网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件

网际网络是指在广域网与广域网之间互相连接的网络,包括不同类型的协议的网络的互联,比如TCp/IP网络和X.25网络的互联。

 

现在咱们通用的因特网(INTERNET)就是很明显的网际网络,因为因特网中包含着各种不同类型的网络。

 

MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC地址。因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。

 

MAC地址是网卡决定的,是固定的

 

 

什么是dns

什么是dns安全可视化。

dns安全 是什么

 

 

dns 域名系统。  Domain Name System

 

什么是域名。

 

 

dns安全可视化 就是 将 dns的安全分析,用直观的界面,显示出来。

 

 

什么是域名。

 

域名是 因特网上 的 一台计算机或计算机组的名称。  由一串用“点”分隔的字符组成。

 

 如在浏览器地址栏输入的www.baidu.com,www.hao123.com等我们称之为域名,域名即网站名称。如果说互联网的本质是连接一切,域名则为“一切”提供了身份标识功能,而IP为“一切”提供了寻址功能。域名和IP的关系可类比每个人的姓名与住址。

 

 

top、.xyz、.com、.cn、.edu  这些是域名后缀。

 

IP地址是Internet主机的作为路由寻址用的数字型标识,人不容易记忆。因而产生了域名。

 

根域、顶级域、二级域、子域   域名采用层次化的方式进行组织,每一个点代表一个层级。一个域名完整的格式为www.baidu.com.  最末尾的点代表根域,常常省略;com即顶级域(TLD);baidu.com即二级域。依次类推,还有三级域、四级域等等。子域是一个相对的概念,baidu.com是com的子域,www.baidu.com是baidu.com的子域。

 

域名系统  即DNS(Domain NameSystem)。DNS主要解决两方面的问题:域名本身的增删改查以及域名到IP如何映射。

 

 

 

什么是域名系统。

 

因特网上作为域名和IP地址相互映射的一个分布式数据库,

 

分布式是 拆分成多个子业务 分到多个机器上。

 

 

正向解析  查找域名对应IP的过程。

 

反向解析  查找IP对应域名的过程。

 

解析器  即resolver,处于DNS客户端的一套系统,用于实现正向解析或者反向解析。

 

 

何为根域名服务器?根域名服务器是架构因特网所必须的基础设施,主要用来管理互联网的主目录,全世界只有13台,这13台根域名服务器中名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。

 

权威DNS  处于DNS服务端的一套系统,该系统保存了相应域名的权威信息。权威DNS即通俗上“这个域名我说了算”的服务器。

 

递归DNS  又叫local dns。递归DNS可以理解为是一种功能复杂些的resolver,其核心功能一个是缓存、一个是递归查询。收到域名查询请求后其首先看本地缓存是否有记录,如果没有则一级一级的查询根、顶级域、二级域……直到获取到结果然后返回给用户。日常上网中运营商分配的DNS即这里所说的递归DNS。

 

转发DNS  转发DNS是一种特殊的递归。如果本地的缓存记录中没有相应域名结果时,其将查询请求转发给另外一台DNS服务器,由另外一台DNS服务器来完成查询请求。

 

公共DNS  公共DNS属于递归DNS。其典型特征为对外一个IP,为所有用户提供公共的递归查询服务。

 

域名查询过程

 

以用户在浏览器输入www.baidu.com为例,我们详细说明一下实际域名查询过程:

 

1.  用户输入www.baidu.com,浏览器调用操作系统resolver发起域名查询,此处不考虑浏览器的域名缓存;resolver封装一个dns请求报文,并将其发给运营商分配的local dns地址(或者用户自己配置的公共dns);

 

2. local dns查询缓存,如果命中则返回响应结果;否则向根服务器发起查询;

 

3.  根服务器返回com地址。每一层级的DNS服务器都有缓存,实际都是先查缓存,没有缓存才返回下级域,此处不再重复;

 

4. local dns查询com。com返回baidu.com地址;

 

5. local dns查询baidu.com,baidu.com返回www.baidu.com对应记录结果。

 

 

理论上讲域名查询有两种方式:

 

迭代查询  A问B一个问题,B不知道答案说你可以问C,然后A再去问C,C推荐D,然后A继续问D,如此迭代…

 

递归查询  A问B一个问题,B问C,C问D… 然后D告诉C,C告诉B,B告诉A

 

 

DNS分为Client和Server,Client扮演发问的角色,也就是问Server一个Domain Name,而Server必须要回答此DomainName的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有,则会往该DNS上所设的的DNS询问,依此得到答案之后,将收到的答案存起来,并回答客户。

