分析恶意流量的发现——TCP协议下的DNS服务

最新推荐文章于 2023-12-17 08:37:28 发布
最新推荐文章于 2023-12-17 08:37:28 发布
阅读量656 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/100563899
版权

一直以为DNS只走UDP,今天分析流量的时候发现了好多TCP连接,目标是53端口的,于是上网查了一下。

  • 那么,我发现的这个TCP53,是不是恶意流量呢?根据流量中的可见域名,将域名作为关键词google了一下,发现了它是恶意域名的实锤:https://www.malware-traffic-analysis.net/2014/07/02/index.html

在这里插入图片描述
TCP是为了隐蔽通信。这是一个2014年捕获到的恶意流量。

  • 那么正常的DNS服务有没有可能走TCP53呢?
    答案是有可能。
    有两种情况可能会使用TCP进行DNS通信:
  1. 当客户端发出DNS查询请求,从服务器收到的响应报文中的TC(删减标志)比特被置为1时,此时意味着服务器响应长度超过512字节,而仅返回前512字节。在遇到这种情况时,客户端会使用TCP重发起原来的DNS查询请求,它将运行返回的响应超过512字节
  2. DNS的主辅名字服务器在同步时使用TCP协议。辅名字服务器一般每3小时向主名字服务器发起查询,看主服务器是否有新的记录变动,如有变动,将执行一次区域传送,区域传送使用TCP协议
AG9GgG
关注
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
第12节 DNS服务器部署与安全
m0_64378913的博客
12-17 2472
不仅互联网有DNS服务器,中大型企业也有自己的DNS服务器。因此学会DNS服务器的搭建是很有必要的。本节首先介绍了DNS的基本概念、域名结构、解析类型和解析过程等原理。其次介绍了主要DNS服务器的部署过程,并扩展了设置转发器、备份、清理缓存、别名等操作。最后还讲解了常用的DOS命令。
TCP端口介绍
Jchn lau
12-20 2996
TCP端口就是为TCP协议通信提供服务端口TCP (Transmission Control Protocol) 传输控制协议TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议。 在计算机网络OSI模型中,TCP端口完成第四层传输层所指定的功能。我们的电脑与网络连接的许多应用都是通过TCP端口实现的。本文与大家分享部分TCP端口
什么时候会使用TCP53端口
u013541620的专栏
10-09 1万+
Q: 平时用Sniffer观察到的DNS报文都在使用53/UDP,什么时候会用到53/TCP? A:     对于DNS服务器,递归解析时用53/UDP,区传输因需要可靠传输,必须使用53/TCPDNS服务器的标准实现必须同时支持53/TCP53/UDP。    对于DNS客户端,默认使用53/UDP进行A记录查询。nslookup进行A记录查询时,可以强制使用53/TCP。用Sniffer
黑客技术—dns劫持
热门推荐
asdf8968的博客
11-07 1万+
目录 一、什么是DNS二、DNS原理三、什么是DNS劫持及危害四、DNS劫持方法五、如何防止DNS劫持(网络层面)六、如何防止DNS劫持(应用层面)七、历史著名劫持案例 检测网站是否被劫持  域名是否被墙  DNS污染检测  网站打开速度检测  网站是否被黑  被入侵  被改标题  被挂黑链     网站劫持检测  远程桌面连接软件    一、什么是DNS 在网络中,机器之间只认识I...
DNS 使用的是tcp 还是udp?
linux_tcpdump的博客
08-08 4513
Domain Name System aka DNS is used to match domain names to the IP addresses. DNS is provided over the intranet and internet servers with different port numbers.DNS can use both transmission protocols TCP and UDP. But general usage is over UDP protocol bec
TCP与UDP的区别
Find what you love and love what you do!
10-21 579
转自:http://ce.sysu.edu.cn/hope/Item/9085.aspx TCP/IP 传输层   OSI 和 TCP/IP 模型在传输层定义两种传输协议TCP(或传输控制协议)和 UDP(或用户数据报协议)。 UDP   UDP与 TCP的主要区别在于 UDP不一定提供可靠的数据传输。事实上,该协议不能保证数据准确无误地到达目的地。UDP在许多方面非常有效。当某
应用层协议 ——— HTTP协议
普通大学生的博客
03-21 641
