DNS基础介绍与Dnscat2工具详解
一、定义与介绍
域名解析(DNS)是将域名指向网站空间IP的一种服务,让人们通过注册的域名方便地访问网站。IP地址是网络上标识站点的数字地址,为了方便记忆,通常采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转换过程,这一工作由DNS服务器完成。
二、Dnscat2工具概述
dnscat2是一个基于DNS协议的隧道工具,能够创建加密的命令和控制通道。其特色在于服务端拥有一个命令行控制台,所有指令均可在该控制台内执行。
三、应用场景
Dnscat2通常应用于防火墙对其它流量进行封禁的场景,一般防火墙不会阻断其流量。
四、Dnscat2测试与安装
本次测试使用dnscat2工具远控目标主机,安装方法如下:
服务端(攻击机器):
1. 安装rubygems和bundler:
shell
yum install rubygems
gem install bundler
2. 克隆dnscat2仓库并安装依赖:
shell
git clone /iagox86/dnscat2.git
cd dnscat2/server
bundle install
客户端(被控端):
1. 克隆dnscat2仓库:
shell
git clone /iagox86/dnscat2.git
cd dnscat2/client
make
五、Dnscat2测试流程
1. 执行服务端程序,使用ruby运行dnscat2.rb,默认执行会生成一个默认密钥。
2. 指定连接服务端,并使用与上述一致的密钥。
3. 建立会话,利用help命令查看帮助信息,通过sessions命令查看已建立的会话。
4. 进入会话后,执行shell命令,利用Ctrl+Z退出当前会话,并再次进入会话继续执行命令。
六、DNS隧道介绍与测试
DNS隧道是C&C(命令与控制)常用的通信方式之一。除了常见的Base64、Binary、Hex编码方式,请求的Type一般为TXT,以便返回更多信息。根据其工作原理,DNS隧道可分为IP直连型和域名型。之前介绍的主要是IP直连型,而域名型DNS隧道能够更好地保护攻击者控制的DNS服务端,从终端流量中只能看到受害终端与本地DNS服务器的流量。
七、域名型DNS隧道测试步骤
1. 注册一个域名,并在域名服务商处配置NS记录和A记录,指向攻击者控制的DNS服务器IP。
2. 运行dnscat2服务端程序,指向之前注册的域名,并设置相关参数如安全级别、预共享密钥等。
3. 客户端同样运行dnscat2程序,使用与服务端一致的预共享密钥。
八、dnscat2参数说明
1. -c参数定义预共享密钥,用于身份验证,防止中间人攻击。如果不定义,Dnscat2会生成一个字符串,需要在客户端使用时拷贝下来。
2. -e参数规定安全级别,open代表让客户端进行选择。
3. –no-cache选项务必在运行服务器时添加,因为某些客户端与dnscat2服务器的caching模式不兼容。
九、DNS隧道流量分析
通过域名型DNS隧道方式,终端通信流量将不再直接指向攻击者的DNS服务器IP,而是指向本地域名服务器IP,从而隐藏攻击者机器。域名请求记录中也不再包含dnscat关键字,更加隐蔽。
十、DNS隧道的利用与内网攻击
当远控连接建立后,可以利用DNS隧道进一步对目标内网实施攻击。例如,查看目标IP段,利用ARP命令探测内网其他主机,并使用listen命令将内网主机端口转发到攻击者的VPS本地端口,从而实现对内网其他主机的访问。
十一、小结与展望
实战中利用DNS实施远控的场景很多,特别是在APT攻击中。关于DNS流量的监测与阻断是一项长期且重要的任务。企业应注重网络安全建设,提高对恶意DNS流量的监测与阻断能力。从业者也应不断学习研究最新技术动态,提高网络安全防护水平。