【定位恶意域名请求】

最新推荐文章于 2024-05-22 16:42:26 发布
最新推荐文章于 2024-05-22 16:42:26 发布
阅读量1.6k 收藏 28
点赞数 21
文章标签: 网络 开发语言 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46356409/article/details/135503862
版权

DNS服务器没有开启日志存储

在DNS服务器没有开启日志存储的情况下,要确定哪台机器请求恶意域名会比较困难。但是,你可以尝试以下几种方法:

  1. 网络嗅探工具:使用网络嗅探工具(如Wireshark)来捕获网络流量。通过分析捕获的数据包,可以找到发出恶意域名请求的IP地址。请确保在合适的网络位置部署嗅探工具,以便捕获到所有DNS请求。

  2. 防火墙日志:检查防火墙日志,看是否有记录到DNS请求(通常是目标端口为53的UDP或TCP请求)。通过分析防火墙日志,可以找到发出恶意域名请求的IP地址。

  3. 终端安全软件:在企业网络中,可以使用终端安全软件(如EDR,Endpoint Detection and Response)来检测和分析每台设备上的恶意活动。这类软件可以帮助你定位发出恶意域名请求的设备。

  4. 启用DNS服务器日志:虽然你提到DNS服务器没有开启日志存储,但如果可能的话,建议启用DNS服务器日志功能。这将帮助你更容易地追踪到发出恶意域名请求的设备。

  5. 主动扫描:使用网络扫描工具(如Nmap、Nessus等)对内部网络进行扫描,以发现可能存在安全漏洞或恶意行为的设备。这种方法可能无法直接确定哪台设备发出了恶意域名请求,但可以帮助你找到潜在的安全风险。

请注意,进行网络嗅探和扫描可能涉及隐私和法律问题。在采取这些措施之前,请确保遵循相关法规和公司政策。

写脚本查日志

写脚本来确定哪台机器向DNS服务器请求恶意域名是可能的,但需要在DNS服务器上启用日志记录,并且有读取和解析日志的权限。以下是一个基本的Python脚本示例,该脚本将读取DNS日志,查找并输出请求恶意域名的客户端IP地址。

假设你的DNS日志格式如下:

10.0.0.1 www.good.com
10.0.0.2 www.bad.com
10.0.0.3 www.good.com
10.0.0.2 www.evil.com

你可以使用以下Python脚本:

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 打开并读取DNS日志文件
with open('dns.log', 'r') as f:
    lines = f.readlines()

# 分析每一行日志
for line in lines:
    parts = line.split()
    if len(parts) < 2:
        continue
    client_ip = parts[0]
    domain = parts[1]

    # 如果请求的域名在恶意域名列表中,输出客户端IP地址
    if domain in malicious_domains:
        print('Malicious domain request: ' + domain + ' from ' + client_ip)

这只是一个非常基础的示例,实际情况可能会更复杂,例如日志格式可能不同,恶意域名可能需要从外部源更新等。此外,这个脚本只能处理已经记录的日志,如果你需要实时处理DNS请求,可能需要使用更复杂的工具或方法,例如网络嗅探或流量分析。

请注意,这个脚本假设你有权限访问和读取DNS服务器的日志,而这可能需要管理员权限。在使用此脚本之前,请确保你有足够的权限,并且遵循所有相关的隐私和安全策略。

没有日志存储定位

如果没有日志存储,可以通过实时捕获DNS服务器的网络流量来定位哪台主机的域名请求。以下是一个使用Python和Scapy库实时捕获DNS请求的示例脚本:

首先,请确保已安装Scapy库。在命令行中运行以下命令进行安装:

pip install scapy

然后,创建一个Python脚本,如下所示:

from scapy.all import DNS, DNSQR, IP, sniff, UDP

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 定义处理数据包的回调函数
def process_packet(packet):
    # 检查是否是DNS请求数据包
    if packet.haslayer(DNS) and packet.haslayer(DNSQR):
        client_ip = packet[IP].src
        domain = packet[DNSQR].qname.decode('utf-8')[:-1]  # 去掉末尾的'.'

