DNSLOG平台搭建及其原理解析

DNSLOG平台搭建及其原理分析

一、DNS基本概念

0x1：DNS中不同域名类型概念

DNS的全称是Domain Name System（网络名称系统），它作为将域名和IP地址相互映射，使人更方便地访问互联网。当用户输入某一网址如littlehann.com，网络上的DNS Server会将该域名解析，并找到对应的真实IP如101.37.97.51，使用户可以访问这台服务器上相应的服务。

DNSlog就是存储在DNS Server上的域名访问信息，它记录着用户对域名littlehann.com等的访问信息，类似日志文件。

按照解析类型分类，DNS域名有如下几种：

• A记录：A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录。就是说：通过A记录，大家可以设置自己的不同域名转到不同的IP上去。如：
  • www.dns.la转到IP 116.255.202.1
  • web.dns.la 转到IP 116.255.202.11
  • mail.dns.la 转到IP 116.255.202.111
• MX记录（Mail Exchange）：邮件交换记录，用户可以将该域名下的邮件服务器指向到自己的Mail Server上，然后即可自行操作控制所有的邮箱设置。
• CNAME（Canonical Name）记录：通常称别名解析，可以将注册的不同域名都转到一个域名记录上，由这个域名记录统一解析管理，与A记录不同的是，CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址。
• URL（Uniform Resource Locator）转发：网址转发功能，如果您没有一台独立的服务器（也就是没有一个独立的IP地址）或者您还有一个域名B，您想访问A域名时访问到B域名的内容，这时您就可以通过URL转发来实现。URL转发可以转发到某一个目录下，甚至某一个文件上。而CNAME是不可以，这就是URL转发和CNAME的主要区别所在。
• NS（Name Server）：NS记录是域名服务解析记录，NS用来指定该域名由哪个DNS服务器来进行解析，可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。
• AAAA记录：IPV6解析记录，该记录是将域名解析到一个指定的IPV6的IP上。

0x2：DNS解析顺序

当客户端对域名发起访问时，会将解析请求发送给递归解析服务器，递归服务器会代替客户端进行全球递归查询。

• 首先递归服务器会请求根域名服务器，根域名服务器根据域名后缀，告知对应的顶级域名服务器
• 递归服务器再向顶级服务器发起请求，顶级域名服务器告知对应的权威服务器
• 递归服务器向权威服务器发起请求，权威服务器告知解析结果
• 递归服务器将结果告知客户端，客户端完成访问

以上是DNS解析的标准流程，但是由于各种DNS缓存的存在，导致DNS解析环节更为复杂。

所谓DNS缓存是指DNS返回正确的IP地址之后，系统会将这个结果临时储存起来，并为缓存设定一个失效时间（TTL值），在TTL失效前，当再次访问这个网站，系统就会直接从DNS 缓存中将结果返回，而不必再次委托递归服务器进行全球解析查询，加快了DNS解析的流程。

当然TTL值失效后，系统还会自动再次询问DNS服务器以获取最新的解析结果。

按照缓存位置的不同，DNS缓存可以分为以下几类：

• （1）浏览器DNS缓存：浏览器会根据一定频率缓存DNS记录
• （2）本地DNS缓存：如果浏览器缓存中找不到解析记录，就会去询问操作系统中的缓存
• （3）本地HOSTS文件：HOSTS是记录域名与IP地址一一映射关系的本地文件，Windows系统中位于C:\Windows\System32\drivers\etc
• （4）路由器DNS缓存：我们常用的路由器也带有自动缓存功能，路由器DNS被篡改会造成域名劫持，将访问网址定位到另外一个服务器
• （5）递归服务器缓存：递归服务器在将解析结果告知客户端的同时，将记录缓存下来，当下次请求同一个域名时，直接会将记录返回，而无需再进行全球查询

DNS解析顺序是“先查缓存，再递归解析”，查询顺序为：浏览器缓存—系统缓存—路由器缓存—递归服务器缓存—递归查询。

参考链接：

https://developer.aliyun.com/article/331012

二、DNSlog安全风险分析

0x1：为什么需要DNSlog平台

在某些情况下，无法利用漏洞获得回显。但是，如果目标可以发送DNS请求，则可以通过DNS log方式将想获得的数据外带出来（oob）。

DNS log常用于以下情况：

• SQL盲注
• 无回显的命令执行
• 无回显的SSRF

0x2：为什么能够出现DNSlog平台这种技术

首先，DNS服务是互联网核心基础设施之一，DNS query外连端口和外连请求几乎在整个互联网上都是默认开放的，这对攻击者来说就是一个绝佳地稳定oob通道。

其次，因为DNS解析服务整体上看是一个分布式地架构，NS server则是这个分布式架构的基础设施，同时攻击者可以很容易地创建自己的NS server，从而给攻击者利用DNS递归查询流程作为oob信息收集提供了极大地便利。

攻击者劫持受害机器的执行流后，发起DNS query查询，查询的域名是攻击者自有的A记录域名，同时由于攻击者声明了该A记录的NS记录，该NS记录指向的是攻击者控制的一台域名服务器，所以根路由会将该DNS query查询发送到攻击者控制的域名服务器上（也就是运行了dnslog程序的机器上），至此完成了oob信道传递过程。

三、DNSlog平台搭建

0x1：前期准备

• 一台公网可访问机器：运行DNS解析服务程序，作为DNS域名服务器，接受来自53端口的DNS解析请求，并将DNS query继续递归查询，完成最终查询，相当于一个DNS query proxy的作用。
• 一个有效域名

注意，上述公网可访问机器必须开放UDP 53端口，以确保该机器可以接受DNS查询以及进行DNS递归查询。

0x2：域名解析准备

• 添加一个A记录，将域名xxx指向公网可访问机器xx。
• 添加一个NS记录，将NS记录指向A记录。

通过制定NS记录，便指定了解析对应A记录的DNS域名服务器，以此完成了DNS oob的信道搭建。

0x3：搭建充当NS Server的DNSlog Server

下载地址：https://github.com/lanyi1998/DNSlog-GO/releases

下载对应版本并解压，

wget https://github.com/lanyi1998/DNSlog-GO/releases/download/1.5.6/dnslog-linux.zip

编辑配置文件，

启动服务，

./dnslog-linux

参考链接：

https://github.com/aboul3la/Sublist3r
https://blog.csdn.net/m0_51468027/article/details/125734951
https://cloud.tencent.com/developer/article/1948254
https://www.f12bug.com/archives/dnslog%E5%B9%B3%E5%8F%B0%E6%90%AD%E5%BB%BA
https://github.com/lanyi1998/DNSlog-GO/releases/tag/1.5.6

到此这篇关于DNSLOG平台搭建及其原理分析 的文章就介绍到这了,更多相关DNSLOG平台搭建内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！