DNS隧道通信的检测
DNS隧道通信的检测
DNS 隧道通信
DNS 隧道通信是C&C常用的通信方式,一般常用的编码方式Base64,Binary编码,NetBios编码等,Hex编码等。且请求的Type一般都是txt(为了返回的时候能够加入更多的信息)。payload部分一般是子域名。攻击者自己控一个域的DNS权威应答服务器,然后等待失陷主机请求域名,本地DNS服务器迭代查询转发请求到那台权威DNS,从而实现失陷主机与C&C Server的通信。
DNS 检测方案
+ 频率大:一般远超正常的DNS频率;
+ 不重复:一般子域名变化很多,很少重复;但不排除网络不通一直发送前几个指令的请求;
+ 文本类型:一般为了传输更多数据,使用TXT类型;
+ 域名很长,有一段base64、2进制或16进制的编码段的域名;
备注: 可以根据以上做个打分,但是打分机制还没有想好,下面代码中只是一个小例子
+ 规则一:domain长度大于52,每增加一个,增加0.5分;
+ 规则二:出现出去26个字符和点以及-的字符串,则乘以2;
+ 规则三:如果请求type是TXT则严重怀疑,分数乘以2;
代码
https://github.com/cisp/DNSTunnelDetectTools
效果:
#!/usr/bin/env python
# -*- coding:utf-8 -*-
"""
DNS隧道通信检测工具
作者:陈然
版本:V1.0.3
联系:WeChat-Number -> cr1914518025
"""
#脚本信息配置:
_author = "隐私保护"
_nicky = "挖洞的土拨鼠"
_version = "v1.0.3"
_version_string = """\033[0;32m
DNS隧道通信检测工具
作者:陈然
版本:V1.0.3
联系:WeChat-Number -> cr1914518025
操作系统:支持Linux、Unix、MacOS X、Windows
\033[0m"""
#引入依赖的库文见、包
import os
import sys
import time
import pcap
import dpkt
import urllib
import logging
import platform
import datetime
from optparse import OptionParser
#配置全局设置
reload(sys)
sys.setdefaultencoding("utf-8")
logging.basicConfig(filename="./dnstunneldetect.running.log",level=logging.INFO,filemode='a',format='%(asctime)s-%(levelname)s:%(message)s')
#定义全局函数
def dns_request_analyst(string,sport):
"""解DNS请求报文"""
logging.info("分析报文请求")
dnsdata = dpkt.dns.DNS(string)
ret = repr(string)#.replace("\\x03",".").replace("\\x05",".").replace("\\x12",".")
domain = str(ret[41:-21])[3:]#.replace("")
rtype = ret.replace("\\x","")[-9:][0:4]
#print type(domain)
domain = domain.replace("\\x",".")
domainlist = domain.split(".")
domain = domainlist[0]+"."
for dstr in domainlist[1:]:
dstr = dstr[2:]
domain += str(dstr)+"."
domain = domain[0:-1]
score = float(len(domain) - 52.0) * 0.5
if len(domain) <= 30:
score = 0
elif (len(domain) - 52) <= 0:
score = (52 - len(domain)) * 0.2
for item in list(str(domain)):
if item not in list("01234567890-abcdefghijklmnopqrstuvwxyz."):
score *= 2
break
if rtype == '0010':
score *= 2
else:
score = score * 0.4
pid = None
if platform.platform().lower().find("windows") >= 0:
pid = os.popen("netstat -ano | findstr %s"%sport).read().split("\n")[0].split(" ")[-1]
elif platform.platform().lower().find("linux") >= 0:
pid = os.popen("netstat -anop | grep %s | awk '{print $7}'"%sport).read().split("/")[0]
elif platform.platform().lower().find("darwin") >= 0:
pid = os.popen("lsof -nP | grep :%s | awk '{print $2}'"%sport).read().split("\n")
for i in pid:
if i != "['']":
pid = i
break
else:
pass
flag = False
if score > 4
return True,domain,score,pid
#定义DNS嗅探解析报文获取类
class Packet_Sniffer_Filter:
"""嗅探并过滤报文"""
def __init__(self,iterfacename):
"""创建报文嗅探器"""
logging.info("创建嗅探器")
self.name = iterfacename#本机的嗅探网卡名称
self.sniffer = pcap.pcap(name=self.name,immediate=True)#设置嗅探器嗅探指定网卡
self.sniffer.setfilter("udp port 53")#初步过滤
def run(self):
logging.info("嗅探器线程开始运行")
for packet_time,packet_data in self.sniffer:
packet = dpkt.ethernet.Ethernet(packet_data)#使用dpkt解pcap格式报文
dip = tuple(map(ord,list(packet.data.dst)))#获取目的IP地址
dip = str(dip).replace(",",".").replace(" ","")[1:-1]
sport = packet.data.data.sport
dport = packet.data.data.dport
if dport != 53:
continue
result_flag,domain,score,processid = dns_request_analyst(packet.data.data.data,sport)#加入待分析队列
if result_flag:
print """\033[0;31m
[*] 疑似DNS隧道通信
[-] 通信域名: %s
[-] 来源端口: %s
[-] 危险评分: %s
[-] 对端地址: %s
[-] 本地进程: %s
\033[0m"""%(domain[3:],sport,score,dip,processid)
if __name__ == "__main__":
logging.info("程序启动")
parser = OptionParser()
parser.add_option("-i","--ifname",dest="name",help="Interface Name!")
parser.add_option("-v","--version",dest="version",action="store_true",help="Show Version!")
parser.add_option("-d","--docs",dest="docs",action="store_true",help="Show Documents!")
parser.add_option("-r","--requirments",dest="reqr",action="store_true",help="Show Requriments!")