        # 如果请求的域名在恶意域名列表中,输出客户端IP地址
        if domain in malicious_domains:
            print('Malicious domain request: ' + domain + ' from ' + client_ip)

# 开始捕获DNS请求数据包(过滤器限制为UDP端口53)
sniff(filter='udp port 53', prn=process_packet)

这个脚本使用Scapy库实时捕获DNS请求,并检查请求的域名是否在恶意域名列表中。如果是,则输出发起请求的客户端IP地址。

请注意,运行此脚本可能需要管理员权限,因为它需要访问网络接口进行数据包捕获。在使用此脚本之前,请确保你有足够的权限,并遵循所有相关的隐私和安全策略。

性能

上面提供的代码在大多数情况下是可行的,但是在高流量的网络环境中,实时捕获和分析数据包可能会对服务器性能产生一定影响。为了降低对服务器性能的影响,你可以考虑以下方法:

  1. 使用BPF(Berkeley Packet Filter)过滤器来缩小捕获范围,只捕获DNS查询请求(查询类型为A记录)。这样可以减少需要处理的数据包数量。更新sniff函数的filter参数:
sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet)
  1. 在捕获数据包时,使用store=False参数,避免缓存所有捕获的数据包。这可以降低内存使用。
sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet, store=False)

更新后的脚本如下:

from scapy.all import DNS, DNSQR, IP, sniff, UDP

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 定义处理数据包的回调函数
def process_packet(packet):
    # 检查是否是DNS请求数据包
    if packet.haslayer(DNS) and packet.haslayer(DNSQR):
        client_ip = packet[IP].src
        domain = packet[DNSQR].qname.decode('utf-8')[:-1]  # 去掉末尾的'.'

        # 如果请求的域名在恶意域名列表中,输出客户端IP地址
        if domain in malicious_domains:
            print('Malicious domain request: ' + domain + ' from ' + client_ip)

# 开始捕获DNS请求数据包(过滤器限制为UDP端口53且查询类型为A记录)
sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet, store=False)

这个脚本应该对服务器性能的影响较小。然而,在使用此脚本之前,请确保你有足够的权限,并遵循所有相关的隐私和安全策略。另外,如果你担心性能问题,可以在非生产环境中先进行测试,以确保脚本运行不会对服务器产生负面影响。

搭建DNS服务器并测试

BIND (Berkeley Internet Name Domain) 是最常用的DNS服务器软件,它可以在各种操作系统上运行,包括UNIX、Linux、Windows等。以下是在Linux系统上搭建BIND DNS服务器的基本步骤:

  1. 安装BIND:使用你的Linux发行版的包管理器来安装BIND。在Debian/Ubuntu系统中,可以使用以下命令:
sudo apt-get update
sudo apt-get install bind9 bind9utils bind9-doc

在CentOS/RHEL系统中,可以使用以下命令:

sudo yum install bind bind-utils
  1. 配置BIND:BIND的主配置文件通常位于/etc/bind/named.conf(Debian/Ubuntu)或/etc/named.conf(CentOS/RHEL)。你需要编辑此文件来设置你的DNS服务器。例如,你可以定义一个区域(zone)来为你的域名提供DNS服务。以下是一个示例配置:
zone "example.com" {
    type master;
    file "/etc/bind/zones/db.example.com"; # zone file path
};

然后,你需要创建区域文件/etc/bind/zones/db.example.com,在其中定义你的DNS记录。以下是一个示例区域文件:

$TTL    604800
@       IN      SOA     ns.example.com. admin.example.com. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.example.com.
@       IN      A       192.0.2.1
ns      IN      A       192.0.2.1
  1. 启动BIND:使用以下命令启动BIND服务:
sudo systemctl start bind9

并设置BIND在启动时自动运行:

sudo systemctl enable bind9
  1. 测试DNS服务器:使用dignslookup命令来测试你的DNS服务器是否正常工作。例如:
dig @localhost example.com

