Tunnelka DNS wuxuu u beddelaa nidaamka magaca domainka oo noqda hub loogu talagalay tuugada. DNS asal ahaan waa buugga taleefanka ee weyn ee internetka. DNS sidoo kale waa borotokoolka hoose ee u oggolaanaya maamulayaasha inay weydiiyaan xogta server-ka DNS. Ilaa hadda wax walba waxay u muuqdaan kuwo cad. Laakiin tuugada dhagaraysan waxay xaqiiqsadeen inay si qarsoodi ah ula xiriiri karaan kombuyutarka dhibbanaha iyagoo ku duri doona amarrada xakamaynta iyo xogta nidaamka DNS. Fikraddaani waa aasaaska tunnelka DNS.
Sida tunnelka DNS u shaqeeyo
Wax kasta oo internetku waxa uu leeyahay borotokool u gaar ah. Taageerada DNS waa mid fudud nooca jawaabta codsiga. Haddii aad rabto inaad aragto sida ay u shaqeyso, waxaad socodsiin kartaa nslookup, oo ah aaladda ugu weyn ee samaynta weydiimaha DNS. Waxaad codsan kartaa ciwaan adiga oo si fudud u cadeeya magaca domainka aad xiisaynayso, tusaale ahaan:
Xaaladeena, borotokoolku wuxuu kaga jawaabay cinwaanka IP-ga ee domainka. Marka la eego borotokoolka DNS, waxaan sameeyay codsi cinwaan ama codsi la yiraahdo. Nooca "A". Waxaa jira noocyo kale oo codsiyo ah, nidaamka DNS wuxuu ka jawaabi doonaa qaybo kala duwan oo xog ah, taas oo, sida aan arki doono dambe, waxaa laga faa'iideysan karaa hackers.
Hal hab ama mid kale, xudunta u ah, nidaamka DNS wuxuu ka walaacsan yahay gudbinta codsiga serverka iyo jawaabteeda dib ugu celinta macmiilka. Maxaa dhacaya haddii weeraryahanku ku daro fariin qarsoon gudaha codsi magac domain? Tusaale ahaan, halkii laga geli lahaa URL sharci ah oo dhammaystiran, wuxuu geli doonaa xogta uu rabo inuu gudbiyo:
Aynu nidhaahno weeraryahan ayaa maamula server-ka DNS. Waxay markaa gudbin kartaa xogta - xogta gaarka ah, tusaale ahaan - iyada oo aan qasab ahayn in la ogaado. Ka dib oo dhan, waa maxay sababta weydiinta DNS ay si lama filaan ah u noqon lahayd wax aan sharci ahayn?
Xakamaynta serverka, jabsadayaashu waxay beenin karaan jawaabaha waxayna xogta dib ugu soo celin karaan nidaamka bartilmaameedka. Tani waxay u oggolaaneysaa inay gudbiyaan fariimaha qarsoon ee qaybaha kala duwan ee jawaabta DNS ee malware-ka mashiinka cudurka qaba, oo leh tilmaamo sida raadinta gudaha gal gaar ah.
Qaybta "tunneling" ee weerarkan waa xogta iyo amarada ka soo ogaanshaha hababka la socodka. Hackers waxay isticmaali karaan base32, base64, iwm. jilayaasha, ama xitaa sir xogta Codaynta noocan oo kale ah waxay dhaafi doontaa iyada oo aan la ogaanin isticmaalka fudud ee ogaanshaha khatarta ah ee baadhaya qoraalka cad.
Oo tani waa tunnel-ka DNS!
Taariikhda weerarrada tunnel-ka DNS
Wax kastaa waxay leeyihiin bilow, oo ay ku jiraan fikradda afduubka borotokoolka DNS ujeedooyinka jabsiga. Inta aan sheegi karno, kii hore Weerarkan waxaa fuliyay Oskar Pearson oo ku jiray liiska boostada ee Bugtraq bishii Abriil 1998.
Sannadkii 2004tii, tunnelka DNS waxaa lagu soo bandhigay Black Hat sida farsamada jabsiga ee soo jeedinta Dan Kaminsky. Sidaa darteed, fikradda si dhakhso ah ayey u kortay oo noqotay qalab weerar oo dhab ah.
Maanta, tunnelka DNS wuxuu ku yaal meel kalsooni leh khariidada (iyo bloggers ammaanka macluumaadka ayaa badanaa la waydiiyaa inay sharaxaan).
Ma maqashay ? Kani waa olole socda oo ay wadaan kooxaha dambiilayaasha internetka β oo ay u badan tahay in dawladu kafaalo-qaado - si ay u afduubaan server-yada DNS ee sharciga ah si ay codsiyada DNS ugu wareejiyaan adeegyadooda. Tani waxay ka dhigan tahay in ururadu heli doonaan cinwaano IP "xun" oo tilmaamaya bogag shabakad been abuur ah oo ay maamulaan haakarisku, sida Google ama FedEx. Isla mar ahaantaana, weeraryahanadu waxay awood u yeelan doonaan inay helaan xisaabaadka isticmaalaha iyo furayaasha sirta ah, kuwaas oo iyaga oo aan ogayn u geli doona boggaga been abuurka ah. Tani ma aha tunnel-ka DNS, laakiin waa natiijo kale oo nasiib darro ah oo ka timid haakarisku koontaroolaya server-yada DNS.