HTTP(Hyper Text Transfer Protocol)协议又叫做超文本传输协议,是一个简单的请求-响应协议,HTTP通常运行TCP之上。在编写网络通信代码时,我们可以自己进行协议的定制,但实际有很多优秀的工程师早就已经写出了许多非常成熟的应用层协议,其中最典型的就是HTTP协议
TCP/IP详解——DNS 流量分析
最新发布
来日可期的博客
12-17 2148
DNS(网域名称系统,Domain Name System,有时也简称为域名):是因特网的一项核心服务,它作为可将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的巧问互联网,而不用去记住能够被机器直接读取的IP地址数串。提供主机名字和IP地址之间的转换。
探索常见端口:OSI模型与TCP/IP协议分析
值得注意的是,文件中提及的两个恶意软件攻击——冲击波和震荡波,它们利用了一些特定的TCP和UDP端口进行攻击,如TCP的135、4444,UDP的69,以及与RPC DCOM相关的端口。为了网络安全,企业用户被建议在防火墙上配置...
TCP网络端口解释(1-9535)
柴火【足迹 奔跑 飞翔】
08-25 5805
0=Reserved1=tcpmux2=compressnet3=compressnet4=Unassigned5=Remote Job Entr6=Unassigned7=Echo8=Unassigned9=Discard10=Unassigned11=Active Users12=Unassigned13=Daytime14=Unassigned15=Unassigned16=Unassign
DNS域名解析服务
Y_S_J_112的博客
08-16 1230
DNS是“域名系统”的英文缩写。他作为将域名和IP地址互相映射的一个分布式数据库,能够使人更方便的访问互联网。DNS服务使用TCP和UDP的53端口TCP53端口用于连接DNS服务器;UDP的53端口用于解析DNS。每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。域名结构:http:// 主机名 . 子域 . 二级域 . 根域 /根域:位于域名空间最顶层,一般用一个 “.” 表示顶级域:一般代表一种类型的组织机构或国家地区。...
网站服务器需要开放udp端口吗,服务DNS配置,防火墙必须启动入站规则TCP和UDP:53两个端口才能解析域名吗?...
weixin_35448535的博客
08-05 1279
不用都打开,如果是制作dns查询服务,开通udp53即可,如果有从机dns做同步,则需要打开tcp 53。“允许HTTP客户浏览数据库”:选择“是”,以允许WEB用户使用URL中的OpenServer命令在服务器上显示数据库列表。选择“否”(默认)以不允许。 但是,即使WEB用户看不到服务器上的数据库列表,仍然可以打开有权访问的单个数据库。包括Web服务器,FTP服务器,NNTP服务器和SMTP服...
ROS 53端口 被狂扫
wjy397的专栏
12-05 5231
ROS开启Allow Remote Requests可能存在被DDoS攻击的风险 近期观测到某台设备的某接口上行流量异常,该接口平时几乎无流量。在防火墙中查看活动的连接,发现几乎全部都是UDP 53端口的请求,通过截取该接口的数据包发现TCP数据包几乎没有,而UDP数据包却占了几乎全部。UDP数据包中,印证了防火墙中看到的情况,有许多远程接口疯狂发起DNS请求,查询一个名为cpsc.g
DNS流量分析——使网络更安全
虹科网络安全的博客
07-07 4127
人们很容易忽视域名系统(DNS)及其在整个互联网和本地内部网中发挥的关键作用。这主要是因为,尽管我们每天都依赖DNS,但它对用户基本上是透明的,而且我们都理所当然地认为它会正常工作。当普通人打开网络浏览器,输入www.baidu.com、www.taobao.com或任何其他网站名称,却看不到该网站时,经常会听到类似“互联网坏了!”的声音。“嗯……不,互联网很少“坏掉”,但很有可能是DNS出了问题。安全专业人士越来越多地认识到DNS也是攻击网络的潜在威胁载体。DNS设计的时候甚至还没有考虑到互联网的安全..
TCP/IP协议 (史上最全讲解)
ttthe_shy_的博客
09-01 4359
TCP 通过检验和、序列号、确认应答机制、超时重传机制、连接管理以及窗口控制等机制实现可靠性传输。
服务流量异常的原因分析和解决办法
mengyier_520的博客
08-13 7687
在使用服务器的过程中,经常会碰到流量异常,时不时的流量很高。 遇到这样的情况,很有可能是以下几点原因: 1.服务器被暴力破解 2.服务器被攻击DD/CC 遇到这种情况,该如何分析呢? 一、首先,可以先登录服务器里面检查服务器日志,看看是否有IP多次异常登录并显示登录失败的请求,如果显示多次登录失败,说明有人正在尝试暴力破解登录你的服务器,占用了你过多的带宽资源。 解决办法:把异常请求的IP加入到防...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值