网际，MAC，DNS，僵木蠕，木马，APT，dns隐蔽隧道，.pcap，开源情报，元数据，带外管理，磁盘阵列RAID，DRAC，ARP，充分必要条件，

网际，MAC，DNS，僵木蠕，木马，APT，dns隐蔽隧道，.pcap，开源情报，元数据，带外管理，磁盘阵列RAID，DRAC，ARP，充分必要条件，

网际网络是指在广域网与广域网之间互相连接的网络，包括不同类型的协议的网络的互联，比如TCp/IP网络和X.25网络的互联。

 

现在咱们通用的因特网（INTERNET）就是很明显的网际网络，因为因特网中包含着各种不同类型的网络。

 

MAC（Media Access Control或者Medium Access Control）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC地址。因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。

 

MAC地址是网卡决定的，是固定的

 

 

什么是dns

什么是dns安全可视化。

dns安全 是什么

 

 

dns 域名系统。  Domain Name System

 

什么是域名。

 

 

dns安全可视化 就是 将 dns的安全分析，用直观的界面，显示出来。

 

 

什么是域名。

 

域名是 因特网上 的 一台计算机或计算机组的名称。  由一串用“点”分隔的字符组成。

 

 如在浏览器地址栏输入的www.baidu.com，www.hao123.com等我们称之为域名，域名即网站名称。如果说互联网的本质是连接一切，域名则为“一切”提供了身份标识功能，而IP为“一切”提供了寻址功能。域名和IP的关系可类比每个人的姓名与住址。

 

 

top、.xyz、.com、.cn、.edu  这些是域名后缀。

 

IP地址是Internet主机的作为路由寻址用的数字型标识，人不容易记忆。因而产生了域名。

 

根域、顶级域、二级域、子域   域名采用层次化的方式进行组织，每一个点代表一个层级。一个域名完整的格式为www.baidu.com.  最末尾的点代表根域，常常省略；com即顶级域（TLD）；baidu.com即二级域。依次类推，还有三级域、四级域等等。子域是一个相对的概念，baidu.com是com的子域，www.baidu.com是baidu.com的子域。

 

域名系统  即DNS（Domain NameSystem）。DNS主要解决两方面的问题：域名本身的增删改查以及域名到IP如何映射。

 

 

 

什么是域名系统。

 

因特网上作为域名和IP地址相互映射的一个分布式数据库，

 

分布式是 拆分成多个子业务 分到多个机器上。

 

 

正向解析  查找域名对应IP的过程。

 

反向解析  查找IP对应域名的过程。

 

解析器  即resolver，处于DNS客户端的一套系统，用于实现正向解析或者反向解析。

 

 

何为根域名服务器？根域名服务器是架构因特网所必须的基础设施，主要用来管理互联网的主目录，全世界只有13台，这13台根域名服务器中名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。

 

权威DNS  处于DNS服务端的一套系统，该系统保存了相应域名的权威信息。权威DNS即通俗上“这个域名我说了算”的服务器。

 

递归DNS  又叫local dns。递归DNS可以理解为是一种功能复杂些的resolver，其核心功能一个是缓存、一个是递归查询。收到域名查询请求后其首先看本地缓存是否有记录，如果没有则一级一级的查询根、顶级域、二级域……直到获取到结果然后返回给用户。日常上网中运营商分配的DNS即这里所说的递归DNS。

 

转发DNS  转发DNS是一种特殊的递归。如果本地的缓存记录中没有相应域名结果时，其将查询请求转发给另外一台DNS服务器，由另外一台DNS服务器来完成查询请求。

 

公共DNS  公共DNS属于递归DNS。其典型特征为对外一个IP，为所有用户提供公共的递归查询服务。

 

域名查询过程

 

以用户在浏览器输入www.baidu.com为例，我们详细说明一下实际域名查询过程：

 

1.  用户输入www.baidu.com，浏览器调用操作系统resolver发起域名查询，此处不考虑浏览器的域名缓存；resolver封装一个dns请求报文，并将其发给运营商分配的local dns地址（或者用户自己配置的公共dns）；

 

2. local dns查询缓存，如果命中则返回响应结果；否则向根服务器发起查询；

 

3.  根服务器返回com地址。每一层级的DNS服务器都有缓存，实际都是先查缓存，没有缓存才返回下级域，此处不再重复；

 

4. local dns查询com。com返回baidu.com地址；

 

5. local dns查询baidu.com，baidu.com返回www.baidu.com对应记录结果。

 

 

理论上讲域名查询有两种方式：

 