Hanjabaadaha tunnelka DNS
Tunnel-ka DNS waa sida tilmaame bilowga marxaladda wararka xun. Kuwee? Waxaan horay uga soo hadalnay dhowr, laakiin aan qaabeyno iyaga:
- Soo saarista xogta (exfiltration) - Hackers si qarsoodi ah ugu gudbiya xogta muhiimka ah DNS. Tani hubaal maahan habka ugu waxtarka badan ee looga wareejin karo macluumaadka kombiyuutarka dhibbanaha - iyadoo la tixgelinayo dhammaan kharashyada iyo codeynta - laakiin way shaqeysaa, isla markaana - si qarsoodi ah!
- Taliska iyo xakamaynta (oo loo soo gaabiyo C2) - Haakarisku waxay adeegsadaan borotokoolka DNS si ay ugu soo diraan amarada xakamaynta fudud iyada oo loo marayo, dheh, (Remote Access Trojan, oo loo soo gaabiyo RAT).
- Tunnelka IP-over-DNS - Tani waxay u ekaan kartaa waalan, laakiin waxaa jira adeegyo fulinaya xirmo IP ah oo ku saabsan codsiyada borotokoolka DNS iyo jawaabaha. Waxay samaysaa wareejinta xogta iyadoo la adeegsanayo FTP, Netcat, ssh, iwm. hawl yar oo fudud. Aad u xun!
Helitaanka tunnelka DNS
Waxaa jira laba hab oo waaweyn oo lagu ogaanayo xadgudubka DNS: falanqaynta culeyska iyo falanqaynta taraafikada.
at falanqaynta culeyska Kooxda difaacanaysa waxay raadisaa cillado ku jira xogta dib loo soo diray iyo kuwa lagu ogaan karo hababka tirakoobka: magacyada martida loo yahay ee qariibka ah, nooca diiwaanka DNS oo aan la isticmaalin inta badan, ama codeyn aan caadi ahayn.
at falanqaynta gaadiidka Tirada codsiyada DNS ee goob kasta waxaa lagu qiyaasaa marka la barbar dhigo celceliska tirakoobka. Weeraryahanada isticmaalaya tunnelka DNS waxay dhalin doonaan xaddi badan oo taraafikada serverka. Aragti ahaan, aad ayuu uga sarreeyaa fariinta caadiga ah ee DNS. Taasna waxay u baahan tahay in lala socdo!
Adeegyada tunneling DNS
Haddii aad rabto in aad samaysato lacagtaada oo aad aragto sida ugu wanaagsan ee shirkaddaadu u ogaan karto ugana jawaabi karto hawshan, waxaa jira adeegyo badan oo tan ah. Dhammaantood waxay ku socon karaan tunnel-ka qaabka IP-over-DNS:
- - laga heli karo goobo badan (Linux, Mac OS, FreeBSD iyo Windows). Kuu ogolaanayaa inaad ku rakibto qolof SSH inta u dhaxaysa bartilmaameedka iyo kombuyuutarrada kantaroolka. Taasi waa mid wanaagsan dejinta iyo isticmaalka Iodine.
- - Mashruuca tunnel-ka DNS ee Dan Kaminsky, oo ku qoran Perl. Waxaad ku xidhi kartaa adigoo isticmaalaya SSH.
- - "DNS tunnel-ka oo aan ku xanuunin." Wuxuu abuuraa kanaalka C2 sir ah si loogu diro/soo dejiyo faylalka, loo soo saaro qolofka, iwm.
Adeegyada la socodka DNS
Hoos waxaa ku yaal liis dhowr adeeg oo waxtar u yeelan doona ogaanshaha weerarrada tunnel-ka:
- - module Python oo u qoran MercenaryHuntFramework iyo Mercenary-Linux. Wuxuu akhriyaa .pcap faylalka, soosaaraa weydiimaha DNS oo wuxuu sameeyaa khariidad goobeed si uu uga caawiyo falanqaynta.
- β Utility Python oo akhriya .pcap faylalka iyo falanqaynta farriimaha DNS.
Micro FAQ ee tunneling DNS
Macluumaad waxtar leh oo qaab su'aalo iyo jawaabo ah!
S: Waa maxay tunnel-ku?
Ku saabsan: Si fudud waa hab lagu wareejiyo xogta borotokool jira. Hab-maamuuska hoose wuxuu bixiyaa kanaal go'an ama tunnel, kaas oo markaa loo isticmaalo in lagu qariyo macluumaadka dhabta ah ee la gudbiyo.
S: Goorma ayaa la qaaday weerarkii ugu horreeyay ee tunnel-ka DNS?
Ku saabsan: Ma naqaano! Haddii aad ogtahay, fadlan nala soo socodsii. Inta aan og nahay, dooddii ugu horreysay ee weerarka waxaa bilaabay Oscar Piersan oo ku jira liiska boostada Bugtraq bishii Abriil 1998.
S: Waa maxay weerarrada la mid ah tunnelka DNS?
Ku saabsan: DNS waa ka fog yahay borotokoolka kaliya ee loo isticmaali karo tunnel-ka. Tusaale ahaan, amarka iyo kantaroolka (C2) malware wuxuu inta badan adeegsadaa HTTP si uu u qariyo kanaalka isgaarsiinta. Sida tunnelka DNS, hackers-ku wuxuu qariyaa xogtiisa, laakiin kiiskan wuxuu u eg yahay taraafikada biraawsarkaaga caadiga ah ee gelaya goob fog (oo uu xakameeyo weerarka). Tani waxay noqon kartaa mid aan la ogaan karin barnaamijyada la socodka haddii aan loo qaabeynin inay gartaan ku xadgudubka borotokoolka HTTP ee ujeedooyinka hackerka.
Ma jeclaan lahayd inaan kaa caawino ogaanshaha tunnel DNS? Fiiri cutubkayaga oo bilaash ku tijaabi !
Source: www.habr.com