开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

抓包发现dns在解析恶意域名

抓包发现DNS在解析恶意域名。

在云计算领域中，DNS（Domain Name System，域名系统）是一个基础且重要的网络协议，用于将域名解析为对应的IP地址。抓包是一种网络监测技术，可以捕获和分析网络数据包的内容和流量。

恶意域名指的是被恶意开发者用来进行非法活动或攻击的域名。当抓包时发现DNS在解析恶意域名，意味着网络中的某个设备正在尝试连接或与恶意域名进行通信。

解析恶意域名可能会导致安全隐患和网络威胁，因此需要及时采取措施来阻止或隔离这种恶意活动。以下是一些可能的处理方法：

防火墙：配置网络防火墙以阻止与恶意域名的连接。可以使用腾讯云的云防火墙产品，它可以提供流量过滤和安全策略管理功能，帮助阻止恶意流量进入系统。
威胁情报：使用威胁情报服务或威胁情报平台，获取有关恶意域名和相关攻击的信息。腾讯云的威胁情报服务可以提供实时威胁情报数据和恶意域名信息。
DNS过滤：使用DNS过滤技术，将恶意域名列入黑名单，并阻止其解析。可以通过配置DNS服务器或使用DNS过滤器来实现。腾讯云的DNSPod可以提供DNS解析和域名过滤功能。
安全策略：制定和执行网络安全策略，包括限制对恶意域名的访问和通信。腾讯云的云安全产品可以提供流量分析和安全策略管理功能，帮助保护系统免受恶意域名的攻击。

需要注意的是，网络安全是一个复杂而广泛的领域，恶意域名只是其中的一种威胁形式。为了确保网络的安全性，建议采取综合的安全防护措施，并定期更新和升级安全措施和解决方案。

更多关于DNS解析和网络安全的详细信息，你可以参考腾讯云的相关产品和文档：

腾讯云云防火墙：https://cloud.tencent.com/product/waf
腾讯云威胁情报：https://cloud.tencent.com/product/tib
腾讯云DNSPod：https://cloud.tencent.com/product/dnspod
腾讯云云安全产品：https://cloud.tencent.com/product/ssp

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

通过Wireshark抓包分析谈谈DNS域名解析的那些事儿

可以使用Wireshark抓包软件验证一下，还是以www.baidu.com域名来做实验，我们先看一下该域名对应的IP是啥，直接在命令窗口ping一下，就可以知道了，其IPv4地址是14.215.177.38...通过Wireshark分析域名解析网络传输这时，先打开Wireshark抓包软件。...在《网络是怎样连接的》一书当中，有一个关于DNS服务器解析流程的插图，觉得比较直观地表达出从最近DNS域名如何转发到目标DNS域名的流程，这里直接引用了—— 当然，这只是理论，实际情况其实还是存在一些区别的...再回到刚刚Wireshark抓包获取的截图上分析，可以看到一点是，客户端发送给DNS服务器的消息，不止域名这一个信息，还包括了A等书，那么，问题就来了，DNS协议的查询请求当中，都包含了哪些参数呢？...通过本文，主要是分享一些自己对DNS解析的学习与理解，同时，通过实际Wireshark抓包方式，来深入分析下本机如何发送DNS协议去DNS服务器上获取访问域名对应的IP地址，希望也能让您有一些收获。

10.4K6 3

抓包就明白CoreDNS域名解析

在进行CoreDNS抓包之前先来了解几个概念完全限定名称完全限定域名(FQDN)就是互联网上计算机或者主机的完整域名。由主机名、域名、顶级域组成。...这里我为了测试，发起了6 次解析。我每执行一次解析，下面抓包的终端就敲一次回车。解析的同时去coredns这个容器所在的节点进行抓包分析。...抓包开始，由于我的集群有大量的服务，每秒都有很多内部服务dns解析请求。...上面的dns每执行一次，我在这个抓包的窗口就敲一下回车，这样的话方便看清楚每一次的解析结果以下是抓 www.ayunw.cn 的域名DNS包的结果： [root@kube-node-srv2 ~]#...那么search中没有任何一个匹配的到，直接转发到本地DNS，走正常的递归查询逻辑。通过以上测试发现ndots的值和请求的域名是相关的。

2.5K4 0

一次误报引发的DNS检测方案的思考：DNS隧道检测平民解决方案

dns位置，可通过直接屏蔽恶意dns目的止损 3、**恶意进程和黑dns服务器交互分析** a) 恶意进程仅用超长域名记录外传数据，不利用txt回包获取回传数据，不利用A记录回包作为C&C地址，...dns服务器如提供解析服务返回解析的ip地址，但本机进程也不关注，即本机进程不对解析结果发包（无socket通信） b) 恶意进程用超长域名记录外传数据，利用txt回包获取回传数据，不利用A记录回包作为...dns服务器需提供解析服务，但本机进程也不关注，即本机进程不对解析结果发包（无socket通信） c) 恶意进程用超长域名记录外传数据，利用txt回包获取回传数据，并利用A记录回包作为C&C地址...本机程序对解析出的A记录发起访问（有socket通信） d) 恶意进程用超长域名记录外传数据，不利用txt回包获取回传数据，但利用A记录回包作为C&C地址，但此方式多为正常程序使用，不是纯dns...2、外传结果抓包：使用Microsoft Network Monitor抓包分析 ?

3K7 0

记录某次域控中毒事件应急响应

现场登录域控服务器进行排查未发现可疑进程以及恶意文件，结合态势感知告警内容以及与用户和态势感知厂商进行沟通得知域控服务器对终端PC提供DNS解析服务，由于本地域控服务器无恶意域名的解析缓存，故会向上级域控服务器进行...DNS查询，确定本次态势感知告警非域控服务器自身中毒，而是内网终端PC发起的恶意域名查询行为通过域控发出DNS解析请求过程中被态势感知捕捉并告警。...1.2 分析结论通过查看态势感知告警日志和审计日志，发现域控服务器所有异常行为均为DNS解析行为，同时也发现大量终端存在恶意扫描和漏洞利用行为。...检查网络连接，未发现异常TCP连接。使用系统行为实时监控工具，对服务器的进程行为、文件行为、注册表行为进行监控分析，未发现异常行为。在域控服务器上抓包未发现可疑流量。...（该步骤需慎重，一般域控服务器流量巨大，若机器性能不佳抓包时可能会造成机器宕机）

2.7K2 0

DNS 隧道通信特征与检测

，查询请求最终要aaa.com的权威域名服务器 Step 4：aaa.com权威域名服务器是在攻击者的控制下，解析发送过来的DNS数据包并发送回应包 Step 5：DNS回应包穿透防火墙 Step...6:DNS回应包进入内网 Step 7：本地域名服务器将回应包返回给受控PC机 Step 8：受控PC机解析DNS回应包里的数据，得到新的指令 2.2 典型恶意程序 Trojan.Win32...攻击者把CC服务器的指令封装在DNS响应报文里 2017年3月，思科Talos团队发现一起名为DNSMessenger的攻击，该恶意软件的所有命令与控制通信都经过DNS TXT类型查询和响应。...抓包分析可以看到，dns隧道的内容加密，并且上传下载频率高。 iodine的可移植性比较强，在许多不同的类UNIX系统和Win32上运行。都可以在两台主机之间建立隧道。...通过数据包可以发现，dnscat2通过加密的手段隐蔽了CC服务器的域名。隐蔽性做的更好。三、检测DNS隧道木马将通过3个通信行为分析DNS隧道木马会话。

3.6K2 0

某云用户网站入侵应急响应

考虑到可能是不定期发包，因此决定进行长期抓包与系统全面分析的方法进行分析。下面是我方进行抓包分析情况： ? ?...对其反向DNS解析，分析曾经有哪些域名挂在这个IP上，可以看出这个IP。频繁的更换其对应域名，说明这个IP对应的主机可能早已被黑客控制，用来进行黑客行为。下面是其反向DNS信息汇总： ?...继续对65.118.123.162深入分析，反向DNS查看一下，可以看出这台主机位于美国，并且其域名在不断变更。 ? ?...通过对目标主机进行分析，判断该会话为恶意交互，但是因为抓包时，没有及时分析该端口所对应的进程，所以暂时没有办法分析是哪个程序导致。...2.7 主机hosts文件分析主机hosts文件用来静态保存主机/域名对应的 IP 情况，默认情况下DNS解析时首先查DNS 缓存，然后再查本地 hosts文件，最后最进行 DNS解析。

1.4K7 0

聊聊 resolv.conf 中 search 和 ndots 配置

背景 Kubernetes 集群中，域名解析离不开 DNS 服务，在 Kubernetes v1.10 以前集群使用 kube-dns dns服务，后来在 Kubernetes v1.10+ 使用 Coredns...抓包分析DNS请求 Kubernetes Pod 内抓包，请参考 K8S Pod 内抓包快速定位网络问题解析集群内部域名下面例子解析同一个 namespace 中 service 名称为 blog...Address: 10.10.72.218 下面是抓 blog 域名 DNS 包结果： ?...Name: img2x-v6-sched.jcloudedge.com Address: 222.186.184.3 下面是抓 www.jd.com域名 DNS 包结果： ?...优化建议通过上面案例可以发现ndots的值和请求息息相关，在使用中为了避免过多的DNS查询请求，可以适当优化相应的值或者请求域名。

7.9K4 2

DNSPod十问吴洪声:云时代,DNS面临哪些安全挑战？

但我们再来设想另外一个场景，用户在发起bra.run的DNS查询时，如果攻击者进行了抢答，给用户返回了被篡改的数据包，那么会怎么样？...因此，我们认为DNSSEC方案在使用场景上还存在很多局限，这个方案不能完全避免被劫持，也不能避免诸如ISP厂商对域名请求的监控和阻断，而且就算发现数据被篡改，也只能丢弃数据，得不到正确的结果。...下面给各位展示一下，使用DoH前后的抓包效果。第一个图是标准的DNS查询，从抓包结果看，用户的DNS请求信息与服务器的响应信息都以纯文本的方式传输。...我们能看到用户请求的域名名称，得到的响应IP地址。第二个图是DoH方案的抓包结果。可以看到报文从UDP报文转变成了TLS报文。...会让用户更多的依赖浏览器中的DNS配置。浏览器可以在此充当DoH服务商域名劫持者的角色，它可以决定解析流量往哪里走。在DoH技术流行的时代，浏览器厂商的影响力被大大增强了。

1.7K2 0

基于DNS隐蔽信道的攻击与检测

攻击者利用DNS的一种方法是注册域名（例如，fengrou2019.club），以便攻击者在主机受害者中的恶意软件可以将有价值的私人信息（例如信用卡号，登录密码或知识产权）编码为形式为arbitrary-string.fengrou2019...此DNS请求由全局域名系统中的解析器转发到fengrou2019.club域的权威服务器（在攻击者的控制下），后者又向主机受害者发送响应。...现代恶意软件和网络攻击在很大程度上依赖于DNS服务，使其活动可靠且难以跟踪。...例如，2017年发现的远程访问木马DNSMessenger使用DNS查询和响应在受感染的主机上执行恶意PowerShell命令。...2.2 数据集准备： BotDAD提供了3种预备数据集的方式： 2.2.1 抓包、过滤、切片（1）使用wireshark抓包（2）包过滤命令 tshark.exe -r "input.pcap"

2.8K2 0

记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

进行溯源分析发现源IP：10.x.x.x每隔10分钟连接一次恶意域名，恶意域名已在微步威胁情报库进行查询威胁有效，以下为举个“栗子”： ? 3....排查计划任务情况，跟管理员进行确认未发现异常计划任务 ? 7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP ? ?...初步分析结论：并非该主机感染病毒木马，该主机疑似为域控服务器包含dns服务，存在其他域内子主机通过该主机进行dns解析，所以造成了态势感知平台告警源ip为该主机，实际情况为域内子主机感染病毒。...1.抓包神器wireshark：要想分析网络会话肯定得使用wireshark在该主机进行安装，此时，出乎意料的事情发生了，winpcap安装到一半机器卡住了，完全不能动了，这是业务主机啊，旁边工程师看到了...下载便携版wireshark，根据病毒外连域名时间规律进行抓包，抓到真实受害主机 ? 4. 告知主机管理员受害者IP进行杀毒，事件解决！！！

4.3K5 3

内网流量规避

IDS和IPS概述 IDS（intrusion detection system）入侵检测系统，旁路检测设备，工作在网络层，并行接在内网所需防护设备的链路上，通过抓取流量分析数据包，匹配规则库检测到恶意数据进行报警处理...dns beacon数据链路 1.被控端收到命令之后，向自己记录的dns服务器请求解析域名。 2.内网dns收到请求之后找不到该域名，将请求交给权威域名服务器查询。...3.权威域名服务器向其他服务器同步请求。 4.找到对应的ip为自己的cs服务器，解析请求，实现dns数据链路传输。配置方法配置dns 1.申请域名，添加A记录，将域名与公网ip进行绑定。...抓包可看到dns发送极小的数据包。在cs端执行命令，查看数据包，可发现txt记录里为加密传输，并且解析的ns1级了为0.0.0.0，有效的隐藏了真实ip和传输的数据。...9.开启wireshark抓虚拟机的包，没有cs服务器的真实ip。搜索cdn服务器地址，看到的host为oss.microsoft.com，页面状态码都为200即可。

