转自Hack Read，作者Waqas，蓝色摩卡译

DNS工作原理

域名系统(DNS)采用一个熟悉的、可理解的网站名称，如Hackread.com，并将其转换为IP地址。无论何时输入Hackread.com或任何其他web地址，浏览器都会自动对提供主机名的DNS服务器执行DNS查询。

接下来，DNS服务器获取主机名并将其转换为数字IP地址，将浏览器与站点连接起来。这就是当你输入一个网址时所发生的事情。

名为DNS解析器的单元通过本地缓存检查主机名的可用性。如果不可用，解析器将与多个DNS名称服务器联系，直到获得用户试图查找的确切服务的IP，并将其返回给浏览器。

整个DNS服务器连接配合听起来像一个很长的过程，但是它发生在一秒钟之内。

DNS记录

尽管您可能忽略了它们的存在，但是DNS服务器对于创建DNS记录和提供关于域名或主机名(更具体地说是当前IP地址)的信息非常重要。以下是一些常见的DNS记录:

地址映射记录(一条记录)——这也称为DNS主机记录。它存储一个主机名和与之对应的IPv4地址。

IP版本6地址记录(AAAA记录)-不难记住。这个存储主机名及其IPv6地址。

规范名称记录(CNAME记录)——可以将此记录应用于主机名，将其别名为另一个主机名。

每当DNS客户机请求具有CNAME的记录时，DNS解析过程就会重复，但是要使用一个全新的主机名。

邮件交换器记录(MX记录)——为域指定一个SMTP电子邮件服务器;它用于将发送出去的电子邮件路由到专用的电子邮件服务器。

Name Server Records (NS Record)——指定DNS区域(如forexample.com)被委托给特定的ANS(权威名称服务器)，并证明该服务器的地址。

反向查找指针记录(PTR记录)——这允许DNS解析器提供一个IP地址并获得一个主机名(主要是DNS查找，但反向查找)。

文本记录(TXT记录)——它携带机器可读的数据，如机会加密、发送方策略框架、DMARC、DKIM等。

权威记录(SOA)——的开始记录,可以发现在一个DNS区域文件,指示DNS区域(权威名字服务器),联系信息管理员的领域,领域的序列号,在DNS信息的频率信息应当检查该区域和刷新。

域名劫持

DNS记录的维护非常高。对这些记录的不充分保管将导致许多漏洞和暴露。通过对DNS记录常见类型的了解，我们可以了解到DNS记录管理不善所带来的漏洞。

一个普遍存在的漏洞是域劫持。这是对您的DNS服务器和域名注册商的直接攻击，涉及非常不受欢迎的更改。例如窃取并引导您的流量远离原始服务器，到达黑客需要的地方。

域名劫持通常是由域名注册系统中的一个可利用漏洞引起的。当攻击者获得对DNS记录的控制时，也可以在DNS级别实现。

后果还真的是很可怕：一旦坏人有了你的域名，他们就可以发起各种恶意活动。教科书上的例子是设置假的支付系统页面，如PayPal、Visa或任何银行。

攻击者创建相同的银行网站或PayPal副本，其余的由您填写您的个人信息(最近NordVPN的网站)完成。

电子邮件地址、用户名、密码都属于它们。幸运的是，您可以通过监视DNS记录来避免这种情况。

如何查找DNS记录

读完本文后，您可能希望立即检查DNS记录，担心暴露在此类攻击和漏洞中。这是一个值得关注的好理由，因为大多数人几乎没有注意到这一点，他们的信息很快就被窃取了。但问题是如何找到DNS记录?

1、入侵检测系统

无论你使用 Snort、Suricata 还是 OSSEC，都可以制定规则，要求系统对未授权客户的 DNS 请求发送报告。

你也可以制定规则来计数或报告 NXDomain 响应、包含较小 TTL 数值记录的响应、通过 TCP 发起的 DNS 查询、对非标准端口的 DNS 查询和可疑的大规模 DNS 响应等。

DNS 查询或响应信息中的任何字段、任何数值基本上都“能检测”。唯一能限制你的，就是你的想象力和对 DNS 的熟悉程度。防火墙的 IDS （入侵检测系统）对大多数常见检测项目都提供了允许和拒绝两种配置规则。

2、流量分析工具

Wireshark 和 Bro 的实际案例都表明，被动流量分析对识别恶意软件流量很有效果。捕获并过滤客户端与解析器之间的 DNS 数据，保存为 PCAP （网络封包）文件。

创建脚本程序搜索这些网络封包，以寻找你正在调查的某种可疑行为。或使用 PacketQ （最初是 DNS2DB ）对网络封包直接进行 SQL 查询。（记住：除了自己的本地解析器之外，禁止客户使用任何其他解析器或非标准端口。）

3、解析器日志记录

本地解析器的日志文件是调查 DNS 流量的最后一项，也可能是最明显的数据来源。在开启日志记录的情况下，你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之类的工具收集 DNS 服务器的日志，并搜索已知恶意域名。

尽管本文提到了不少资料链接、案例分析和实际例子，但也只是涉及了众多监控 DNS 流量方法中的九牛一毛，疏漏在所难免，要想全面快捷及时有效监控 DNS 流量，不妨试试 DNS 服务器监控。

好消息是，有很多在线工具可以帮助您监视DNS记录。一个很好的例子是DNStable工具。它是Spyse生态系统中的主要工具之一，允许您快速方便地查找所需的所有DNS记录。

Spyse尽其所能向没有多少技术知识的用户开放可用性，因此即使您不知道我们在这里讨论什么，也可以保护您的DNS记录。

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！