域名检测技术笔记整理

DNS安全问题

缓存投毒

在DNS缓存投毒攻击中，攻击者会利用DNS协议中的漏洞向递归服务器加载恶意的数据。这些数据通常包括不正确的A记录，该记录可以将流量重定向到被攻击者控制的设备上。【修改A记录】
攻击方式：
递归服务器向权威服务器请求一个恶意域名的时候发送一个附加的A记录
攻击者自行搭建权威服务器。
blob:https://maxiang.io/fbfe9e39-4e4e-4d0c-8150-8b7f4f950cff

现在这种攻击方式已经不存在了，bailiwick rule有效地阻止了这种缓存投毒。
blob:https://maxiang.io/8bca2cd9-16f4-4acc-a41a-b4153c0ed5c0
新的缓存投毒：
针对Boleto交易的利用缓存投毒实现的攻击。黑客向受害者网络服务提供商的递归服务器进行投毒，中毒后的递归服务器会指向一个被黑
、客控制的虚假站点，这个站点保存着Boleto的镜像，诱导用户输入账号密码，进而窃取信息。

DNS报文伪造
hping3报文伪造工具
blob:https://maxiang.io/ee0143dc-3637-427e-80d6-6d2192dd9d0f
blob:https://maxiang.io/7813c2c4-9cfd-4983-a2ca-b529da8663b8

针对客户端的投毒
操作系统会对常用的DNS解析进行缓存
黑客通过恶意软件，将恶意DNS记录添加到本地缓存中，但是这种缓存投毒影响的范围比较小，只要客户端重新启动或者进行缓存清理就会得到解决。
本地投毒最常用的一种方式是在windows系统中使用DNS API，这个API没有使用文档，利用DnsAddRecordSet_A向缓存中添加A记录。

针对web浏览器的投毒
blob:https://maxiang.io/9d463608-1831-417b-b493-ce2aa091fa9f

DNS欺骗

DNS欺骗攻击：是一种通过DNS将受害者误导到错误主机上去的攻击
缓存投毒是DNS欺骗攻击中的一种，还存在很多种，不一定需要涉及DNS缓存
介绍3种DNS欺骗技术：
1、修改hosts文件
2、将受害者的DNS递归服务器修改到自己控制的递归服务器
3、控制受害者主机的局域网中的一个设备，监听并回复受害主机的DNS查询

修改hosts文件

win32.qhost通过修改hosts文件来避免被安全软件查杀，这个软件是通过将hosts文件中指向安全更新的域名指向本地地址127.0.0.1，使安全软件不能够及时进行更新，阻止了部分甚至全部安全软件的正常工作，无法防御新产生的漏洞病毒等。

将受害者的DNS递归服务器修改到自己控制的递归服务器

DNSChanger是由Rove Digital组织制作的恶意软件，把受害者的DNS递归服务器地址改变成攻击者控制的主机。然后攻击者就在递归服务器上放置广告等。
Poisoned Hurricane由两步构成，攻击者发现飓风电器公司数据中的权威域名服务器允许用户为一些主机输入记录，尽管有些主机代表的域名服务请并没有被授权。攻击者能够输入www.adobe.com的A记录，并将A记录指向攻击者拥有的设备。
然后攻击者使用一种属于PlugX变种的恶意软件，恶意软件将飓风电气的DNS服务器配置为受害者的递归服务器。

控制受害者主机的局域网中的一个设备，监听并回复受害主机的DNS查询

复杂，需要攻击者进入受害者局域网并安装嗅探器

利用DNS进行DDOS攻击

由于DNS协议使UDP包，容易伪造。
DNS放大攻击
通过一些小的查询来生成大的应答，并将这些应答定向到目标主机。放大攻击主要有三个受害者：1、发起查询的机器 2、DNS服务器 3、目标主机（巨大流量导致服务不可用）
DNS反射放大攻击，攻击者通过控制僵尸网络中的肉鸡来发送海量的DNS查询，将查询结果重定向到目标主机，巨大的流量使目标主机宕机。通过伪造报文让它看起来像是来自另一个主机的查询，这叫做反射。
一般利用开放的DNS递归服务器。

DNS做C&C信道

因为DNS流量缺乏监控，用作信道。
DNS信道不容易被防火墙屏蔽。
DNS通信流程：
恶意软件发起请求→通过DNS递归服务器到黑客控制的权威服务器→在应答中嵌入下一个指令集→恶意软件截断应答，执行指令。
blob:https://maxiang.io/d6f22f63-768c-4ad8-bd89-d1d0f67665db