网站安全防护

服务咨询热线:

17202014336

网站安全检测,渗透测试

使用DNS绕过安全设备Oday!

当前位置: 首页> 安全研究> 使用DNS绕过安全设备Oday!
时间:2021-08-25

  DNS域名系统是因特网的核心基础设施之一,是全球分布的域名和IP地址相互映射的数据库。对恶意DNS进行过滤、网站安全检测域名、僵尸网络、网络秘密通道发现等是安全防护设备必不可少的手段。


  二、原则。


  RFC1035规定,一个域名的每个标签的长度不得超过63字节和255字节。它可以包含8bit的值,通常由英文字母、数字和连字符组成。在RFC2181中,DNS本身并没有限制域名包含的字符的内容。ISCBIND等常用DNS服务器软件支持二进制域名,已有文献证实。虽然RFC1123中的资源记录对于DNS软件支持不能转换成可打印格式,但内部存储无法使用文本格式。因为LetterDigitHyphen规则的域名包含可打印字符,因此造成两个问题:第一,大多数程序在处理域名时都使用字符串函数,可能对某些特定结束字符进行处理(例如在C语言中处理\000);其二,DNS服务器处理特殊字符后仍然返回解析结果,渗透测试过滤恶意DNS域名并不考虑这些程序。


  三、检验方法。

渗透测试
  通过PYTHONsocketserver和struct开发一个简单的DNS服务器,然后使用DNSPython模块测试DNS请求。测试DNS服务器时,我们将正常或带有特殊字符的请求方式发送给被测服务器,如果DNS服务器两个数据报文的请求结果有差异,则证明第二个请求失败,否则成功。


  四、危险。


  1.隐藏恶意软件域名:


  这种方法可以绕过基于DNS流量检测的流量分析软件、算法和相关的安全设备和在线文件分析系统,通过构造添加特殊字符的DNS请求,既保证了域名解析的成功,又使恶意域名很难被发现。


  2.隐藏DNS隐藏通道。


  该方法与本文的域名欺骗方法相结合,能较好地发挥DNS隧道流量隐藏效果,通过伪造DNS隧道的源地址来分散DNS隧道流量,给内网数据泄密和远程隧道带来了新的挑战。


  3.跳过DNS过滤。


  用这种方法渗透到DNS过滤设备具有一定的可行性,目前已发现大量带域名过滤的安全设备,存在被绕过的风险。


  五、修理。


  通过DNSPython修复,在dns记录中,添加了对异常特殊字符进行过滤的特殊字符。扩大了过滤DNS请求特殊字符的安全装置范围。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的官网新闻!

上一篇:怎样才能迅速解决网络漏洞呢? 下一篇:区域链网已成为DDOS威胁的重灾区!
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测