以上只是搭建BIND DNS服务器的基本步骤,你可能需要根据你的实际需求来进行更复杂的配置。请参考BIND的官方文档以获取更详细的信息。

进击的程序汪
关注
  • 21
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【论文分享】图嵌入恶意域名检测算法:Malicious Domain Detection via Domain Relationship and Graph Models
vector的博客
04-12 607
本文提出了一种基于域名关系特征、PDNS特征和域名字符特征的恶意域检测方法。在被动DNS数据中建立域名关联图,并通过改进的deepwalk图嵌入算法提取域关系特征。此外,还从PDNS中挖掘了更多以前工作中没有提到的特性。这些PDNS特征可以提高分类器的有效性。最后,结合域字符特征、PDNS特征和关系特征作为特征集采用随机树进行分类。
阿里云服务器访问恶意域名_处理方法
DreamsArchitects的博客
02-04 1384
问题 解决方法 点击详情找到ip,配置安全组规则;
云服务器被非法域名恶意指向(域名解析配置)
最新发布
漂泊小柒的专栏
05-22 388
主机头的配置,避免被恶意指向
外网出口IP存在大量恶意域名访问,如何排查
vivlol918的博客
08-27 2038
以下工作场景中,发现外网出口IP存在大量恶意域名访问是一个严重的安全问题,需要及时排查和处理。
malicious-domain-profiling
cnbird's blog
08-30 739
https://code.google.com/p/malicious-domain-profiling/ https://www.blackhat.com/docs/us-14/materials/us-14-Li-APT-Attribution-And-DNS-Profiling-WP.pdf
如何识别攻击者使用的恶意域名和IP地址?
图幻未来的博客
01-21 737
因此检查发件人的IP地址是否指向一个不存在的域名或与已知的不良IP位于同一地理区域有助于发现潜在的安全风险。另外请注意是否有未经过安全验证的重定向链接,这可能是攻击者试图转移你的注意力的一种方式。这可能包括来自未知地点的不受信任 IP 的多次连接请求或者试图突破安全措施的活动等信号提示问题所在。定期审查和监控网络上的新出现的恶意网站有助于及时发现这种类型的欺诈企图;采用综合性的方法并在整个组织和网络上实施适当的预防性措施能够帮助您应对日益复杂的网络环境并降低遭受攻击的风险。1. **反向DNS查询**
A Survey on Malicious Domains Detection through DNS Data Analysis
m0_38110128的博客
06-05 403
3.1 DNS数据从哪收集: 由于DNS基础结构的分布式特性,可以考虑使用多个位置来收集有关DNS查询和答复的信息。在所有涉及的服务器中,解析器(如第2节中的定义)是唯一的,因为它是唯一可以访问直接来自客户端机器的查询的位置。因此,在以下内容中,我们区分了数据来源的两种具体情况。我们将第一个程序称为“Host-Resolver”。它是指通过观察终端主机与其解析器之间的通信而获得的DNS数据。第二种数据称为“DNS-DNS”,是指通过观察两个DNS服务器之间的通信(其中一个可能是解析器)可以获得的数据。 如何
恶意域名识别与分析.pdf
01-02
恶意域名识别与分析》 在网络安全领域,恶意域名识别与分析是防范未知威胁的关键环节。通过对域名行为的深入理解,我们可以发现并阻止潜在的网络攻击。本文将围绕这一主题,探讨恶意域名的生成算法、识别策略以及...
2020最新域名防封技术.docx
06-02
入口域名的多层加密则增加了破解和举报的难度,使得恶意竞争对手难以直接针对特定域名进行投诉。 其次,落地页的随机展示也是防封的关键。这意味着每次用户生成分享链接时,子域名都会不重复,这不仅降低了单一页面...
域名采集转ip段
06-17
当一个域名被输入到软件中,它会向DNS服务器发送请求,获取该域名对应的IP地址。如果软件能处理多个域名,它会批量进行此过程,形成一个IP地址列表。 然后,IP段的概念。IP地址通常由四部分组成,每部分范围在0到...
域名接口查询
06-10
在IT行业中,域名接口查询是一项基础且至关重要的任务,它涉及到网络服务的定位与通信。本文将详尽地探讨“域名接口查询”这一主题,包括其工作原理、使用方法以及在实际应用中的重要性。 首先,理解域名接口查询...
Virus.Win32.Ramnit.X专杀工具
07-09
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具。
DNS域名劫持服务器DnsServer-2019.zip
07-27
DNS(Domain Name System)域名系统是互联网上的一个核心服务,它将人类易读的域名转换为IP地址,从而实现网络资源的定位。然而,DNS系统的安全性问题一直网络安全领域关注的重点。本文将深入探讨DNS域名劫持...
Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs
一只咸鱼的小努力
05-22 684
Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs摘要知识点机构Domain take-downdomain toke-down 操作元素WHOIS记录其他研究动机论文内容数据集论文实验1. 发现token-down domains数据收集sinkholed Domain...
在Linux上找到访问恶意域名的进程方法
weixin_46356409的博客
11-16 439
请注意,这些步骤可能需要根据具体情况进行调整。在进行任何操作之前,请确保充分了解潜在的风险,并遵循最佳实践。如有必要,请寻求专业人士的帮助。如果您发现恶意进程,请立即采取措施隔离受影响的系统,并尽快修复问题。这可能包括关闭相关进程、更新防火墙规则、修复系统漏洞等。对系统进行完整的安全审计,以确保所有恶意活动都已被消除。找到与恶意IP地址相关的连接的进程ID(PID)。在上一步的输出中,您可以找到PID。这将显示与恶意IP地址相关的网络连接。这将显示与指定PID相关的进程信息。这将返回恶意域名的IP地址。
哪个进程在访问这个恶意域名???
lidonghit的专栏
03-27 9658
本文提供两种通过恶意域名定位进程的方法。第一种是使用SYSMON监控程序,该方法需要部署,定位进程比较准确。第二种方法是使用两款windows电子取证工具,无需部署,但是监测时间视具体情况而定,准确性也需要实践检验。这里分享给大家,提供思路,大家结合实际情况运用。
A Feature Ensemble-based Approach to Malicious Domain Name Identification from Valid DNS Responses笔记
qq_57707293的博客
11-25 598
基于有效 DNS 相应特征集成的恶意域名识别方法
suse 查看dns访问次数_【智库观点】哪个进程在访问这个恶意域名
weixin_39715290的博客
12-03 648
背景信息安全工程师很多时候需要通过某个恶意域名来判断主机失陷情况。恶意域名特征比较明显的,比较容易通过威胁情报找到相关线索。例如fr.minexmr.com,通过威胁情查询,该恶意域名比较容易判断该主机感染WannaMine挖矿病毒。知道主机感染是什么恶意软件后,就比较容易找到解决方法。但是威胁情报也不是万能的,威胁情报具有很强的时效性,“老的”威胁情报有可能出现谬误。而由于一些其他原因...
毕业设计-基于DGA 恶意域名的检测算法
Hai_Lang_IT的博客
03-17 1028
毕业设计-基于DGA 恶意域名的检测算法:域名解析系统已经发展成为了国际互联网中一个完全不可能被忽视且重要的一个关键的基础网络设施和信息服务 , 难以避 免被域名利用者非法利用。在深入地分析研究了网络僵尸病毒网络与 DGA 等恶意域名的应用之后 , 对当前网络市场上各种主流恶意 域名安全检测解决技术特点进行了分析比较 , 并初步提出了一种基于字符特征来改善网络恶意域名检测技术的理论框架。域名解析系统 (DomainNameSystem,dns) 作为目前互联网 最重要的信息技术和核心信息基础服务设施之一 ,
python 恶意域名检测
11-11
Python恶意域名检测是指使用Python编程语言开发的一种检测恶意域名的方法或工具。恶意域名是指被用于进行网络攻击、欺诈、传播恶意软件或其他不良行为的域名。以下是一种简单的Python恶意域名检测的实现思路: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值