 

 

域名安全威胁

 

1.安全事件

 

尽管已经有超过30年历史,DNS仍然是整个互联网中最脆弱的一环。下面盘点一下近年来比较严重的DNS安全事件。

 

2009年5月19日南方六省断网事件。一起由于游戏私服私斗打挂dnspod,殃及暴风影音域名解析,然后进一步殃及电信local dns,从而爆发六省大规模断网的事故。事件影响深远。

 

2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(IranianCyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时,是百度成立以来最严重的故障事件,直接经济损失700万人民币。

 

2013年5月4日DNS劫持事件。由于主流路由器厂商安全漏洞而导致的全网劫持事件,号称影响了800万用户。

 

2013年8月25日CN域被攻击事件。cn域dns受到DoS攻击而导致所有cn域名无法解析事故。

 

2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染,所有的域名全被指向了位于美国的一个IP地址(65.49.2.178)。

 

2.攻击手段

 

query flood 通过不断的发DNS请求报文来耗尽目的DNS资源,形成拒绝服务。具体分类包括源IP是否随机以及目的域名是否随机等。

 

response flood  通过不断的发DNS响应报文来达到拒绝服务的目的。

 

udp flood DNS底层协议为UDP,基于UDP的各种flood攻击也都会给DNS带来危害。

 

折射攻击(反射攻击)  伪造源IP为第三方,借助DNS的回包来达到DoS掉第三方的目的。属于“借刀杀人”的手段。

 

放大攻击  折射攻击的一种。通过恶意的构造响应报文来达到流量放大作用,从而对第三方形成带宽攻击。请求报文几十字节,响应报文几千字节,意味着可以形成百倍以上流量放大系数。

 

缓存投毒  每一台DNS都有缓存,缓存投毒指的是通过恶意手段污染DNS缓存,形成DNS劫持或者拒绝服务。

 

漏洞攻击  利用各种漏洞来达到入侵并控制DNS服务器目的。漏洞不仅仅指DNS程序本身的,也有可能是机器或者网络其它的“问题点”。

 

社会工程学手段  所有的系统都需要人的维护,而人永远是安全中最脆弱的一环。

 

 

常见的DNS攻击包括:

 

1) 域名劫持

 

  通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。

 

  这显然是DNS服务提供商的责任,用户束手无策。

 

  2) 缓存投毒

 

  3)DDOS攻击

 

         DDoS(Distributed Denial of service)

 

         发起大量域名查询请求

 

分布式拒绝服务(DDos)

 

DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。

 

 

 

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。

 

 

  一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。

 

  4) DNS欺骗

 

  DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

 

  原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

 

  现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

 

  DNS欺骗

 

  在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录

 

 

 

国内75%以上的家用宽带路由器存在严重的安全隐患:用户浏览网页的时候其DNS就有可能被黑客篡改, DNS被篡改之后,黑客可轻易地骗取用户的帐号密码,威胁您的网游、微博、QQ、淘宝、网银安全!

 

技术:

 

家用宽带路由器厂商为节省成本,所有设备都采用相同的用户名和口令(例如2个都是admin),而绝大部分用户从来不修改此默认的用户名和口令,黑客正是利用这一特点而在网页中嵌入修改宽带路由器DNS的代码。

 

 

黑客攻击DNS主要利用路由器“弱密码”漏洞。据360安全中心发布的“路由器安全报告”显示,国内30.2%的路由器存在“弱密码”漏洞,只要访问一个带有攻击代码的恶意网页,DNS就会自动被篡改为黑客指定的DNS。全国4.7%的路由器DNS曾经遭黑客篡改。

 

 

 

 

在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。

 

 

DNS 是互联网最薄弱的关键技术环节,电信运营商的DNS 故障等同于断网,互联网企业的 DNS 故障等同于该企业的网站中断。

 

 

远控木马

识别访问“远控”木马的网络流量,及时发现网络内可能存在的感染木马的主机,阻断其与“远控”中心服务器、下载服务器的连接

 

勒索软件

识别勒索软件产生的网络流量,及时报警并阻断勒索软件的连接尝试,避免可能产生的损失

 

APT攻击

识别对APT攻击相关网站的访问,保证网络内部数据安全

 

DNS攻击

识别网络外发起的DNS攻击流量,及时阻断,保证网络DNS服务器和网络内主机的正常运行

 

