По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Все, кто так или иначе причастен к миру IT, точно слышал это слово из трех букв - DNS. Domain Name System это своего рода телефонный справочник, в котором указаны адреса всех веб-сайтов в интернете. Также DNS это довольно простой протокол, работающий, как правило, через 53 порт и который используется системными администраторами в буквально каждой сети - ну а куда без него? В данной статье мы не будем подробно разбирать схему работы DNS и типа DNS серверов - это мы оставим на потом.
Каждый раз когда приложение или человек пытается попасть на какой-нибудь веб-сайт, DNS запрашивает в образном "телефонном справочнике" IP-адрес этого ресурса и отправляет вас по нужному адресу.
Темой этой статьи будет некорректное использование службы злоумышленниками: в какой-то момент умные товарищи поняли, что DNS также является прекрасным вектором атаки и научились использовать DNS в целях передачи информации и команд на компьютер жертвы, и это, по сути является основным принципом DNS туннелирования.
Принцип работы DNS туннелирования на пальцах
Пять шагов DNS туннелирования:
Злоумышленник использует DNS для маскировки вредоносных действий, т.к DNS трафик в 99,99% разрешен и не проверяется;
Далее злодеи туннелирует другие протоколы (к примеру, http) через DNS
Далее они туннелируют IP-трафик и передают украденную информацию
Украденную информация снова преобразуют в удобный для восприятия вид
Установленный туннель используют для передачи вредоносного ПО
Обратите внимание на скриншот - я запросил IP-адрес gismeteo.ru. В терминах технологии DNS, вы сделали запрос типа А (от слова Address). Типов подобных запросов существует несколько, и чуть ниже я попробую это продемонстрировать.
В любом случае, под капотом у DNS работает простая схема клиентский запрос на сервер, который в свою очередь отвечает клиенту обратно. А что если можно было бы "зашить" сообщение внутрь запроса?
Представьте себе, что хакеры контролируют DNS сервер: в таком случае, они смогут просто собирать всю нужную информацию без риска оказаться замеченными. Опять же - как DNS запрос может быть нелегитимным? Все привыкли к тому, что эта служба работает всегда и не несет никакой угрозы. Но если служба оказалась скомпрометированной, злоумышленники могут фальсифицировать запросы и использовать информацию, скрытую в различных полях ответных пакетов для контроля вредоносного ПО на компьютере жертвы.
Самая интересная часть - это туннелирование, то есть маскировка информации и передаваемых команд. Делается это, очевидно для того, чтобы подобный трафик прошел незамеченным мимо защитных систем и ПО. Для маскировки используются base32, base 64, а порой и полноценное шифрование.
Base32 и Base64 - это способы кодировки информации используя 32 символа и 64 соответственно. Суть данного упражнении в передаче любой информации в текстовом виде.У обоих методов есть минусы - Base32 код оказывается в 1,6 раза больше оригинальной информации, а Base64 - регистрозависим.
Когда возник данный тип атак?
Впервые подобный вид атак был упомянут в рассылке Buqtraq неким Оскаром Пирсоном в апреле 1998 года.
Далее в 2004 на ежегодной конференции Black Hat была представлена подробная техника - то есть буквально руководство по использованию данной атаки. Шло время и данный тип атак становился все популярнее - сегодня этот механизм встроен буквально в каждый вирус-шифровальщик.
Попробуйте погуглить словосочетание Sea Turtle - это все еще активная кампания, целью которой является взлом легитимных DNS серверов для перенаправления запросов на свои собственные сервера. То есть злоумышленники смогут отвечать на эти запросы ложными сайтами. К примеру пользователь будет пытаться зайти на Facebook или свой аккаунт Ozon, но на самом деле это будут копии страниц, созданные для перехвата пользовательской информации. Честно говоря, такой тип атак не имеет ничего общего с туннелированием DNS, но вектор атаки остается тем же. И представьте себе последствия от украденных учетных данных - лично я бы не хотел, что злоумышленники получили доступ к моим аккаунт в онлайн банках и социальных сетях.
