文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

通过Wireshark分析谈谈DNS域名解析的那些事儿

可以使用Wireshark软件验证一下,还是以www.baidu.com域名来做实验,我们先看一下该域名对应的IP是啥,直接在命令窗口ping一下,就可以知道了,其IPv4地址是14.215.177.38...通过Wireshark分析域名解析网络传输 这时,先打开Wireshark软件。...《网络是怎样连接的》一书当中,有一个关于DNS服务器解析流程的插图,觉得比较直观地表达出从最近DNS域名如何转发到目标DNS域名的流程,这里直接引用了—— 当然,这只是理论,实际情况其实还是存在一些区别的...再回到刚刚Wireshark获取的截图上分析,可以看到一点是,客户端发送给DNS服务器的消息,不止域名这一个信息,还包括了A等书,那么,问题就来了,DNS协议的查询请求当中,都包含了哪些参数呢?...通过本文,主要是分享一些自己对DNS解析的学习与理解,同时,通过实际Wireshark方式,来深入分析下本机如何发送DNS协议去DNS服务器上获取访问域名对应的IP地址,希望也能让您有一些收获。

9.3K63

就明白CoreDNS域名解析

进行CoreDNS之前先来了解几个概念 完全限定名称 完全限定域名(FQDN)就是互联网上计算机或者主机的完整域名。由主机名、域名、顶级域组成。...这里我为了测试,发起了6 次解析。我每执行一次解析,下面的终端就敲一次回车。解析的同时去coredns这个容器所在的节点进行分析。...开始,由于我的集群有大量的服务,每秒都有很多内部服务dns解析请求。...上面的dns每执行一次,我在这个的窗口就敲一下回车,这样的话方便看清楚每一次的解析结果 以下是 www.ayunw.cn 的域名DNS的结果: [root@kube-node-srv2 ~]#...那么search中没有任何一个匹配的到,直接转发到本地DNS,走正常的递归查询逻辑。 通过以上测试发现ndots的值和请求的域名是相关的。

2.4K40
您找到你想要的搜索结果了吗?
是的
没有找到

一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案

dns位置,可通过直接屏蔽恶意dns目的止损 3、**恶意进程和黑dns服务器交互分析** a) 恶意进程仅用超长域名记录外传数据,不利用txt回获取回传数据,不利用A记录回作为C&C地址,...dns服务器如提供解析服务返回解析的ip地址,但本机进程也不关注,即本机进程不对解析结果发包(无socket通信) b) 恶意进程用超长域名记录外传数据,利用txt回获取回传数据,不利用A记录回作为...dns服务器需提供解析服务,但本机进程也不关注,即本机进程不对解析结果发包(无socket通信) c) 恶意进程用超长域名记录外传数据,利用txt回获取回传数据,并利用A记录回作为C&C地址...本机程序对解析出的A记录发起访问(有socket通信) d) 恶意进程用超长域名记录外传数据,不利用txt回获取回传数据,但利用A记录回作为C&C地址,但此方式多为正常程序使用,不是纯dns...2、外传结果: 使用Microsoft Network Monitor分析 ?

3K70

记录某次域控中毒事件应急响应

现场登录域控服务器进行排查未发现可疑进程以及恶意文件,结合态势感知告警内容以及与用户和态势感知厂商进行沟通得知域控服务器对终端PC提供DNS解析服务,由于本地域控服务器无恶意域名解析缓存,故会向上级域控服务器进行...DNS查询,确定本次态势感知告警非域控服务器自身中毒,而是内网终端PC发起的恶意域名查询行为通过域控发出DNS解析请求过程中被态势感知捕捉并告警。...1.2 分析结论 通过查看态势感知告警日志和审计日志,发现域控服务器所有异常行为均为DNS解析行为,同时也发现大量终端存在恶意扫描和漏洞利用行为。...检查网络连接,未发现异常TCP连接。 使用系统行为实时监控工具,对服务器的进程行为、文件行为、注册表行为进行监控分析,未发现异常行为。 域控服务器上发现可疑流量。...(该步骤需慎重,一般域控服务器流量巨大,若机器性能不佳时可能会造成机器宕机)

