最近准备研究一下DNS隧道,网上的案例比较多,总的来说都需要花钱,毕竟域名+vps服务器,都是真金白银,为了做这个实验,我也是花了200块钱。一般来说,dns隧道有2种:直连和迭代。直连的dns隧道,就是你自己要有一台外网dns服务器,比如基于bind9搭建一个dns服务器,这种模式容易造成C&C(DNS)服务器的地址泄漏,现在基本上没人用了。迭代模式,可以依靠任意一台dns服务,然后依靠NS记录和A记录,实际上伪造了一个dns服务器,也就是C&C服务器,这种模式比较流行。然而,针对这种dns隧道,还是很好检测的,因为会产生大量的dns请求,而且子域名各不相同。
在虚拟机中进行DNS隧道实验,需求如下:
- 在resellerclub 申请域名(1年100块钱)
- 在resellerclub域名管理中配置NS和A记录
- 自备centos虚拟机,作为bot主机
- 申请 vps 服务器(一个月120块钱)
- 在vps上搭建centos 7 并配置编译环境(有少部分坑)
步骤一:在A记录里面添加C&C服务器(c2.hackbiji.top)的IP地址
步骤二:在NS记录里面添加一条记录,表示任意僵尸域名(bot.hackbiji.top)都由C&C服务器解析
步骤三:在vps服务器上启动dnscat2服务端
关于如何避坑,dnscat2已经在github上指明了方向[1]
步骤四:在bot主机上启动dnscat2客户端
步骤五:在dnscat2的服务端,输入windows,观察,如下所示:
输入 session -i 1 进入隧道,如下图所示:
输入shell,产生新的会话2,ctr + Z 退出会话1,session - i 2 进入会话2
这个时候就可以输入我们熟悉的shell 命令了,比如whoami,ifconfig等 ,如下图所示:
步骤六:使用wireshark抓包分析
在客户端上进行抓包,过滤dns域名包含bot.hackbiji.top,如下图所示:
