转自Hack Read,作者Waqas,蓝色摩卡译
DNS工作原理域名系统(DNS)采用一个熟悉的、可理解的网站名称,如Hackread.com,并将其转换为IP地址 。无论何时输入Hackread.com或任何其他web地址,浏览器都会自动对提供主机名的DNS服务器执行DNS查询 。
接下来,DNS服务器获取主机名并将其转换为数字IP地址,将浏览器与站点连接起来 。这就是当你输入一个网址时所发生的事情 。
文章插图
名为DNS解析器的单元通过本地缓存检查主机名的可用性 。如果不可用,解析器将与多个DNS名称服务器联系,直到获得用户试图查找的确切服务的IP,并将其返回给浏览器 。
整个DNS服务器连接配合听起来像一个很长的过程,但是它发生在一秒钟之内 。
DNS记录尽管您可能忽略了它们的存在,但是DNS服务器对于创建DNS记录和提供关于域名或主机名(更具体地说是当前IP地址)的信息非常重要 。以下是一些常见的DNS记录:
地址映射记录(一条记录)——这也称为DNS主机记录 。它存储一个主机名和与之对应的IPv4地址 。
IP版本6地址记录(AAAA记录)-不难记住 。这个存储主机名及其IPv6地址 。
规范名称记录(CNAME记录)——可以将此记录应用于主机名,将其别名为另一个主机名 。
每当DNS客户机请求具有CNAME的记录时,DNS解析过程就会重复,但是要使用一个全新的主机名 。
邮件交换器记录(MX记录)——为域指定一个SMTP电子邮件服务器;它用于将发送出去的电子邮件路由到专用的电子邮件服务器 。
Name Server Records (NS Record)——指定DNS区域(如forexample.com)被委托给特定的ANS(权威名称服务器),并证明该服务器的地址 。
反向查找指针记录(PTR记录)——这允许DNS解析器提供一个IP地址并获得一个主机名(主要是DNS查找,但反向查找) 。
文本记录(TXT记录)——它携带机器可读的数据,如机会加密、发送方策略框架、DMARC、DKIM等 。
权威记录(SOA)——的开始记录,可以发现在一个DNS区域文件,指示DNS区域(权威名字服务器),联系信息管理员的领域,领域的序列号,在DNS信息的频率信息应当检查该区域和刷新 。
域名劫持DNS记录的维护非常高 。对这些记录的不充分保管将导致许多漏洞和暴露 。通过对DNS记录常见类型的了解,我们可以了解到DNS记录管理不善所带来的漏洞 。
一个普遍存在的漏洞是域劫持 。这是对您的DNS服务器和域名注册商的直接攻击,涉及非常不受欢迎的更改 。例如窃取并引导您的流量远离原始服务器,到达黑客需要的地方 。
域名劫持通常是由域名注册系统中的一个可利用漏洞引起的 。当攻击者获得对DNS记录的控制时,也可以在DNS级别实现 。
后果还真的是很可怕:一旦坏人有了你的域名,他们就可以发起各种恶意活动 。教科书上的例子是设置假的支付系统页面,如PayPal、Visa或任何银行 。
攻击者创建相同的银行网站或PayPal副本,其余的由您填写您的个人信息(最近NordVPN的网站)完成 。
电子邮件地址、用户名、密码都属于它们 。幸运的是,您可以通过监视DNS记录来避免这种情况 。
如何查找DNS记录读完本文后,您可能希望立即检查DNS记录,担心暴露在此类攻击和漏洞中 。这是一个值得关注的好理由,因为大多数人几乎没有注意到这一点,他们的信息很快就被窃取了 。但问题是如何找到DNS记录?
1、入侵检测系统无论你使用 Snort、Suricata 还是 OSSEC,都可以制定规则,要求系统对未授权客户的 DNS 请求发送报告 。
你也可以制定规则来计数或报告 NXDomain 响应、包含较小 TTL 数值记录的响应、通过 TCP 发起的 DNS 查询、对非标准端口的 DNS 查询和可疑的大规模 DNS 响应等 。
DNS 查询或响应信息中的任何字段、任何数值基本上都“能检测” 。唯一能限制你的,就是你的想象力和对 DNS 的熟悉程度 。防火墙的 IDS (入侵检测系统)对大多数常见检测项目都提供了允许和拒绝两种配置规则 。
2、流量分析工具Wireshark 和 Bro 的实际案例都表明,被动流量分析对识别恶意软件流量很有效果 。捕获并过滤客户端与解析器之间的 DNS 数据,保存为 PCAP (网络封包)文件 。
创建脚本程序搜索这些网络封包,以寻找你正在调查的某种可疑行为 。或使用 PacketQ (最初是 DNS2DB )对网络封包直接进行 SQL 查询 。(记住:除了自己的本地解析器之外,禁止客户使用任何其他解析器或非标准端口 。)
推荐阅读
- 通过路由器配置DHCP服务实现IP地址分配,一分钟了解下
- 为什么店铺认证一直不通过 淘宝开店认证已通过是不是已经开店成功了
- 天猫申请通过后需要注意什么 入驻天猫流程和条件
- 福建省茶树种质资源共享平台通过专家验收
- YUM仓库配置及命令详解
- 福建,天然抗氧化剂儿茶素测定项目通过验收
- 3分钟学会监控交换机简单配置
- 机器学习中的10个有趣的算法
- 安溪立体复式生态茶园模式建设通过验收
- 微信主动加好友通过率90%的小技巧