(options, arges) = parser.parse_args()
if options.version:
print _version_string
exit(0)
if options.docs:
print """\033[0;32m
使用手册--使用于V1.0.1版本
[1] python DNSTunnelDetect.py -i eth1
\033[0"""
exit(0)
if options.reqr:
print """\033[0;32m
[+] sudo pip install pypcap
[+] sudo pip install dpkt
\033[0"""
exit(0)
if options.name in ["",None]:
logging.info("程序缺乏网卡参数,退出运行!")
print "\033[0;31m[-] 请指定网卡\033[0m"
exit(0)
logging.info("程序初始化")
PacketSniffer = Packet_Sniffer_Filter(options.name)
PacketSniffer.run()
DNS隧道通信的检测的更多相关文章
- PowerCat DNS 隧道通信
powercat 也是一套基于 DNS 通信协议的工具.Powercat的dns的通信是基于dnscat设计的(其服务端就是dnscat).在使用dnscat时需要进行下载和编译. dnscat服务端 ...
- 一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案
摘自:http://www.freebuf.com/articles/network/149328.html 通过以上分析得出监控需要关注的几个要素:长域名.频率.txt类型.终端是否对解析ip发起访 ...
- DNS隧道和工具
DNS Tunneling及相关实现 转自:http://www.freebuf.com/sectool/112076.html DNS Tunneling,是隐蔽信道的一种,通过将其他协议封装在DN ...
- DNS隧道基础
DNS协议是一种请求/应答协议,也是一种可用于应用层的隧道技术.虽然激增的DNS流量可能会被发现,但基于传统socket隧道已经濒临淘汰鸡TCP.UDP通信大量被防御系统拦截的状况,DNS.ICMP. ...
- dns隧道攻击原理及常用工具流量分析
DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术.虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP.UDP通信大量被安全设备拦截的大背景下,DNS. ...
- DNS隧道实战&&cobaltstrike利用dns隧道
前言 使用 dns 隧道进行 tcp 通信. 正文 首先配置域名 配置一个 A 记录指向我们的 vps, 然后配置几个 ns 记录,指向刚刚设置的 A 记录 然后在服务端安装 wget https:/ ...
- DNS隧道工具dns2tcp
DNS隧道工具dns2tcp 在很多网络环境中,防火墙会限制出站流量,主机往往只能访问外网主机有限的几个端口,如DNS的53端口.这时,就可以通过DNS请求和响应机制,建立通信隧道.Kali Li ...
- DNS隧道
自己使用的dns隧道通过两种方法,一种是通过dnscat2工具,另一种通过cs上的beacon来进行通信. 第一种方法:dnscat2: 参考文章:https://xz.aliyun.com/t/22 ...
- DNS隧道工具:iodine使用
iodine可以通过一台dns服务器制造一个IPv4数据通道,特别适合在目标主机只能发送dns请求的网络中环境中使用.iodine是基于C语言开发的,分为服务端程序iodined和客户端程序iod ...
随机推荐
- Oracle分页(limit方式的运用)
select * from a_matrix_navigation_map where rowid not in(select rowid from a_matrix_navigation_map w ...
- Web API(五):Web API跨域问题
一.什么是跨域问题 跨域:指的是浏览器不能执行其他网站的脚本.是由浏览器的同源策略造成的,是浏览器施加的安全限制.(服务端可以正常接收浏览器发生的请求,也可以正常返回,但是由于浏览器的安全策略,浏览器 ...
- 普通windows版本安装winServer的特色功能 以dedup功能为展示点
安装 Windows 功能角色 1.选择安装源 在 Windows 8.1 系统上不存在重复数据删除功能,需要从对应的服务器版本,即 Windows Server 2012 R2 上提取相关文件. 2 ...
- thinkphp 使用原生mysql语句 联合查询
<?php class DelAction extends Action { public function ml(){ // 实例化一个空模型,没有对应任何数据表 $Dao = M(); // ...
- TensorFlow基础笔记(13) tf.name_scope tf.variable_scope学习
转载http://blog.csdn.net/jerr__y/article/details/60877873 1. 首先看看比较简单的 tf.name_scope(‘scope_name’). tf ...
- C++泛型和算法
看书的速度终于慢了下来,倒不是难于理解,而是需要理解的东西有点多. 先吐槽下C++Primer这本书,不少地方都是用抽象的语言进行介绍! 拜托,你这是介绍,不是总结! 像容器适配器那里: “本质上,适 ...
- MongoDB C Driver Building on Windows
一.编译mongodb c driver: 需要先安装OpenSSL:(参见:http://bbs.aircheng.com/read-2222-1) 步骤:(MongoDB步) 1.下载Active ...
- nodejs基础 -- 事件循环
Node.js 事件循环 Node.js 是单进程单线程应用程序,但是通过事件和回调支持并发,所以性能非常高. Node.js 的每一个 API 都是异步的,并作为一个独立线程运行,使用异步函数调用, ...
- linux上nginx上配置虚拟主机的相关配置
1.配置主配置: nginx/conf/nginx.conf 2.虚拟主机配置:nginx/conf/extra/learn.weixin.com.conf 配置完后,重启服务器!
- HttpClient传递Cookie
使用代码访问http资源,我们通常用WebRequest,当然,HttpClient提供了更方便的封装,我用得更多.只是碰到一些需要(cookie)鉴权的情况,需要把cookie伴随请求一起发到服务器 ...