迭代查询  A问B一个问题，B不知道答案说你可以问C，然后A再去问C，C推荐D，然后A继续问D，如此迭代…

 

递归查询  A问B一个问题，B问C，C问D… 然后D告诉C，C告诉B，B告诉A

 

 

DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain Name，而Server必须要回答此DomainName的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。

 

 

域名安全威胁

 

1.安全事件

 

尽管已经有超过30年历史，DNS仍然是整个互联网中最脆弱的一环。下面盘点一下近年来比较严重的DNS安全事件。

 

2009年5月19日南方六省断网事件。一起由于游戏私服私斗打挂dnspod，殃及暴风影音域名解析，然后进一步殃及电信local dns，从而爆发六省大规模断网的事故。事件影响深远。

 

2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军（IranianCyber Army）劫持，然后导致www.baidu.com无法访问。事件持续时间8小时，是百度成立以来最严重的故障事件，直接经济损失700万人民币。

 

2013年5月4日DNS劫持事件。由于主流路由器厂商安全漏洞而导致的全网劫持事件，号称影响了800万用户。

 

2013年8月25日CN域被攻击事件。cn域dns受到DoS攻击而导致所有cn域名无法解析事故。

 

2014年1月21日全国DNS故障。迄今为止，大陆境内发生的最为严重的DNS故障，所有通用顶级域（.com/.net/.org）遭到DNS污染，所有的域名全被指向了位于美国的一个IP地址（65.49.2.178）。

 

2.攻击手段

 

query flood 通过不断的发DNS请求报文来耗尽目的DNS资源，形成拒绝服务。具体分类包括源IP是否随机以及目的域名是否随机等。

 

response flood  通过不断的发DNS响应报文来达到拒绝服务的目的。

 

udp flood DNS底层协议为UDP，基于UDP的各种flood攻击也都会给DNS带来危害。

 

折射攻击（反射攻击）  伪造源IP为第三方，借助DNS的回包来达到DoS掉第三方的目的。属于“借刀杀人”的手段。

 

放大攻击  折射攻击的一种。通过恶意的构造响应报文来达到流量放大作用，从而对第三方形成带宽攻击。请求报文几十字节，响应报文几千字节，意味着可以形成百倍以上流量放大系数。

 

缓存投毒  每一台DNS都有缓存，缓存投毒指的是通过恶意手段污染DNS缓存，形成DNS劫持或者拒绝服务。

 

漏洞攻击  利用各种漏洞来达到入侵并控制DNS服务器目的。漏洞不仅仅指DNS程序本身的，也有可能是机器或者网络其它的“问题点”。

 

社会工程学手段  所有的系统都需要人的维护，而人永远是安全中最脆弱的一环。

 

 

常见的DNS攻击包括：

 

1) 域名劫持

 

　　通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。

 

　　这显然是DNS服务提供商的责任，用户束手无策。

 

　　2) 缓存投毒

 

　　3)DDOS攻击

 

         DDoS（Distributed Denial of service）

 

         发起大量域名查询请求

 

分布式拒绝服务（DDos）

 

DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。

 

 

 

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

 

 

　　一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。

 

　　4) DNS欺骗

 

　　DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

 

　　原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

 

　　现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

 

　　DNS欺骗

 

　　在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录

 

 

 

国内75%以上的家用宽带路由器存在严重的安全隐患：用户浏览网页的时候其DNS就有可能被黑客篡改， DNS被篡改之后，黑客可轻易地骗取用户的帐号密码，威胁您的网游、微博、QQ、淘宝、网银安全！

 

技术：

 

家用宽带路由器厂商为节省成本，所有设备都采用相同的用户名和口令（例如2个都是admin），而绝大部分用户从来不修改此默认的用户名和口令，黑客正是利用这一特点而在网页中嵌入修改宽带路由器DNS的代码。

 

 

黑客攻击DNS主要利用路由器“弱密码”漏洞。据360安全中心发布的“路由器安全报告”显示，国内30.2%的路由器存在“弱密码”漏洞，只要访问一个带有攻击代码的恶意网页，DNS就会自动被篡改为黑客指定的DNS。全国4.7%的路由器DNS曾经遭黑客篡改。

 

 

 

 

在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。

 

 

DNS 是互联网最薄弱的关键技术环节，电信运营商的DNS 故障等同于断网，互联网企业的 DNS 故障等同于该企业的网站中断。

 

 

远控木马

识别访问“远控”木马的网络流量，及时发现网络内可能存在的感染木马的主机，阻断其与“远控”中心服务器、下载服务器的连接

 

勒索软件

识别勒索软件产生的网络流量，及时报警并阻断勒索软件的连接尝试，避免可能产生的损失

 

