域名检测技术笔记整理

域名检测技术笔记整理

DNS安全问题

相关概念

1. A记录

A (Address) 记录
是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名。

别名记录(CNAME)
也被称为规范名字。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。例如，有一台计算机名为“host.mydomain.com”（A记录）。 它同时提供WWW和MAIL服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL。 这两个别名的全称就是“www.mydomain.com”和“mail.mydomain.com”。实际上他们都指向“host.mydomain.com”。 同样的方法可以用于当您拥有多个域名需要指向同一服务器IP，此时您就可以将一个域名做A记录指向服务器IP然后将其他的域名做别名到之前做A记录的域名上，那么当您的服务器IP地址变更时您就可以不必麻烦的一个一个域名更改指向了 只需要更改做A记录的那个域名其他做别名的那些域名的指向也将自动更改到新的IP地址上了。

缓存投毒

在DNS缓存投毒攻击中，攻击者会利用DNS协议中的漏洞向递归服务器加载恶意的数据。这些数据通常包括不正确的A记录，该记录可以将流量重定向到被攻击者控制的设备上。【修改A记录】
攻击方式：
递归服务器向权威服务器请求一个恶意域名的时候发送一个附加的A记录
攻击者自行搭建权威服务器。
blob:https://maxiang.io/fbfe9e39-4e4e-4d0c-8150-8b7f4f950cff

现在这种攻击方式已经不存在了，bailiwick rule有效地阻止了这种缓存投毒。
blob:https://maxiang.io/8bca2cd9-16f4-4acc-a41a-b4153c0ed5c0
新的缓存投毒：
针对Boleto交易的利用缓存投毒实现的攻击。黑客向受害者网络服务提供商的递归服务器进行投毒，中毒后的递归服务器会指向一个被黑
、客控制的虚假站点，这个站点保存着Boleto的镜像，诱导用户输入账号密码，进而窃取信息。

DNS报文伪造
hping3报文伪造工具
blob:https://maxiang.io/ee0143dc-3637-427e-80d6-6d2192dd9d0f
blob:https://maxiang.io/7813c2c4-9cfd-4983-a2ca-b529da8663b8

针对客户端的投毒
操作系统会对常用的DNS解析进行缓存
黑客通过恶意软件，将恶意DNS记录添加到本地缓存中，但是这种缓存投毒影响的范围比较小，只要客户端重新启动或者进行缓存清理就会得到解决。
本地投毒最常用的一种方式是在windows系统中使用DNS API，这个API没有使用文档，利用DnsAddRecordSet_A向缓存中添加A记录。

针对web浏览器的投毒
blob:https://maxiang.io/9d463608-1831-417b-b493-ce2aa091fa9f

DNS欺骗

DNS欺骗攻击：是一种通过DNS将受害者误导到错误主机上去的攻击
缓存投毒是DNS欺骗攻击中的一种，还存在很多种，不一定需要涉及DNS缓存
介绍3种DNS欺骗技术：
1、修改hosts文件
2、将受害者的DNS递归服务器修改到自己控制的递归服务器
3、控制受害者主机的局域网中的一个设备，监听并回复受害主机的DNS查询

修改hosts文件

win32.qhost通过修改hosts文件来避免被安全软件查杀，这个软件是通过将hosts文件中指向安全更新的域名指向本地地址127.0.0.1，使安全软件不能够及时进行更新，阻止了部分甚至全部安全软件的正常工作，无法防御新产生的漏洞病毒等。

将受害者的DNS递归服务器修改到自己控制的递归服务器

DNSChanger是由Rove Digital组织制作的恶意软件，把受害者的DNS递归服务器地址改变成攻击者控制的主机。然后攻击者就在递归服务器上放置广告等。
Poisoned Hurricane由两步构成，攻击者发现飓风电器公司数据中的权威域名服务器允许用户为一些主机输入记录，尽管有些主机代表的域名服务请并没有被授权。攻击者能够输入www.adobe.com的A记录，并将A记录指向攻击者拥有的设备。
然后攻击者使用一种属于PlugX变种的恶意软件，恶意软件将飓风电气的DNS服务器配置为受害者的递归服务器。

控制受害者主机的局域网中的一个设备，监听并回复受害主机的DNS查询

复杂，需要攻击者进入受害者局域网并安装嗅探器

利用DNS进行DDOS攻击

由于DNS协议使UDP包，容易伪造。
DNS放大攻击
通过一些小的查询来生成大的应答，并将这些应答定向到目标主机。放大攻击主要有三个受害者：1、发起查询的机器 2、DNS服务器 3、目标主机（巨大流量导致服务不可用）
DNS反射放大攻击，攻击者通过控制僵尸网络中的肉鸡来发送海量的DNS查询，将查询结果重定向到目标主机，巨大的流量使目标主机宕机。通过伪造报文让它看起来像是来自另一个主机的查询，这叫做反射。
一般利用开放的DNS递归服务器。

DNS做C&C信道

因为DNS流量缺乏监控，用作信道。
DNS信道不容易被防火墙屏蔽。
DNS通信流程：
恶意软件发起请求→通过DNS递归服务器到黑客控制的权威服务器→在应答中嵌入下一个指令集→恶意软件截断应答，执行指令。
blob:https://maxiang.io/d6f22f63-768c-4ad8-bd89-d1d0f67665db