2.6K20

DNS 隧道通信特征与检测

,查询请求最终要aaa.com的权威域名服务器 Step 4:aaa.com权威域名服务器是攻击者的控制下,解析发送过来的DNS数据并发送回应 Step 5:DNS回应穿透防火墙 Step...6:DNS回应进入内网 Step 7:本地域名服务器将回应返回给受控PC机 Step 8:受控PC机解析DNS回应里的数据,得到新的指令 2.2 典型恶意程序 Trojan.Win32...攻击者把CC服务器的指令封装在DNS响应报文里 2017年3月,思科Talos团队发现一起名为DNSMessenger的攻击,该恶意软件的所有命令与控制通信都经过DNS TXT类型查询和响应。...分析可以看到,dns隧道的内容加密,并且上传下载频率高。 iodine的可移植性比较强,许多不同的类UNIX系统和Win32上运行。都可以两台主机之间建立隧道。...通过数据可以发现,dnscat2通过加密的手段隐蔽了CC服务器的域名。隐蔽性做的更好。 三、检测DNS隧道木马 将通过3个通信行为分析DNS隧道木马会话。

3.3K20

某云用户网站入侵应急响应

考虑到可能是不定期发包,因此决定进行长期与系统全面分析的方法进行分析。下面是我方进行分析情况: ? ?...对其反向DNS解析,分析曾经有哪些域名挂在这个IP上,可以看出这个IP。 频繁的更换其对应域名,说明这个IP对应的主机可能早已被黑客控制,用来进行黑客行为。下面是其反向DNS信息汇总: ?...继续对65.118.123.162深入分析,反向DNS查看一下,可以看出这台主机位于美国,并且其域名不断变更。 ? ?...通过对目标主机进行分析,判断该会话为恶意交互,但是因为时,没有及时分析该端口所对应的进程,所以暂时没有办法分析是哪个程序导致。...2.7 主机hosts文件分析 主机hosts文件用来静态保存主机/域名对应的 IP 情况,默认情况下DNS解析时首先查DNS 缓存,然后再查本地 hosts文件,最后最进行 DNS解析

1.4K70

基于DNS隐蔽信道的攻击与检测

攻击者利用DNS的一种方法是注册域名(例如,fengrou2019.club),以便攻击者主机受害者中的恶意软件可以将有价值的私人信息(例如信用卡号,登录密码或知识产权)编码为形式为arbitrary-string.fengrou2019...此DNS请求由全局域名系统中的解析器转发到fengrou2019.club域的权威服务器(攻击者的控制下),后者又向主机受害者发送响应。...现代恶意软件和网络攻击很大程度上依赖于DNS服务,使其活动可靠且难以跟踪。...例如­­­,2017年发现的远程访问木马DNSMessenger使用DNS查询和响应在受感染的主机上执行恶意PowerShell命令。...2.2 数据集准备: BotDAD提供了3种预备数据集的方式: 2.2.1 、过滤、切片 (1)使用wireshark (2) 过滤命令 tshark.exe -r "input.pcap"

2.7K20

DNSPod十问吴洪声:云时代,DNS面临哪些安全挑战?

但我们再来设想另外一个场景,用户发起bra.run的DNS查询时,如果攻击者进行了抢答,给用户返回了被篡改的数据,那么会怎么样?...因此,我们认为DNSSEC方案使用场景上还存在很多局限,这个方案不能完全避免被劫持,也不能避免诸如ISP厂商对域名请求的监控和阻断,而且就算发现数据被篡改,也只能丢弃数据,得不到正确的结果。...下面给各位展示一下,使用DoH前后的效果。 第一个图是标准的DNS查询,从结果看,用户的DNS请求信息与服务器的响应信息都以纯文本的方式传输。...我们能看到用户请求的域名名称,得到的响应IP地址。 第二个图是DoH方案的结果。可以看到报文从UDP报文转变成了TLS报文。...会让用户更多的依赖浏览器中的DNS配置。浏览器可以在此充当DoH服务商域名劫持者的角色,它可以决定解析流量往哪里走。DoH技术流行的时代,浏览器厂商的影响力被大大增强了。

1.6K20

内网流量规避

IDS和IPS概述 IDS(intrusion detection system)入侵检测系统,旁路检测设备,工作在网络层,并行接在内网所需防护设备的链路上,通过抓取流量分析数据,匹配规则库检测到恶意数据进行报警处理...dns beacon数据链路 1.被控端收到命令之后,向自己记录的dns服务器请求解析域名。 2.内网dns收到请求之后找不到该域名,将请求交给权威域名服务器查询。...3.权威域名服务器向其他服务器同步请求。 4.找到对应的ip为自己的cs服务器,解析请求,实现dns数据链路传输。 配置方法 配置dns 1.申请域名,添加A记录,将域名与公网ip进行绑定。...可看到dns发送极小的数据cs端执行命令,查看数据,可发现txt记录里为加密传输,并且解析的ns1级了为0.0.0.0,有效的隐藏了真实ip和传输的数据。...9.开启wireshark虚拟机的,没有cs服务器的真实ip。 搜索cdn服务器地址,看到的host为oss.microsoft.com,页面状态码都为200即可。

