转自Hack Read,作者Waqas,蓝色摩卡译
域名系统(DNS)采用一个熟悉的、可理解的网站名称,如Hackread.com,并将其转换为IP地址。无论何时输入Hackread.com或任何其他web地址,浏览器都会自动对提供主机名的DNS服务器执行DNS查询。
接下来,DNS服务器获取主机名并将其转换为数字IP地址,将浏览器与站点连接起来。这就是当你输入一个网址时所发生的事情。
名为DNS解析器的单元通过本地缓存检查主机名的可用性。如果不可用,解析器将与多个DNS名称服务器联系,直到获得用户试图查找的确切服务的IP,并将其返回给浏览器。
整个DNS服务器连接配合听起来像一个很长的过程,但是它发生在一秒钟之内。
尽管您可能忽略了它们的存在,但是DNS服务器对于创建DNS记录和提供关于域名或主机名(更具体地说是当前IP地址)的信息非常重要。以下是一些常见的DNS记录:
地址映射记录(一条记录)——这也称为DNS主机记录。它存储一个主机名和与之对应的IPv4地址。
IP版本6地址记录(AAAA记录)-不难记住。这个存储主机名及其IPv6地址。
规范名称记录(CNAME记录)——可以将此记录应用于主机名,将其别名为另一个主机名。
每当DNS客户机请求具有CNAME的记录时,DNS解析过程就会重复,但是要使用一个全新的主机名。
邮件交换器记录(MX记录)——为域指定一个SMTP电子邮件服务器;它用于将发送出去的电子邮件路由到专用的电子邮件服务器。
Name Server Records (NS Record)——指定DNS区域(如forexample.com)被委托给特定的ANS(权威名称服务器),并证明该服务器的地址。
反向查找指针记录(PTR记录)——这允许DNS解析器提供一个IP地址并获得一个主机名(主要是DNS查找,但反向查找)。
文本记录(TXT记录)——它携带机器可读的数据,如机会加密、发送方策略框架、DMARC、DKIM等。
权威记录(SOA)——的开始记录,可以发现在一个DNS区域文件,指示DNS区域(权威名字服务器),联系信息管理员的领域,领域的序列号,在DNS信息的频率信息应当检查该区域和刷新。
DNS记录的维护非常高。对这些记录的不充分保管将导致许多漏洞和暴露。通过对DNS记录常见类型的了解,我们可以了解到DNS记录管理不善所带来的漏洞。
一个普遍存在的漏洞是域劫持。这是对您的DNS服务器和域名注册商的直接攻击,涉及非常不受欢迎的更改。例如窃取并引导您的流量远离原始服务器,到达黑客需要的地方。
域名劫持通常是由域名注册系统中的一个可利用漏洞引起的。当攻击者获得对DNS记录的控制时,也可以在DNS级别实现。
后果还真的是很可怕:一旦坏人有了你的域名,他们就可以发起各种恶意活动。教科书上的例子是设置假的支付系统页面,如PayPal、Visa或任何银行。
攻击者创建相同的银行网站或PayPal副本,其余的由您填写您的个人信息(最近NordVPN的网站)完成。
电子邮件地址、用户名、密码都属于它们。幸运的是,您可以通过监视DNS记录来避免这种情况。
读完本文后,您可能希望立即检查DNS记录,担心暴露在此类攻击和漏洞中。这是一个值得关注的好理由,因为大多数人几乎没有注意到这一点,他们的信息很快就被窃取了。但问题是如何找到DNS记录?
无论你使用 Snort、Suricata 还是 OSSEC,都可以制定规则,要求系统对未授权客户的 DNS 请求发送报告。
你也可以制定规则来计数或报告 NXDomain 响应、包含较小 TTL 数值记录的响应、通过 TCP 发起的 DNS 查询、对非标准端口的 DNS 查询和可疑的大规模 DNS 响应等。
DNS 查询或响应信息中的任何字段、任何数值基本上都“能检测”。唯一能限制你的,就是你的想象力和对 DNS 的熟悉程度。防火墙的 IDS (入侵检测系统)对大多数常见检测项目都提供了允许和拒绝两种配置规则。
Wireshark 和 Bro 的实际案例都表明,被动流量分析对识别恶意软件流量很有效果。捕获并过滤客户端与解析器之间的 DNS 数据,保存为 PCAP (网络封包)文件。
创建脚本程序搜索这些网络封包,以寻找你正在调查的某种可疑行为。或使用 PacketQ (最初是 DNS2DB )对网络封包直接进行 SQL 查询。(记住:除了自己的本地解析器之外,禁止客户使用任何其他解析器或非标准端口。)
本地解析器的日志文件是调查 DNS 流量的最后一项,也可能是最明显的数据来源。在开启日志记录的情况下,你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之类的工具收集 DNS 服务器的日志,并搜索已知恶意域名。
尽管本文提到了不少资料链接、案例分析和实际例子,但也只是涉及了众多监控 DNS 流量方法中的九牛一毛,疏漏在所难免,要想全面快捷及时有效监控 DNS 流量,不妨试试 DNS 服务器监控。
好消息是,有很多在线工具可以帮助您监视DNS记录。一个很好的例子是DNStable工具。它是Spyse生态系统中的主要工具之一,允许您快速方便地查找所需的所有DNS记录。
Spyse尽其所能向没有多少技术知识的用户开放可用性,因此即使您不知道我们在这里讨论什么,也可以保护您的DNS记录。
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!