用多任务、多流程 *** 作以及多处理器系统(SMP)。在SMP系统中,工作量比较均匀地分布在各个CPU上,提供了极佳的系统性能。

WindowsNT系列从31版,350版,351版发展到40版,而且不久即将推出50版。在C/S方式的企业网中得到了迅速而普遍的应用。其两个不同档次的拳头产品WindowsNTServer和WindowsNTWorkstation与在个人PC机上广泛使用的Windows95 *** 作系统一道,为用户提供了从高端服务器到低端PC机工作站的全面的 *** 作系统解决方案。这样的解决方案简直强大得有些让人透不过气来。

目前广泛应用于Intranet的WindowsNT40具有以下特点:

1Windows95的界面;

2InternetExplorer和Internet工具,包括FTP和Telnet,以及用于收发电子邮件的Messaging系统;

3PeerWeb服务程序,依靠该服务程序可将WindowsWorkstation计算机设置成一个个人Internet服务器;

4DNS域名服务器及Internet信息服务器(IIS)。

由于计算机无法直接识别我们输入的域名，所以必须通过DNS解析环节将域名翻译成可由计算机识别的IP地址，才能完成整个访问过程。如果DNS发生故障就无法将域名正确指向对应的IP地址，进而无法实现通过域名访问相应的站点。DNS故障的一般特征是通过域名无法访问网站，但直接访问对应的IP地址则可以正常联通。本文将针对如何进行DNS故障分析以及相应的解决方法做下简单介绍。
1通过nslookup命令来判断DNS解析是否出现故障
（1）通过“开始- 运行- 输入CMD” *** 作，进入命令行模式。

（2）输入nslookup命令，进入DNS解析查询界面，命令行窗口中会显示出当前系统所使用的DNS服务器地址。

（3）输入无法访问的站点对应的域名。如果DNS正常，会返回正确的IP地址。如果返回DNS request timed out，timeout was 2 seconds的提示信息，则说明我们的计算机确实出现了DNS解析故障。

2查询DNS服务器工作是否正常
（1）通过“开始- 运行- 输入CMD” *** 作，进入命令行模式。
（2）输入ipconfig /all命令来查询网络参数。

（3）在ipconfig /all显示信息中，我们可以查看当前我们使用的DNS服务器。如果使用外网DNS出现解析错误时，一般情况下更换一个DNS服务器即可解决问题。
（4）如果DNS服务器显示的是公司内部网络地址，说明DNS解析工作是交由公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器是否出现故障，在DNS服务器上进行nslookup *** 作看是否可以正常解析。
3清除DNS缓存信息法
计算机对域名的访问并不是每一次都需要向DNS服务器寻求帮助，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果此时DNS解析出现更改变动，由于DNS缓存列表信息不能得到及时更新，计算机对该域名的访问仍会根据缓存中的对应关系进行解析，从而出现解析故障。这种情况下，我们可以通过清除DNS缓存命令解决故障。
（1）通过“开始- 运行- 输入CMD”进入命令行模式。
（2）输入ipconfig /，可看到有一个名为/flushdns的命令，通过执行该命令可以清除DNS缓存信息。

（3）执行ipconfig /flushdns命令，当出现“已成功刷新DNS缓存”的提示时说明当前计算机的缓存信息已经被成功清除。

（4）接下来我们再访问域名时，就会请求DNS服务器获取最新的解析地址，从而避免解析错误情况的发生。
4修改HOSTS文件法
修改HOSTS法就是把HOSTS文件中的DNS解析对应关系进行修改，从而实现正确解析的目的。因为在本地计算机访问某域名时会首先查看本地系统中的HOSTS文件，HOSTS文件中的解析关系优先级大于DNS服务器上的解析关系。
这样当我们希望把某个域名与某IP地址绑定的话，就可以通过在HOSTS文件中添加解析条目来实现。
（1）通过“开始- 搜索” *** 作，查找名为HOSTS的文件。

（2）使用“记事本”程序打开该文件。
（3）之后我们就会看到HOSTS文件的所有内容了，默认情况下只有一行内容“127001 localhost”。（其他前面带有#的行都不是真正的内容，只是帮助信息而已）

（4）将你希望进行DNS解析的条目添加到HOSTS文件中，具体格式是先写该域名对应的IP地址，然后空格加域名信息。

（5）添加完毕后，我们就可以根据设置的解析条目进行解析访问。
…
通过上面四个方法和步骤，我们基本上可以解决大部分的DNS故障问题。这几个方法中前三个是循序渐进的一步步解决DNS解析故障，而最后一个修改HOSTS文件则是直接在本地修改解析记录。当然不管是通过哪种方法，我们基本上都可以解决因为DNS解析错误带来的各种网络故障。

---