1.3K30

记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

进行溯源分析发现源IP:10.x.x.x每隔10分钟连接一次恶意域名恶意域名已在微步威胁情报库进行查询威胁有效,以下为举个“栗子”: ? 3....排查计划任务情况,跟管理员进行确认未发现异常计划任务 ? 7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP ? ?...初步分析结论: 并非该主机感染病毒木马,该主机疑似为域控服务器包含dns服务,存在其他域内子主机通过该主机进行dns解析,所以造成了态势感知平台告警源ip为该主机,实际情况为域内子主机感染病毒。...1.神器wireshark:要想分析网络会话肯定得使用wireshark该主机进行安装,此时,出乎意料的事情发生了,winpcap安装到一半机器卡住了,完全不能动了,这是业务主机啊,旁边工程师看到了...下载便携版wireshark,根据病毒外连域名时间规律进行,抓到真实受害主机 ? 4. 告知主机管理员受害者IP进行杀毒,事件解决!!!

4.2K53

【项目实战-9】DNS解析触发母机QPS限频

16.png 2.分析。对接入层CVM的子机和母机,RS的子机和母机分别,没有发现超时。...3.png 3.重新聚焦504 timeout问题,发现Node接入层的响应时间都集中5秒的倍数上,具有统计学规律。研发同学结合经验推测问题可能出现在DNS域名解析服务上。...为何母机要有DNS限频?其原因是对内网服务保护。所以一般是没有权限去看母机的一些限制,需要找网络的人去看。 2. 为何没有抓到超时?其原因是指定port,并没有抓到53端口dns。...【附】开启NSCD DNS缓存服务的优点和缺点 优点 本地缓存DNS解析信息,提供解析速度。 DNS服务挂了也没有问题,缓存服务时间范围内,解析依旧正常。...缺点 DNS解析信息会滞后,如域名解析更改需要手动刷新缓存,NSCD不适合做实时的切换的应用,目前对于依赖DNS切换的服务,建议不要开启DNS缓存。

1.2K20

一次K8s中的Pod解析外网域名错误的问题排查

工具来共享容器排查),解析出来的发现很诡异的name,域名最后面带了一个HOST 进一步查看/etc/resolv.conf,发现搜索域中有一个HOST搜索域,因此解析域名会带上HOST 又测试了几个域名...我们以请求 baidu.com 为例,通过的方式,看一看在某个容器中访问 baidu.com,进行的DNS查找的过程,都产生了什么样的数据。...注意:我们要DNS容器的,就得先进入到DNS容器的网络中(而不是发起DNS请求的那个容器)。...的数据才完整。...我们通过分析一个具体案例:域名中点数少于5个的情况: // 对域名 a.b.c.d.com 进行DNS解析请求 root@srv-xxx-7595d6795c-8rq6n:/go/bin# nslookup

2.4K20

DNS解析】爱名网(22.cn)、HKDNR、GoogleDomains、AWSRoute53注册域名开启DNSSEC(解析托管DNSPod)

DNSSEC对权威dns提供给递归DNS解析数据来源进⾏认证,可有效保护权威DNS和Local DNS之间数据不被攻击篡改,确保解析结果的真实与可靠性。...本文以域名解析托管DNSPod为例,其他平台可参考本文或咨询对应平台客服。前提条件目前DNSPod DNS仅支持付费套餐(任意版本)使用DNSSEC,使用DNSSEC前请购买合适版本的解析套餐。...操作步骤开启并获取DNSSEC配置信息登录DNSPod解析管理控制台图片进入详情域名页面单击需要设置DNSSEC的域名进入解析详情页面图片开启DNSSEC"域名设置"中找到DNSSEC并点击"立即启用...2、弹出的窗口中根据提示填写解析控制台的给出的配置信息,并点击"确认设置"保存即可图片PS:配置完成后记得回解析控制台点确定!!!...GoogleDomains配置DS记录登录到GoogleDomains登录到GoogleDomains并找到我的域名进入域名详情找到需要设置的域名,点击管理进入域名详情界面图片配置DS记录1、点击"DNS

