DNS skypit technology

DNS 天坑技术解读(简版)

这个话题呢,一直是我比较关注的一个话题,dns天坑技术。这是简版昂,只是简单的思路。

一个企业内网的真实客户端(非伪装蜜罐客户端)

流程:

1、用户点击一封带有botnet的病毒的邮件附件/URL,受感染的客户端尝试连接C&C服务器的时候,下载恶意文件给客户端。

2、客户端发生DNS query到企业DNS服务器来解析botnet服务器,当企业DNS服务器不能被解析,DNS query会转到公网的DNS服务器。

3、在内网出口处部署网络欺诈蜜罐系统,在公网DNS服务器返回到我们的网络蜜罐系统后(DNS response)。设备修改DNS响应包,重定向到蜜网中的一台设备。

4、受感染的客户端,通过URL下载恶意文件,回包被重定向到蜜罐网络客户端,并且执行。完成和C&C服务器的通讯工作。

5、沙箱蜜罐客户端可以提取botnet主机名,连接URL,相关的通讯命令协议等信息。

6、未知防护系统会报警,bornet behavior ,同时,会把通讯时的PCAP数据抓取下来作为证据提给内网管理员。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏散尽浮华

Linux下防御DDOS攻击的操作梳理

DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请...

3487
来自专栏社区的朋友们

让木马 DNS 数据传输成为历史:看我怎么让 xshell 病毒失效

笔者提出基于全 web 代理的 dns 恶意传输屏蔽方案,通过禁止终端做 dns 解析,仅允许代理做dns,完全屏蔽 pc 的恶意 dns 传输的同时,保障终端...

2530
来自专栏云上大文件传输

镭速RaySync VS FTP 系列(6) - 腾讯云美东到腾讯云广州

更多测试信息: 腾讯云海外数据中心到腾讯云广州-文件传输对比评测集合

19410
来自专栏FreeBuf

Oracle中泄露“天机”的TNS

数据库的安全是长期存在的问题。在目前大量的数据泄露事件以及漏洞面前,大家看到的大都是SQl注入、越权操作、缓冲区溢出等这些具体漏洞。往往却忽视了造成这些问题的前...

1725
来自专栏数据库新发现

Oracle云数据库初体验 之一 - 申请与介绍

关于Oracle云数据库(Oracle Cloud Database)的一些体验和分享,也可以参考以下链接:

903
来自专栏FreeBuf

T-Pot多蜜罐平台:让蜜罐实现更简单

这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜...

3237
来自专栏木宛城主

SharePoint 2010、2013多个域之间互信(Domain Trust)的设计与实施

在现实的业务场景中,有时为了更好的管理域用户和服务。我们往往会创建多个分散式的域,每个域的Administrator专注于维护特定域中的用户和资源,Admin...

1859
来自专栏大魏分享(微信公众号:david-share)

身份验证和权限管理---Openshift3.9学习系列第三篇

OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供...

1496
来自专栏FreeBuf

让木马病毒DNS数据传输成为历史:看我如何让XShell病毒失效

基础词汇解释: DnsA记录传输: 利用dns解析过程,在请求解析的域名中包含需外传的数据,如xxxxxx.hack.com。则最终hack.com的dns服务...

2157
来自专栏企鹅号快讯

Domino 9.0.1中全文索引任务的潜在风险

Domino中的全文索引任务是用来更新数据库中的全文索引,这样用户可以更好地利用数据库中的索引来精确地快速查找文档。全文索引必须定期更新,不然新的或更改的文档,...

1787

扫描关注云+社区