Ny DNS tunneling dia mamadika ny rafitra anarana domain ho fitaovam-piadiana ho an'ny hackers. Ny DNS dia boky an-telefaona lehibe an'ny Internet. DNS ihany koa no protocole fototra ahafahan'ny mpitantana manontany ny angon-drakitra mpizara DNS. Hatreto dia toa mazava ny zava-drehetra. Saingy nahatsikaritra ireo hackers fetsy fa afaka mifandray mangingina amin'ilay solosaina niharan-doza izy ireo amin'ny alàlan'ny fampidirana baiko fanaraha-maso sy data ao amin'ny protocol DNS. Io hevitra io no fototry ny DNS tunneling.
Ahoana ny fiasan'ny tunnel DNS
Ny zava-drehetra ao amin'ny Internet dia manana protocol manokana. Ary ny fanohanana DNS dia somary tsotra karazana fangatahana-valiny. Raha te-hahita ny fomba fiasan'izy io ianao dia azonao atao ny mampandeha ny nslookup, ilay fitaovana lehibe amin'ny fanaovana fanontaniana DNS. Azonao atao ny mangataka adiresy amin'ny famaritana fotsiny ny anaran-tsehatra mahaliana anao, ohatra:
Amin'ity tranga ity, ny protocol dia namaly tamin'ny adiresy IP domain. Raha ny momba ny protocol DNS dia nanao fangatahana adiresy aho na antsoina hoe fangatahana. karazana "A". Misy karazana fangatahana hafa, ary ny protocol DNS dia hamaly amin'ny sehatra angon-drakitra hafa, izay, araka ny ho hitantsika any aoriana, dia azo trandrahana amin'ny hackers.
Amin'ny fomba iray na hafa, amin'ny fotony, ny protocol DNS dia mahakasika ny fandefasana fangatahana amin'ny mpizara sy ny valin-teniny amin'ny mpanjifa. Ahoana raha misy mpanafika manampy hafatra miafina ao anaty fangatahana anaran-tsehatra? Ohatra, raha tokony hampiditra URL ara-dalàna tanteraka izy, dia hampiditra ny angona tiany hampitaina:
Andao atao hoe mpanafika no mifehy ny mpizara DNS. Afaka mamindra angona izy avy eo — angon-drakitra manokana, ohatra — tsy voatery ho hita. Raha ny marina, nahoana no lasa tsy ara-dalàna tampoka ny fangatahana DNS?
Amin'ny alàlan'ny fifehezana ny mpizara, ny hackers dia afaka mamorona valiny ary mandefa angona hiverina amin'ny rafitra kendrena. Izany dia mamela azy ireo handefa hafatra miafina amin'ny sehatra isan-karazany amin'ny valin'ny DNS amin'ny malware amin'ny milina voan'ny aretina, miaraka amin'ny toromarika toy ny fikarohana ao anaty lahatahiry manokana.
Ny ampahany amin'ny "tunneling" amin'ity fanafihana ity dia angona sy baiko avy amin'ny fisavana amin'ny alàlan'ny rafitra fanaraha-maso. Ny hackers dia afaka mampiasa ny base32, base64, sns., na manodina ny angona. Ny fandokoana toy izany dia handalo tsy ho hitan'ny fitaovana fandrahonana tsotra izay mikaroka ny plaintext.
Ary ity no DNS tunneling!
Tantaran'ny fanafihana tonelina DNS
Misy fiandohana ny zava-drehetra, ao anatin'izany ny hevitra hijack ny protocol DNS ho an'ny tanjona hacking. Raha ny fantatra dia ny voalohany Ity fanafihana ity dia nataon'i Oskar Pearson tao amin'ny lisitry ny mailaka Bugtraq tamin'ny Aprily 1998.
Tamin'ny 2004, nampidirina tao amin'ny Black Hat ny tonelina DNS ho toy ny teknikan'ny hacking tamin'ny famelabelarana nataon'i Dan Kaminsky. Noho izany, ny hevitra dia nitombo haingana ho fitaovana tena fanafihana.
Amin'izao fotoana izao, ny tonelina DNS dia manana toerana azo antoka amin'ny sarintany (ary matetika asaina manazava izany ny bilaogera momba ny fiarovana ny vaovao).
Efa naheno momba ny ? Fanentanana mitohy ataon'ireo vondrona mpanao heloka bevava an-tserasera — izay azo inoana fa tohanan'ny fanjakana — hanendaka ireo mpizara DNS ara-dalàna mba hamerenana ny fangatahana DNS amin'ny lohamiliny manokana. Midika izany fa hahazo adiresy IP "ratsy" manondro pejy web sandoka tantanin'ny mpijirika toy ny Google na FedEx ny fikambanana. Mandritra izany fotoana izany, ireo mpanafika dia afaka mahazo kaonty mpampiasa sy tenimiafina, izay hampiditra azy ireo tsy amin'ny toerana hosoka toy izany. Tsy ny DNS tunneling izany, fa ny vokatra mampalahelo hafa amin'ny hackers mifehy ny server DNS.
Fandrahonana momba ny tunnel DNS
Ny DNS tunneling dia toy ny famantarana ny fiandohan'ny sehatra vaovao ratsy. Iza amin'ireo? Efa niresaka momba ny maromaro isika, fa andao handrafetana azy ireo:
- Famoahana data (exfiltration) – mpijirika iray mampita angon-drakitra mitsikera amin'ny DNS. Tena tsy izany no fomba mahomby indrindra handefasana vaovao avy amin'ny ordinateran'ny niharam-boina - amin'ny fiheverana ny fandaniana rehetra sy ny encodings - fa miasa izy io, ary amin'ny fotoana iray ihany - mangingina!
- Command and Control (fanafohezana C2) - Ny mpijirika dia mampiasa ny protocol DNS handefasana baiko fanaraha-maso tsotra amin'ny, lazao, (Trojan Remote Access, fanafohezana RAT).
- Tonelina IP-Over-DNS - Mety ho toa adala izany, saingy misy fitaovana izay mametraka ny IP stack eo an-tampon'ny fangatahana protocol DNS sy valiny. Izy io dia manao famindrana angon-drakitra mampiasa FTP, Netcat, ssh, sns. asa somary tsotra. Tena mampalahelo!
Famantarana DNS tunneling
Misy fomba roa lehibe hamantarana ny fanararaotana DNS: famakafakana entana sy famakafakana fifamoivoizana.
amin'ny famakafakana entana Ny antoko mpiaro dia mitady tsy mety amin'ny angon-drakitra alefa sy miverina izay azo tsikaritra amin'ny fomba statistika: anarana mpampiantrano hafahafa, karazana rakitra DNS izay tsy ampiasaina matetika, na kaody tsy manara-penitra.
amin'ny fanadihadiana momba ny fifamoivoizana Tombanana ny isan'ny fangatahana DNS ho an'ny sehatra tsirairay raha oharina amin'ny salan'isa statistika. Ireo mpanafika mampiasa DNS tunneling dia hiteraka fifamoivoizana be mankany amin'ny mpizara. Amin'ny teoria, ambony lavitra noho ny fifanakalozana hafatra DNS mahazatra. Ary mila arahi-maso izany!
DNS tunneling utility
Raha te-hanao ny pentest anao manokana ianao ary hahita ny fomba ahafahan'ny orinasanao mamantatra sy mamaly ny hetsika toy izany, dia misy fitaovana maro ho an'izany. Izy rehetra dia afaka tonelina amin'ny fomba IP-Over-DNS:
- – azo jerena amin'ny sehatra maro (Linux, Mac OS, FreeBSD ary Windows). Mamela anao hametraka akorandriaka SSH eo anelanelan'ny solosaina kendrena sy mifehy. Tsara izany amin'ny fametrahana sy fampiasana iodine.
- - Tetik'asa tunnel DNS avy amin'i Dan Kaminsky, nosoratana tamin'ny Perl. Azonao atao ny mampifandray azy amin'ny SSH.
- - "Tunnel DNS izay tsy mampahory anao." Mamorona fantsona C2 misy miafina mba handefasana / hisintona rakitra, fandefasana akorandriaka, sns.
Fitaovana fanaraha-maso DNS
Ity ambany ity ny lisitr'ireo fitaovana marobe izay ilaina amin'ny fitadiavana ny fanafihana tonelina:
- - Module Python nosoratana ho an'ny MercenaryHuntFramework sy Mercenary-Linux. Mamaky rakitra .pcap, maka ny fangatahana DNS ary manao sarintany geolocation mba hanampiana amin'ny famakafakana.
- – fitaovana Python izay mamaky rakitra .pcap sy manadihady ny hafatra DNS.
Micro FAQ amin'ny DNS tunneling
Fampahalalana mahasoa amin'ny endrika fanontaniana sy valiny!
F: Inona no atao hoe tunneling?
O: Fomba iray ahafahana mamindra data amin'ny protocole efa misy izany. Ny protocole fototra dia manome fantsona na tonelina voatokana, izay ampiasaina hanafenana ny vaovao ampitaina.
F: Oviana no natao ny fanafihana tonelina DNS voalohany?
O: Tsy fantatray! Raha fantatrao dia ampahafantaro anay. Araka ny fantatray, ny resaka voalohany momba ny fanafihana dia natomboky ny Oscar Piersan tao amin'ny lisitry ny mailaka Bugtraq tamin'ny Aprily 1998.
F: Inona no fanafihana mitovy amin'ny DNS tunneling?
O: Ny DNS dia lavitra ny protocol tokana azo ampiasaina amin'ny tonelina. Ohatra, ny malware command and control (C2) matetika dia mampiasa HTTP hanakona ny fantsona fifandraisana. Tahaka ny amin'ny DNS tunneling, ny hacker dia manafina ny angonany, fa amin'ity tranga ity dia toa ny fifamoivoizana avy amin'ny navigateur web mahazatra miditra amin'ny tranokala lavitra (fehezin'ny mpanafika). Mety tsy ho tsikaritra izany amin'ny alàlan'ny fanaraha-maso ny programa raha tsy voarindra mba hahitana fanararaotana ny protocol HTTP ho an'ny tanjona hacker.
Tianao ve ny hanampy anay amin'ny fitadiavana tonelina DNS? Jereo ny Module ary andramo maimaim-poana !
Source: www.habr.com