APT攻击

识别对APT攻击相关网站的访问，保证网络内部数据安全

 

DNS攻击

识别网络外发起的DNS攻击流量，及时阻断，保证网络DNS服务器和网络内主机的正常运行

 

敏感数据泄漏

发现可能存在的内部敏感数据泄漏，并追查数据流向

 

DGA

识别基于DGA技术生成的恶意域名，阻止未知病毒活动。

 

FFSN

识别Fast-Flux网络访问

 

DNS流量携带恶意软件

发现伪装成DNS流量的网络交互行为

 

非DNS协议流量

发现在53端口的非DNS流量

 

挖矿机

识别BitCoin挖矿行为产生的网络流量，进而发现网络内可能存在的病毒感染

 

暗网流量

发现Tor网络流量，预警可能存在的不规范网络行为

 

无效域名访问

识别对无效域名的访问，以及背后可能存在的病毒感染或攻击行为

 

僵木蠕

发现僵木蠕活动痕迹

 

勒索软件

发现勒索软件活动痕迹

 

网页挂马攻击

用户访问被挂马的网站，会导致在不知情的情况下自动下载并执行恶意代码。

 

 

 

僵木蠕

 

以“僵木蠕”（僵尸网络、木马、蠕虫）为代表的网络威胁

 

僵尸网络是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络，我们将之称之为僵尸网络，botnet。

 

对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。下载时只用一种杀毒软件查不出来。

专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的主人根本不晓得自己已被选中，任人摆布。

 

 

 

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。

 

它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

 

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

 

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

 

 

与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

 

 

APT攻击

 

APT（Advanced Persistent Threat）是指高级持续性威胁

 

DGA（域名生成算法）是一种利用随机字符来生成域名，从而逃避域名黑名单检测的技术手段。

 

dns隐蔽隧道

 

利用DNS 隧道传递数据和命令来绕过防火墙

利用DNS查询过程建立起隧道，传输数据。

 

 

 

BIND(Berkeley Internet Name Domain)是是最常用的DNS服务软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。

 

 

 

 

数据采集时间	序号	请求/响应	源 IP 地址	属地	目的 IP 地址	属地
2017-10-15 13:06:02	4982	0	10.0.49.3	保留	168.95.1.1	台湾
2017-10-15 13:06	4982	1	168.95.1.1	台湾	10.0.49.3	保留

 

源端口	目的端口	方向	协议	包长
14341	53	上行	UDP	256
53	14341	下行	UDP	33155

 

请求/响应数据	类型	类别	TTL
teredo.ipv6.microsoft.com	A	1	0
teredo.ipv6.microsoft.com	A	1	0

 

请求类型A, 返回的不是ip地址，仍然是域名。可疑。

TTL 为0 ，可疑 隐蔽隧道。

一定时间内不间断的给某个敏感域名机器通信。

 

 

 

 

 

 

===

.pcap 数据包 文件

 

利用libpcap抓取数据包

 

pcap文件格式是常用的数据报存储格式，包括wireshark在内的主流抓包软件都可以生成这种格式的数据包

 

开源情报（open source intelligence）是指从公众媒体上收集和挖掘情报，

 

元数据（Metadata），又称中介数据、中继数据，为描述数据的数据（data about data），主要是描述数据属性（property）的信息，

 

==

带外管理

对机房网络设备（路由器、交换机、防火墙等），服务器设备（小型机、服务器、工作站）以及机房电源  进行集中化整合管理

带外管理系统（网络综合管理系统）由控制台服务器(网络设备管理维护系统）、远程KVM（计算机设备管理维护系统）、电源管理器（机房电源管理系统）和网络集中管理器（网络集中综合管理系统）四部分组成

 

=

假设A是条件，B是结论

（1）由A可以推出B，由B可以推出A，则A是B的充分必要条件(  )，或者说A的充分必要条件是B。

（2）由A可以推出B，由B不可以推出A，则A是B的充分不必要条件(  )

（3）由A不可以推出B，由B可以推出A，则A是B的必要不充分条件(  )

（4）由A不可以推出B，由B不可以推出A，则A是B的既不充分也不必要条件(  )

=

磁盘阵列（Redundant Arrays of Independent Disks，RAID），

=

DRAC又称为Integrated DellRemote Access Controller，也就是集成戴尔远程控制卡

=

地址解析协议，即ARP（Address Resolution Protocol），

==

版权声明：作者：韩亚飞_yue31313_韩梦飞沙 QQ:313134555 http://blog.csdn.net/yue31313/article/details/79571750