1.3K3 0

抓包理解 DNS 流程和 CDN 原理

能说出原理的话，有抓包看过它们真实的数据包么？今天我们就一起通过抓包来深入下 DNS 流程和 CDN 原理吧。...前面说到根域名和顶级域名服务器只是做了转发，最终域名解析都是在权威域名服务器做的。那权威域名服务器是不是可以再做一层转发呢？...这样用户从这个域名下载内容的时候，就找到了最近的一台机器，那速度自然快很多。这就是 CDN 的原理。大概介绍了 DNS 和 CDN 的实现原理，下面我们通过抓包来验证下。...我们用抓包工具来验证下：这种网络包需要用 wireshark 来抓。...总结我们通过 wireshark 抓包的方式，验证了 DNS 的流程和 CDN 的实现原理。

2K9 0

ELK学习笔记之F5 DNS可视化让DNS运维更安全更高效-F5 ELK可视化方案系列(3)

======= dns 流量包分析僵木蠕捕获 1. 在数据包bjzh-dns-1022.pcap中发现了疑似恶意软件行为活动痕迹。...在数据包bjzh-dns-2077.pcap中发现下载恶意代码的痕迹，沦陷主机访问的域名为：d.img001.com 2....在数据包bjzh-dns-2076.pcap中发现下载恶意代码的痕迹，沦陷主机访问的域名为：d1.kuai8.com 勒索软件捕获 1....在数据包bjzh-dns-3018.pcap，bjzh-dns-3032.pcap中发现恶意网址访问痕迹，沦陷主机访问域名为：t.t70123.com 2....在数据包bjzh-dns-2025.pcap中发现恶意网址访问痕迹，沦陷主机访问域名为：z1.zedo.com 参考

2K1 0

【DNS解析】爱名网(22.cn)、HKDNR、GoogleDomains、AWSRoute53注册域名开启DNSSEC（解析托管在DNSPod）

DNSSEC对权威dns提供给递归DNS的解析数据来源进⾏认证，可有效保护权威DNS和Local DNS之间数据不被攻击篡改，确保解析结果的真实与可靠性。...本文以域名解析托管在DNSPod为例，其他平台可参考本文或咨询对应平台客服。前提条件目前DNSPod DNS仅支持付费套餐（任意版本）使用DNSSEC，使用DNSSEC前请购买合适版本的解析套餐。...操作步骤开启并获取DNSSEC配置信息登录DNSPod解析管理控制台图片进入详情域名页面单击需要设置DNSSEC的域名进入解析详情页面图片开启DNSSEC在"域名设置"中找到DNSSEC并点击"立即启用...2、在弹出的窗口中根据提示填写解析控制台的给出的配置信息，并点击"确认设置"保存即可图片PS:配置完成后记得回解析控制台点确定！！！...GoogleDomains配置DS记录登录到GoogleDomains登录到GoogleDomains并找到我的域名进入域名详情找到需要设置的域名，点击管理进入域名详情界面图片配置DS记录1、点击"DNS

4.3K2 0

Hvv篇——技战法

一、**发现攻击告警** xxxxx（具体时间）在xxx（安全设备）上发现SQL注入（这里以sql注入为例子） 1.1 *威胁情报查询* 通常网络攻击者的IP经过长时间的渗透测试、攻防演练等大量暴露后会被贴上恶意标签...下图为针对该攻击IP的威胁情报查询：（不给图片了，大家自己看情况粘上去） 1.2 *域名反查* 作为后渗透\种入木马等阶段时攻击者无法继续使用IP资源池或不定IP，而由于多种场景下的需要（例如域名解析测试...、dns劫持等）该IP可能绑定了一个恶意域名，进行域名反差，查询解析记录、绑定信息等，可以获取到部分攻击者个人信息。...根据恶意域名类型、主域名归属，可以结合告警推测攻击者实际进行了何种形式的攻击，例如最近的Google域名漏洞、windows子域名钓鱼等。查询结果：未发现该IP绑定域名记录。...第二个payload实际为正常业务访问，json自带，已实际抓包测试，判断为误报。

2661 0

Black Hat USA 2020议题：SSRF漏洞利用新思路

因此，DNS Rebindind的攻击思路，是申请一个域名，构造一个DNS服务器，将域名解析到该DNS服务器，同时设置DNS服务器的应答包围TTL为0，在“获取ip地址”的逻辑中响应正常的ip地址，绕过了检测...实验步骤如下：设置域名解析的服务器为自定义的DNS服务器 ? 启动自定义的DNS服务器 ? ? 浏览器访问域名在本地127.0.0.1地址启动http server ? ?...访问目标域名，结果响应结果为本地http服务 ? 抓包观察DNS响应结果在DNS服务器的打印结果中，也可以看到，第一次解析结果为真实ip，后续的解析结果为127.0.0.1 ?...抓包观察响应结果，第一次DNS应答为正常的ip，TTL设置为0 ? 后续的响应结果为127.0.0.1 ?...0x055 报文分析以场景一为例 DNS 解析过程分析在抓包过程中，client端和dns server一共有两次交互，第一次dns应答为真实的ip，第二次为期望攻击的ip ?

