DNS skypit technology

DNS 天坑技术解读(简版)

这个话题呢,一直是我比较关注的一个话题,dns天坑技术。这是简版昂,只是简单的思路。

一个企业内网的真实客户端(非伪装蜜罐客户端)

流程:

1、用户点击一封带有botnet的病毒的邮件附件/URL,受感染的客户端尝试连接C&C服务器的时候,下载恶意文件给客户端。

2、客户端发生DNS query到企业DNS服务器来解析botnet服务器,当企业DNS服务器不能被解析,DNS query会转到公网的DNS服务器。

3、在内网出口处部署网络欺诈蜜罐系统,在公网DNS服务器返回到我们的网络蜜罐系统后(DNS response)。设备修改DNS响应包,重定向到蜜网中的一台设备。

4、受感染的客户端,通过URL下载恶意文件,回包被重定向到蜜罐网络客户端,并且执行。完成和C&C服务器的通讯工作。

5、沙箱蜜罐客户端可以提取botnet主机名,连接URL,相关的通讯命令协议等信息。

6、未知防护系统会报警,bornet behavior ,同时,会把通讯时的PCAP数据抓取下来作为证据提给内网管理员。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张善友的专栏

LINQ via C# 系列文章

LINQ via C# Recently I am giving a series of talk on LINQ. the name “LINQ via C...

2675
来自专栏java 成神之路

使用 NIO 实现 echo 服务器

4827
来自专栏Ceph对象存储方案

Luminous版本PG 分布调优

Luminous版本开始新增的balancer模块在PG分布优化方面效果非常明显,操作也非常简便,强烈推荐各位在集群上线之前进行这一操作,能够极大的提升整个集群...

3265
来自专栏张善友的专栏

Mix 10 上的asp.net mvc 2的相关Session

Beyond File | New Company: From Cheesy Sample to Social Platform Scott Hansel...

2627
来自专栏一个会写诗的程序员的博客

Spring Reactor 项目核心库Reactor Core

Non-Blocking Reactive Streams Foundation for the JVM both implementing a Reactiv...

2232
来自专栏我和未来有约会

Kit 3D 更新

Kit3D is a 3D graphics engine written for Microsoft Silverlight. Kit3D was inita...

2626
来自专栏杨龙飞前端

scrollto 到指定位置

2554
来自专栏张善友的专栏

Silverlight + Model-View-ViewModel (MVVM)

     早在2005年,John Gossman写了一篇关于Model-View-ViewModel模式的博文,这种模式被他所在的微软的项目组用来创建Expr...

3038
来自专栏落花落雨不落叶

canvas画简单电路图

65711
来自专栏闻道于事

js登录滑动验证,不滑动无法登陆

js的判断这里是根据滑块的位置进行判断,应该是用一个flag判断 <%@ page language="java" contentType="text/html...

7198

扫码关注云+社区