DNS skypit technology

DNS 天坑技术解读（简版）

这个话题呢，一直是我比较关注的一个话题，dns天坑技术。这是简版昂，只是简单的思路。

一个企业内网的真实客户端（非伪装蜜罐客户端）

流程：

1、用户点击一封带有botnet的病毒的邮件附件/URL，受感染的客户端尝试连接C&C服务器的时候，下载恶意文件给客户端。

2、客户端发生DNS query到企业DNS服务器来解析botnet服务器，当企业DNS服务器不能被解析，DNS query会转到公网的DNS服务器。

3、在内网出口处部署网络欺诈蜜罐系统，在公网DNS服务器返回到我们的网络蜜罐系统后（DNS response）。设备修改DNS响应包，重定向到蜜网中的一台设备。

4、受感染的客户端，通过URL下载恶意文件，回包被重定向到蜜罐网络客户端，并且执行。完成和C&C服务器的通讯工作。

5、沙箱蜜罐客户端可以提取botnet主机名，连接URL，相关的通讯命令协议等信息。

6、未知防护系统会报警，bornet behavior ，同时，会把通讯时的PCAP数据抓取下来作为证据提给内网管理员。