DNS 隐蔽通道简介 DNS 通道是隐蔽通道的一种,通过将其他协议封装在DNS协议中进行数据传输。 由于大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS作为隐蔽通道提供了条件,从而可以利用它实现诸如远程控制、文件传输等操作,DNS隐蔽通道也经常在僵尸网络和APT攻击中扮演着重要的角色。 DNS隐蔽通道可以分为直连和中继两种模式。直连也就是Client直接和指定的目标DNS Server(授权的NS 服务器)连接,通过将数据编码封装在DNS协议中进行通信,这种方式速度快,但是限制比较多,很多场景不
今天我要分享的是5万多个Shopify平台子域名劫持漏洞的发现过程。首先,我要说明的是,该漏洞不仅只存在于Shopify平台系统,还存在其它几个云服务平台系统中。在过去几周时间里,我们陆续联系了存在漏洞的各家厂商,Shopify平台的快速反应、认识透彻和持续跟进的处置能力给我们留下了深刻印象。
哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接进行中间人(MitM)攻击,在此文中,我们给出了还在进行中的研究的初步结果,以及哈萨克劫持系统中新的技术细节。
上一篇文章讲到:两台 Exchange Server 2016 邮件服务器配置了DAG(高可用集群)和NLB(网络负载平衡),今天来讲一下:(1)NLB需要做的交换机的配置;(3)防火墙策略的配置;(3)外网域名解析及检测确认;(4)运营商IP反向解析的检测。
渗透测试流程中最重要的就是进行信息收集,在这个阶段,我们要尽可能多的收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,渗透测试的工作就越容易。
注册域名,购买服务器。域名和服务器不一定需要在同一家服务商购买。但如果购买的是阿里云服务器或者腾讯云服务器,那就需要提供相对应的备案域名。怕麻烦的话,第一可以直接购买免备案的服务器,第二就是在网上找已备案域名
用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思
最近看到一些网友经常会问,购买了云服务器、云MySQL或类似的云产品后无法远程登录应该如何排查?这里笔者以排查云服务器问题为例,整理了一下问题排查思路分为三个过程分别为客户端确认,腾讯云控制台确认和登录服务器确认来介绍(注:按照问题可能的原因进行排序从高到低)同时推荐一些好用的排查问题工具供大家参考。另外如果你有好的思路别忘记给我留言,我会持续更新本文档。
4.1 域名服务器 4.1.1 简介 DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名 简而言之就是讲例如www.baidu.com的东西转化成其对应ip 4.1.2 原理
GSLB 是 Global Server Load Balance 的缩写,即全局负载均衡。本文首先介绍了什么是负载均衡 SLB ,以及为什么要使用 SLB 。接着引出全局负载均衡 GSLB 的概念和作用。为此介绍了其基于 DNS进行解析和分配负载的实现,包括 DNS 的原理简介、应用部署中的基本概念、分配负载的决策条件等内容。以外,本文还简单介绍了通过 HTTP 和 IP 实现 GSLB 的方式,并对三者的优缺点进行了简单对比。最后是本文的参考文献。
1. 报告摘要 近期,神州网云依靠高级威胁检测引擎并结合天际友盟的威胁情报,精确发现了多起高级威胁组织的攻击,通过快速有效的一键溯源确定了攻击行为及影响。 Struts2的安全漏洞从2010年开始陆续被披露存在远程代码执行漏洞,从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆发随后互联网都会出现Struts2扫描攻击活动。 近期发现并确认了两个威胁组
最近在梳理Consul健康检查逻辑的时候,也发现了一些潜在的问题,这些问题虽然不会直接造成业务故障,但是在故障发生的时候还是存在较高的概率导致一些意料之外的影响。
当一个公司被高级恶意软件感染,一个正确的应急响应应该是去识别恶意软件和修复系统,建立更好的安全控制体系来防止未来此类 事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染,并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。 内存技术是指从运行的电脑中取出内存镜像来进行分析的技术,其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索,比如运行的进程,网络连接,加载的模块等等 ,同时他能够帮助脱壳,Rootkit检测和逆向工程。 内存
Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。
tko-subs是一款功能强大的子域名检测工具,该工具可以利用已失效的DNS记录检测和接管目标子域名。该工具具备以下三个功能。
通过浏览器输入域名访问网页的实质是通过DNS(域名解析系统)访问该网站的IP地址。
使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP
*原创作者bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载 之前在FreeBuf发表的第一篇有关蜜罐文章,引起了业界不小的轰动,但是上篇文章主要是和大家探讨服务型蜜罐的技术
DOME是一款功能强大的子域名枚举工具,该工具是一个快速可靠的Python脚本,可以实现主动或被动扫描,以搜索目标子域名以及开放的端口信息。该工具主要针对漏洞奖励Hunter以及渗透测试人员设计,可以在网络侦查和数据收集阶段使用。
本文博主给大家分享线上多域名实战,当线上主域名不可用的情况下,启用备用域名完成网站高可用保障。
地负载均衡是指对本地的服务器群做负载均衡,全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。
所以事前我们需要准备一个钓鱼网站,为了能让钓鱼网站在公网访问,还需要一个VPS,若想获得更好的伪装效果,还需要一个用于伪装的域名。VPS和域名都到手后,还可以搭建属于自己的邮服用于SMTPRelay。使用恶意附件的话,还需要准备一个恶意样本,能做免杀的话就更好了,接收shell的话,同样需要一个VPS。
关于dnsReaper dnsReaper是一款功能强大的子域名接管检测工具,该工具专为蓝队研究人员和漏洞猎人设计,并且能够在保证运行速度的情况下,提供较高的检测准确率。 该工具每秒大约可以扫描50个子域名,并能针对每个子域名执行50次接管签名检测。这也就意味着,我们只需要大约10秒钟,即可扫描完成整个组织的全部DNS资产。 运行机制 我们可以直接将目标域名列表以文件的形式提供给dnsReaper,也可以直接在命令行窗口中扫描单个域名。接下来,dnsReaper便会对目标域名进行扫描,并生成CSV结
DNS是什么 📷 最开始的网络都是直接一个IP地址访问,后来呢出现了域名访问,比如baidu.com 然后记住哈,咱使用域名访问,其实网络设备会先根据这个域名找到对应的IP地址 然后再通过IP地址访问
介绍ping命令是一个用来测试能不能与另一台主机交换数据包的命令,通常我们会用ping命令测试域名可达性。
github:https://github.com/iagox86/dnscat2
DNS隧道(DNS Tunneling)也是隐蔽隧道的一种方式,通过将其他协议封装在DNS协议中传输建立通信。大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS隧道提供了条件,可以利用它实现诸如远程控制、文件传输的操作。使用dns搭建隧道的工具也有很多,比如dnscat2、DNS2tcp、iodine等。由于iodine工具使用比较稳定,这里使用iodine进行演示,它可以通过一台dns服务器制作一个Ipv4通道,iodine分为客户端和服务端,Iodine不仅有强制密码措施,还支持多种DNS记录类型,而且支持16个并发连接,因此很多时候Iodine是DNS隧道的第一选择。
参考两篇论文中对域名数据特征的选择, 可以分为两个方面, 一方面是词法特征, 另一个方面是网络属性, 以下先对所有的属性进行汇总:
如果不可连接,会提示连接失败,否则如果cmd出现一大段空白和不可操作界面则表示连接成功。
实战攻防演练一般具有时间短、任务紧的特点,前期各项准备工作是否充分是决定蓝队能否顺利完成攻击任务的关键因素。在蓝队攻击任务中,各类工具的运用会贯穿始终,高质量的工具往往能起到事半功倍的效果,极大提升蓝队的攻击效率。工欲善其事,必先利其器,那么我们就来盘点下蓝队主要使用的工具。
**检查网络连接:**确保你的计算机正常连接到互联网。尝试打开其他网页,以确保网络连接正常。
github:https://github.com/alex-sector/dns2tcp