1K5 0

一次K8s中的Pod解析外网域名错误的问题排查

工具来共享容器排查），解析出来的发现很诡异的name，域名最后面带了一个HOST 进一步查看/etc/resolv.conf，发现搜索域中有一个HOST搜索域，因此解析域名会带上HOST 又测试了几个域名...我们以请求 baidu.com 为例，通过抓包的方式，看一看在某个容器中访问 baidu.com，进行的DNS查找的过程，都产生了什么样的数据包。...注意：我们要抓DNS容器的包，就得先进入到DNS容器的网络中（而不是发起DNS请求的那个容器）。...抓包的数据才完整。...我们通过抓包分析一个具体案例：域名中点数少于5个的情况： // 对域名 a.b.c.d.com 进行DNS解析请求 root@srv-xxx-7595d6795c-8rq6n:/go/bin# nslookup

2.5K2 0

【项目实战-9】DNS解析触发母机QPS限频

16.png 2.抓包分析。对接入层CVM的子机和母机，RS的子机和母机分别抓包，没有发现超时包。...3.png 3.重新聚焦504 timeout问题，发现Node接入层的响应时间都集中在5秒的倍数上，具有统计学规律。研发同学结合经验推测问题可能出现在DNS域名解析服务上。...为何母机要有DNS限频？其原因是对内网服务保护。所以一般是没有权限去看母机的一些限制，需要找网络的人去看。 2. 为何抓包没有抓到超时包？其原因是指定port抓包，并没有抓到53端口dns包。...【附】开启NSCD DNS缓存服务的优点和缺点优点本地缓存DNS解析信息，提供解析速度。 DNS服务挂了也没有问题，在缓存服务时间范围内，解析依旧正常。...缺点 DNS解析信息会滞后，如域名解析更改需要手动刷新缓存，NSCD不适合做实时的切换的应用，目前对于依赖DNS切换的服务，建议不要开启DNS缓存。

1.3K2 0

biji1 windows基础+作业

连接远程服务器 telnet 和ssh很相似 ssh是加密传输 telnet明文传输这是区别注意默认不开启此功能需要自行添加 10手动启用telnet 11 telnet应用 12telnet在windows7...作业： 17ARP攻击导致阻塞或欺骗 —断别人的网进行arp表修改mac地址 1.安装两个软件攻击机 2.在cmd 命令行查win7 靶机ip，arp表 3.靶机一直ping 攻击机，攻击机用网络分析系统抓包...tcp连接；防止恶意探测改掉80端口，别人发现你开了80（推测所开的服务）就认为你有网站，然后就图谋不轨 2.http 会被截取然后分析； https会被加密抓包不怕，安全些 3. 53端口 DNS...域名解析（域名与ip对应）用udp传输 4.dns劫持打破对应关系返回给你错误的ip 你用baidu.com我返回给你其他ip骗你 5.作业2DNS服务器搭建安装DNS服务 1.安装好DNS服务后进行...DNS配置 2.建立正向查找区域 2.建立反向查找域 3.完成DNS配置后，用nalookup 查询结果成功

7216 0

利用HTTPS协议打内网 SSRF新姿势

原作者提出,在curl对会话复用的判断中,只判断了目标服务的域名、端口以及协议是否一致,没有判断ip 如果服务器是恶意攻击者控制的,session_id被设置成攻击者想发送的恶意payload,在客户端第二次请求时...ip改掉.这里有两种姿势. ip改变的方法 dns重绑定一个很简单的想法就是利用dns重绑定,在第二次请求dns解析时改变ip,这个也是When TLS Hacks You那篇议题原作者提出的方法,赵师傅在文章中提到...curl对dns做了缓存,导致第二次请求时没有进行dns查询,导致无法利用,但其实原作在中间还加了一些处理,恶意的TLS服务端永远只返回的301跳转,并且在返回前会sleep一段时间,curl在一次次的...第一次服务器访问ipv6地址,在服务器第二次请求时访问ipv6的地址,发现无法无法访问,会转而请求ipv4地址,造成ip改变具体操作可以参考赵师傅的文章....ssrf攻击目标的ip,这里我为了方便抓包设置了118.

1K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