DNS skypit technology

DNS 天坑技术解读(简版)

这个话题呢,一直是我比较关注的一个话题,dns天坑技术。这是简版昂,只是简单的思路。

一个企业内网的真实客户端(非伪装蜜罐客户端)

流程:

1、用户点击一封带有botnet的病毒的邮件附件/URL,受感染的客户端尝试连接C&C服务器的时候,下载恶意文件给客户端。

2、客户端发生DNS query到企业DNS服务器来解析botnet服务器,当企业DNS服务器不能被解析,DNS query会转到公网的DNS服务器。

3、在内网出口处部署网络欺诈蜜罐系统,在公网DNS服务器返回到我们的网络蜜罐系统后(DNS response)。设备修改DNS响应包,重定向到蜜网中的一台设备。

4、受感染的客户端,通过URL下载恶意文件,回包被重定向到蜜罐网络客户端,并且执行。完成和C&C服务器的通讯工作。

5、沙箱蜜罐客户端可以提取botnet主机名,连接URL,相关的通讯命令协议等信息。

6、未知防护系统会报警,bornet behavior ,同时,会把通讯时的PCAP数据抓取下来作为证据提给内网管理员。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

基于docker的蜜罐学习

低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个 FTP 服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发...

1620
来自专栏黑白安全

西门子 SIPROTEC、Reyrolle 设备曝高危漏洞,或致变电站等供电设施遭受攻击

近日, ICS-CERT 发布安全报告称西门子 SIPROTEC 4,SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利...

974
来自专栏FreeBuf

反入侵之发现后门利用mount-bind将进程和端口信息隐匿

0x00. 前言 作为一名安全工程师,日常工作中会经常遇到网站遭遇入侵,甚至被植入后门,如何去发现后门,进而对入侵进行调查取证都是一名优秀的安全工程师必备功课,...

3436
来自专栏吾爱乐享

php学习之html案例(九)

1532
来自专栏信安之路

基于docker的蜜罐学习

低交互式蜜罐只是模拟出了真正操作系统的一部分,例如模拟一个FTP服务。虽然低交互式蜜罐容易建立和维护,但模拟可能不足以吸引攻击者,还可能导致攻击者绕过系统发起攻...

820
来自专栏一场梦

别以为你有vpn我就找不到你(网警抓人全过程)

3464
来自专栏Danny的专栏

重装Win7时提示“缺少所需的CD/DVD驱动器设备驱动程序”

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

7.2K2
来自专栏代码小睿

让视频压制更简单

  一直待在一个美剧字幕组做后期压制工作,也经常被问到“要怎么压制?”这种即使用一二十句话都无法说清的问题。

760
来自专栏大数据

Kafka详细的设计和生态系统

Kafka 的核心是经纪人,主题,日志,分区和集群。核心也包括像 MirrorMaker 这样的相关工具。前面提到的是 Kafka,因为它存在于 Apache ...

1K1
来自专栏移动开发之家

IJKPlayer编译so支持HTTPS的踩坑历程

同志,github来过没?右转不屑 ----> https://github.com/CarGuo

1713

扫码关注云+社区