4.2K20

Black Hat USA 2020议题:SSRF漏洞利用新思路

因此,DNS Rebindind的攻击思路,是申请一个域名,构造一个DNS服务器,将域名解析到该DNS服务器,同时设置DNS服务器的应答包围TTL为0,“获取ip地址”的逻辑中响应正常的ip地址,绕过了检测...实验步骤如下: 设置域名解析的服务器为自定义的DNS服务器 ? 启动自定义的DNS服务器 ? ? 浏览器访问域名 本地127.0.0.1地址启动http server ? ?...访问目标域名,结果响应结果为本地http服务 ? 观察DNS响应结果 DNS服务器的打印结果中,也可以看到,第一次解析结果为真实ip,后续的解析结果为127.0.0.1 ?...观察响应结果,第一次DNS应答为正常的ip,TTL设置为0 ? 后续的响应结果为127.0.0.1 ?...0x055 报文分析 以场景一为例 DNS 解析过程分析 过程中,client端和dns server一共有两次交互,第一次dns应答为真实的ip,第二次为期望攻击的ip ?

98050

biji1 windows基础+作业

连接远程服务器 telnet 和ssh很相似 ssh是加密传输 telnet明文传输 这是区别 注意默认不开启此功能 需要自行添加 10手动启用telnet 11 telnet应用 12telnetwindows7...作业: 17ARP攻击 导致阻塞或欺骗 —断别人的网 进行arp表修改mac地址 1.安装两个软件攻击机 2.cmd 命令行查win7 靶机ip,arp表 3.靶机一直ping 攻击机,攻击机用网络分析系统...tcp连接;防止恶意探测改掉80端口,别人发现你开了80(推测所开的服务)就认为你有网站,然后就图谋不轨 2.http 会被截取 然后分析; https会被加密不怕,安全些 3. 53端口 DNS...域名解析域名与ip对应)用udp传输 4.dns劫持 打破对应关系 返回给你错误的ip 你用baidu.com我返回给你其他ip骗你 5.作业2DNS服务器搭建 安装DNS服务 1.安装好DNS服务后进行...DNS配置 2.建立正向查找区域 2.建立反向查找域 3.完成DNS配置后,用nalookup 查询结果成功

70660

利用HTTPS协议打内网 SSRF新姿势

原作者提出,curl对会话复用的判断中,只判断了目标服务的域名、端口以及协议是否一致,没有判断ip 如果服务器是恶意攻击者控制的,session_id被设置成攻击者想发送的恶意payload,客户端第二次请求时...ip改掉.这里有两种姿势. ip改变的方法 dns重绑定 一个很简单的想法就是利用dns重绑定,第二次请求dns解析时改变ip,这个也是When TLS Hacks You那篇议题原作者提出的方法,赵师傅文章中提到...curl对dns做了缓存,导致第二次请求时没有进行dns查询,导致无法利用,但其实原作中间还加了一些处理,恶意的TLS服务端永远只返回的301跳转,并且返回前会sleep一段时间,curl一次次的...第一次服务器访问ipv6地址,服务器第二次请求时访问ipv6的地址,发现无法无法访问,会转而请求ipv4地址,造成ip改变 具体操作可以参考赵师傅的文章....ssrf攻击目标的ip,这里我为了方便设置了118.

96730

如何有效收集公开来源的威胁情报

第一步获取基础页面中的文件链接,这一步中主要的难点在于解析下载到的HTML文件,本例中,使用urllib2拿到的HTML文件中并不包含所需信息,通过发现在一个请求的JSON文件中。...将该json文件解析后就能得到想要的文件链接。 ? 获取到了具体文件的下载链接后,就可以通过如下代码进行第二步,使用多线程的方式迅速的将存有IP、域名的文件取回。...四、从文章中提取IoC信息 从文章中提取IoC信息是我们关注的数据(恶意IP、恶意URL、恶意域名)的另一个来源。...Windows和Linux中分别使用winpcap库和libpcap库用C语言编写一个捕获DNS的小程序DNS_Sniffer,该程序可以抓取电脑中发起的域名请求,并将这些请求存到文件中,并通过程序自动比对这些域名请求是否威胁情报库中...把捕获到的数据存储一个如下图所示的文件中。 ? 然后利用python脚本request.py查询这些域名,判断其中是否有恶意行为。如果发现恶意行为结果如下图所示。 ?

3.7K60
点击加载更多

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

更多标签

活动推荐

    运营活动

    活动名称
    广告关闭

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

    领券