敏感数据泄漏

发现可能存在的内部敏感数据泄漏,并追查数据流向

 

DGA

识别基于DGA技术生成的恶意域名,阻止未知病毒活动。

 

FFSN

识别Fast-Flux网络访问

 

DNS流量携带恶意软件

发现伪装成DNS流量的网络交互行为

 

非DNS协议流量

发现在53端口的非DNS流量

 

挖矿机

识别BitCoin挖矿行为产生的网络流量,进而发现网络内可能存在的病毒感染

 

暗网流量

发现Tor网络流量,预警可能存在的不规范网络行为

 

无效域名访问

识别对无效域名的访问,以及背后可能存在的病毒感染或攻击行为

 

僵木蠕

发现僵木蠕活动痕迹

 

勒索软件

发现勒索软件活动痕迹

 

网页挂马攻击

用户访问被挂马的网站,会导致在不知情的情况下自动下载并执行恶意代码。

 

 

 

僵木蠕

 

以“僵木蠕”(僵尸网络、木马、蠕虫)为代表的网络威胁

 

僵尸网络是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络,我们将之称之为僵尸网络,botnet。

 

对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。下载时只用一种杀毒软件查不出来。

专家表示,每周平均新增数十万台任人遥控的僵尸电脑,任凭远端主机指挥,进行各种不法活动。多数时候,僵尸电脑的主人根本不晓得自己已被选中,任人摆布。

 

 

 

木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。

 

它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。

 

“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

 

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。

 

 

与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。

 

 

APT攻击

 

APT(Advanced Persistent Threat)是指高级持续性威胁

 

DGA(域名生成算法)是一种利用随机字符来生成域名,从而逃避域名黑名单检测的技术手段。

 

dns隐蔽隧道

 

利用DNS 隧道传递数据和命令来绕过防火墙

利用DNS查询过程建立起隧道,传输数据。

 

 

 

BIND(Berkeley Internet Name Domain)是是最常用的DNS服务软件,具有广泛的使用基础,Internet上的绝大多数DNS服务器都是基于这个软件的。

 

 

 

 

数据采集时间

序号

请求/响应

源 IP 地址

属地

目的 IP 地址

属地

2017-10-15
13:06:02

4982

0

10.0.49.3

保留

168.95.1.1

台湾

2017-10-15
13:06

4982

1

168.95.1.1

台湾

10.0.49.3

保留

 

源端口

目的端口

方向

协议

包长

14341

53

上行

UDP

256

53

14341

下行

UDP

33155

 

请求/响应数据

类型

类别

TTL

teredo.ipv6.microsoft.com

A

1

0

teredo.ipv6.microsoft.com

A

1

0

 

请求类型A, 返回的不是ip地址,仍然是域名。可疑。

TTL 为0 ,可疑 隐蔽隧道。

一定时间内不间断的给某个敏感域名机器通信。

 网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第1张图片

 网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第2张图片

 网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第3张图片

网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第4张图片

网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第5张图片

 

 

 

===

.pcap 数据包 文件

 

利用libpcap抓取数据包

 

pcap文件格式是常用的数据报存储格式,包括wireshark在内的主流抓包软件都可以生成这种格式的数据包

 

开源情报(open source intelligence)是指从公众媒体上收集和挖掘情报,

 

元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,

 

==

带外管理

对机房网络设备(路由器、交换机、防火墙等),服务器设备(小型机、服务器、工作站)以及机房电源  进行集中化整合管理

带外管理系统(网络综合管理系统)由控制台服务器(网络设备管理维护系统)、远程KVM(计算机设备管理维护系统)、电源管理器(机房电源管理系统)和网络集中管理器(网络集中综合管理系统)四部分组成

 

=

假设A是条件,B是结论

(1)由A可以推出B,由B可以推出A,则A是B的充分必要条件(  ),或者说A的充分必要条件是B。

(2)由A可以推出B,由B不可以推出A,则A是B的充分不必要条件(  )

(3)由A不可以推出B,由B可以推出A,则A是B的必要不充分条件(  )

(4)由A不可以推出B,由B不可以推出A,则A是B的既不充分也不必要条件(  )


=

磁盘阵列(Redundant Arrays of Independent Disks,RAID),

网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件_第6张图片

=

DRAC又称为Integrated DellRemote Access Controller,也就是集成戴尔远程控制卡

=

地址解析协议,即ARP(Address Resolution Protocol),

==

你可能感兴趣的:(网际,MAC,DNS,僵木蠕,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件)