DNS檢測的特征以及BotDAD安裝與使用

這篇文章主要介紹“檢測的特征以及BotDAD安裝與使用”，在日常操作中，相信很多人在DNS檢測的特征以及BotDAD安裝與使用問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”DNS檢測的特征以及BotDAD安裝與使用”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

這篇文章主要介紹“檢測的特征以及BotDAD安裝與使用”，在日常操作中，相信很多人在DNS檢測的特征以及BotDAD安裝與使用問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”DNS檢測的特征以及BotDAD安裝與使用”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

一、基于DNS的隱蔽通信

創(chuàng)新互聯(lián)是專業(yè)的浉河網(wǎng)站建設(shè)公司，浉河接單;提供網(wǎng)站設(shè)計、成都網(wǎng)站制作,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行浉河網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

企業(yè)網(wǎng)絡(luò)經(jīng)常面臨網(wǎng)絡(luò)攻擊者竊取有價值和敏感數(shù)據(jù)的威脅。復(fù)雜的攻擊者越來越多地利用DNS通道來泄露數(shù)據(jù)，以及維護(hù)惡意軟件的隧道C&C（命令和控制）通信。這是因為DNS對于幾乎所有應(yīng)用程序來說都是如此重要的服務(wù)，從本地計算機(jī)到Internet的任何通信（不包括基于靜態(tài)IP的通信）都依賴于DNS服務(wù)，限制DNS通信可能會導(dǎo)致合法遠(yuǎn)程服務(wù)的斷開，因此，企業(yè)防火墻通常配置為允許UDP端口53（由DNS使用）上的所有數(shù)據(jù)包，即DNS流量通常允許通過企業(yè)防火墻而無需深度檢查或狀態(tài)維護(hù)。從攻擊者的角度來看，這使得DNS協(xié)議成為數(shù)據(jù)泄露地隱蔽通信通道。

攻擊者利用DNS的一種方法是注冊域名（例如，fengrou2019.club），以便攻擊者在主機(jī)受害者中的惡意軟件可以將有價值的私人信息（例如信用卡號，登錄密碼或知識產(chǎn)權(quán)）編碼為形式為arbitrary-string.fengrou2019.club的DNS請求。此DNS請求由全局域名系統(tǒng)中的解析器轉(zhuǎn)發(fā)到fengrou2019.club域的權(quán)威（在攻擊者的控制下），后者又向主機(jī)受害者發(fā)送響應(yīng)。這為攻擊者在主受害者及其命令和控制中心之間提供了低速但隱蔽的雙向通信信道。如圖所示為Bot在獲取控制命令后回傳竊密信息的流程圖。

DNS這種穿透防火墻的能力為攻擊者提供了一個隱蔽的通道，盡管是低速通道，通過將其他協(xié)議（例如，SSH，F(xiàn)TP）隧道傳輸?shù)矫詈涂刂浦行?，可以通過該通道泄露私有數(shù)據(jù)并保持與惡意軟件的通信?，F(xiàn)代惡意軟件和網(wǎng)絡(luò)攻擊在很大程度上依賴于DNS服務(wù)，使其活動可靠且難以跟蹤。例如---，2017年發(fā)現(xiàn)的遠(yuǎn)程訪問木馬DNSMessenger使用DNS查詢和響應(yīng)在受感染的主機(jī)上執(zhí)行惡意PowerShell命令。

二、DNS檢測

監(jiān)控網(wǎng)絡(luò)DNS活動和阻止可疑域已被證明是抵御此類攻擊的有效技術(shù)。對于分析DNS流量以識別惡意網(wǎng)絡(luò)活動，人們提出了很多檢測方法，比如使用字符頻率分析的DNS隧道檢測方法等。

對于任何組織用以對抗各種安全威脅來說，在企業(yè)級水平上的單點Bot檢測至關(guān)重要。本文要介紹的DNS檢測工具BotDAD，它就是部署在企業(yè)的網(wǎng)絡(luò)邊界上進(jìn)行單點Bot檢測的，它通過觀察主機(jī)在一段時間內(nèi)的DNS指紋，嘗試尋找域正常的主機(jī)行為相當(dāng)不同的異常行為，從而識別受感染的主機(jī)。

本文以BotDAD工具為例，將對BotDAD進(jìn)行DNS檢測的技術(shù)分析。

1. DNS檢測特征

BotDAD中統(tǒng)計分析了15種DNS的行為特征，如下:    

通過對BotDAD工作做源碼解析，找到其核心類與核心函數(shù)，其中便對以上15種DNS特征進(jìn)行了使用。

核心類：BotDAD/DnsAnalyser.py/classs Network

核心函數(shù)：BotDAD/DnsAnalyser.py/classs Network/find_anomaly()