随着智能家居的普及,物联网设备的数量也在增加。但是,由于物联网设备的开发商和供应商往往会忽略基本的安全机制,导致越来越多大规模网络攻击事件都与物联网设备有关。这不仅危及用户的安全,也给互联网带来了极大的安全威胁。目前,网络空间测绘系统使用主动探测技术来扫描整个IPv4空间,并通过获取banner或其他指纹来识别网络服务和暴露的物联网设备。然而,这种主动探测技术无法识别隐藏在NAT防火墙设备之后的IoT设备,同时,当IoT设备被分配到IPv6地址时,主动探测也面临挑战。
关于SubOver SubOver是一款功能强大的子域名接管测试工具,该工具原先采用Python语言开发,后续使用了Golang进行重写。自该工具重构开始,它一直以速度和运行效率为首要目标。到目前为止,当前版本的SubOver支持检测30多项服务,这一点也是该工具的强大之处。 当前版本的SubOver使用Golang的并发特性进行开发,因此速度非常快。在该工具的帮助下,广大研究人员可以轻松检测和报告潜在的子域名接管问题。 工具要求 Golang 工具安装 由于该工具基于Golang开发,
轮循均衡(Round Robin):每一次来自网络的请求轮流分配给内部中的服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。
前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下载。 木马一
计算机网络:也是一种通信基础设施,与其他两种网络不同的是计算机网络的端设备是功能强大的计算机
在互联网发展的早期,恶意程序采用TCP直连的方式连上受害者的主机。随着局域网的发展,以TCP反弹的方式进行连接。
在使用Ipv6搭建服务器,请抛弃NAT转换,端口转发, DMZ等概念 ipv6中每一个设备都可以是外网主机,可以被所有支持ipv6的设备链接(换句话来说,也请妥善报关您的主机/服务器)
虽然互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险。
客户方启动浏览器; 客户在浏览器的地址栏键入URL; 浏览器分析URL,找到信息资源所在主机地址; 与该主机(服务器)建立TCP连接(端口号80); 向该主机发出请求,要求获得某个页面; 服务器通过TCP连接传送页面; 撤销TCP连接; 浏览器在本机显示所得的页面。
今天的因特网无疑是有史以来由人类创造的、精心设计的最大系统、该系统由数以千计的计算机设备(计算机、平板电脑、智能手机)彼此相互连接构成,并且还有一批与因特网相互连接的物品比如游戏机、监控系统、汽车、医疗设备、智能眼镜、手表、运动手环等,随着5G时代的到来,万物互联也越来越称为可能,这里推荐一下 尤瓦尔·赫拉利 的《未来简史》,这个人的格局很高,他书中描述的未来也越来越成为现实,他写的文字能让你感觉到你更想变为计算机世界里的一片硅片。
注:本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。
云原生时代,基于 Kubernetes 的容器编排方案是当下最优选择,各个中型、大型互联网公司全都拥抱 Kubernetes,没有其他方案可以与 Kubernetes 匹敌。
上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。
通过前四篇博客,相信读者对于WebSocket的使用和数据(不论是ArrayBuffer还是String)传输都有了一个深刻的了解。现在我们来介绍下,我在使用WebSocket时,连接相关模块遇到的一些共性问题,以及我们如何解决这些问题。
区块链技术的迅速发展,使得数字货币渐渐走入的大众的视线,在2017年底,这股热潮达到顶峰,直接搅动着金融市场与科技市场,大量的数字货币交易流水催生了数字钱包开发行业, 根据钱包使用时的联网状态分为热钱包和冷钱包。
原因一:保护个人隐私是是第一出发点;科技进步飞快,网络也渗透入生活中的方方面面,近几年的隐私泄露事故时有发生,我们该如何保护个人隐私?
一 前言: 正所谓善守者不知其所攻,善攻者不知其所守。网络攻防本来就是一场看不见硝烟的对抗。 本人设计的这套端口蜜罐检测程序,是在总结了大量的APT攻击方法和思路之后,结合自己分析和思考,针对当前企业
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
领取专属 10元无门槛券
手把手带您无忧上云