2.BotDAD安裝與使用

2.1 安裝：

依賴python版本：python2.7

系統(tǒng)環(huán)境：windows

預(yù)安裝：

2.2 數(shù)據(jù)集準(zhǔn)備：

BotDAD提供了3種預(yù)備數(shù)據(jù)集的方式：

2.2.1 抓包、過濾、切片

（1）使用wireshark抓包

（2） 包過濾命令

tshark.exe -r "input.pcap" -F pcap -Y dns -t ad -w"big.pcap"     #windows

或

tshark -r "input.pcap" -F pcap -Y dns -t ad -w"big.pcap"         #linux

（3）切片命令

editcap.exe -F pcap -i 3600"big.pcap" "slice.pcap"              #windows

或

editcap -F pcap -i 3600"big.pcap" "slice.pcap"                  #linux

2.2.2 直接可用：20160421_150521.pcap

Manmeet Singh（BotDAD論文作者）提供，可直接使用。

鏈接：https://drive.google.com/file/d/14cRY6aEQz_xVsfySBb4Ik6mPYDLoIc88/view?usp=sharing

2.2.3 直接可用：校園DNS網(wǎng)絡(luò)流量

數(shù)據(jù)集由BotDAD論文作者提供。

2016年4月至5月期間，由超過4000個活躍用戶組成的校園DNS網(wǎng)絡(luò)流量（在高峰負(fù)載時間內(nèi)）為10個隨機(jī)日，可在數(shù)據(jù)集中的每小時PCAP文件中獲得。

（由于10GB數(shù)據(jù)限制，目前只能上傳Day0（Full）和Day1（部分）的流量）數(shù)據(jù)集鏈接為：

https://data.mendeley.com/datasets/zh4wnddzxy/1

2.3 使用前的問題與解決：

2.3.1 包導(dǎo)入問題

下載后，嘗試直接運(yùn)行main.py，遇到一個問題：

由于問題出現(xiàn)在pcapparser.py，而在BotDAD開源的項目中，公布的是PcapParser.pyc文件，因此需要pyc反編譯，本文使用uncompyle實現(xiàn)反編譯。

通過反編譯得到PcapParser.py，利用python2命令行環(huán)境驗證，發(fā)現(xiàn)問題就出在這里：

2.3.2 問題解決

查看win-inet-pton的API，發(fā)現(xiàn)其中提供的對于inet_ntop的使用方法與代碼中的使用方法不太一樣。

檢索反編譯的PcapParser.py代碼中，inet_ntop出現(xiàn)的地方，發(fā)現(xiàn)只有兩處：

一處是文件導(dǎo)入的地方：

另一處的用法其實與win-inet-pton的API中提供的用法是一致的：

所以我這邊嘗試修改PcapParser.py代碼，然后用PcapParser.py替代PcapParser.py用于BotDAD的運(yùn)行：

修改前，原inet_ntop的導(dǎo)入方式：

修改后，直接導(dǎo)入win_inet_pton即可：

完成替換之后，再運(yùn)行main.py，如圖，運(yùn)行成功，問題解決：

一開始運(yùn)行，首先在main.py的上一級目錄中生成3個文件：

執(zhí)行到console>的耗時還是挺長的，大概7分鐘。

2.4  BotDAD的使用

BotDAD的使用命令總結(jié)如下：

2.4.1l命令

我這里使用l命令，主機(jī)列表包含571個主機(jī)。

2.4.2 m命令    

輸入主機(jī)列表中的一個IP地址，無返回，在main.py的同級目錄下生成文件：

2.4.3 p命令

生成圖像，plot DNS query timeline：

2.4.4 d/D命令

主機(jī)IP后面出現(xiàn)的數(shù)字與主機(jī)列表中最后一列的數(shù)字對應(yīng)一致。

D命令是將d展示部分做保存。

用D命令：    

2.4.5 h命令

saving的過程可能會比較慢。

好長時間之后：

在main.py的上一級目錄下生成html文件:

2.4.6x命令

.csv：逗號分隔值文件格式。

在main.py的上一級目錄下生成.pcap.csv文件：

2.4.7 F命令

很多主機(jī)被列出來，說明請求www.google.com的主機(jī)非常多。

找一個特殊的URL，與前面執(zhí)行d命令中的截圖中的數(shù)據(jù)剛好對應(yīng)：

2.4.8 f命令

2.4.9 q命令

分享名稱：DNS檢測的特征以及BotDAD安裝與使用
文章網(wǎng)址：http://muchs.cn/article16/sjjgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)、企業(yè)建站、做網(wǎng)站、網(wǎng)站制作、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)