Основные опасности DNS туннелирования
Как вы уже могли понять из моей спутанной и слегка аутичной статьи, DNS туннелирование является механизмом, который является катализатором для различного вида неприятностей, а именно:
Утечка данных: злоумышленники используют DNS для банального вывода текстовой информации с помощью определенной маскировки. Объемы вывода небольшие, но порой много и не требуется - к примеру, данные паспорта улетят очень быстро;
Удаленный контроль: злоумышленники отправляют различные команды через DNS, к примеру для управления RAT-ами (троянами с удаленным управлением). К слову, большое количество шифровальщиков именно так получают свои инструкции и ключи шифрования;
IP-Over-DNS туннелирование: сейчас уже можно найти специальные утилиты, в которых IP стэк имплементирован в клиент-серверную модель работы DNS. То есть такие утилиты позволяют относительно просто передавать информацию используя стандартные штуки вроде FTP, Netcat, ssh и пр. То есть через DNS можно будет передать буквально любую информацию
Техники детектирования DNS - туннелирования
Существует два основных метода по обнаружения некорректного использования DNS службы: анализ трафика и анализ полезной нагрузки.
При анализе полезной нагрузке необходимо обращать внимание на странные и аномальные запросы, особенно если они содержат в себе странные доменные имена, странные символы и пр. Для выявления подобного используются различные статистические техники.
В свою очередь, при анализе трафика, нужно обращать внимание на общее количество запросов к домену и сравнивать это число со средними значениями. Хакеры, осуществляющие DNS туннелирование, будут создавать большой объем DNS трафика - что сразу должно вызвать подозрения, так как отличия в объемах будут буквально на порядки.
Утилиты для создания DNS туннеля:
Если вам хочется посмотреть, уязвима ли ваша инфраструктура к такому виду атак, то можете попробовать несколько утилит из списка ниже (только на свой страх и риск). Все эти утилиты реализуют IP-over-DNS механизм атак.
Iodine: данная утилита доступна на большинстве платформ (Linux, Mac OS, Windows, FreeBSD) и позволяет установить SSH туннель между целью и вашим компьютером. Утилита не самая простая, когда-нибудь мы напишем статью чс примером ее использования;
OzymanDNS: функционал схож с Iodine, то есть утилита также позволяет строить SSH туннель. Интересно то, что это проект целиком и полностью написан на Perl;
DNSCat2: многофункциональный комбайн, который создает зашифрованный канал для управления (C2) и позволяет скачивать/загружать файлы, запускать cmd/powershell и пр.
Утилиты для мониторинга DNS туннеля:
dnsHunter: модуль на питоне, написанный для Mercenary-Linux. Данный модуль читает .pcap файлы, выделяет из них DNS-запросы и осуществляет геолукапы, что также может помочь при расследовании;
reassemble_dns: также утилита, написанная на питоне, которая позволяет читать .pcap файлы и реконструировать DNS запросы;
Привет! В этой статье мы рассмотрим настройку DECT системы Yealink W52P, состоящей из базовой станции и телефонной трубки, на примере связки с IP-АТС Asterisk.
$dbName_ecom = "to-www_ecom";
$GoodID = "5382224392";
mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение ");
mysql_select_db($dbName_ecom) or die(mysql_error());
$query_ecom = "SELECT `model`, `itemimage1`, `price`, `discount`, `url`, `preview115`, `vendor`, `vendorCode` FROM `items` WHERE itemid = '$GoodID';";
$res_ecom=mysql_query($query_ecom) or die(mysql_error());
$row_ecom = mysql_fetch_array($res_ecom);
echo 'Кстати, купить '.$row_ecom['vendor'].' '.$row_ecom['vendorCode'].' можно в нашем магазине Merion Shop по ссылке ниже. С настройкой поможем 🔧
Купить '.$row_ecom['model'].''.number_format(intval($row_ecom['price']) * (1 - (intval($row_ecom['discount'])) / 100), 0, ',', ' ').' ₽';
$dbName = "to-www_02";
mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение ");
mysql_select_db($dbName) or die(mysql_error());
Пошаговое видео
Настройка
Первым делом нам нужно зарегистрировать трубку на базе. Для этого после включения базы в сеть нужно нажать на кнопку на нее лицевой панели и держать нажатой 2 – 3 секунды. После этого индикатор рядом с иконкой телефона начнет мигать.
Далее возьмем в руки трубку и зайдем в меню и далее идем в раздел Настройки – Регистрация трубки – Зарегистрировать трубку. Здесь нужно выбрать нашу базу и нажать ОК. После того как трубка ее найдет нам нужно ввести ПИН-код. Для телефонов Yealink W52P ПИН-код по умолчанию – 0000. После чего мы увидим сообщение что наша трубка зарегистрирована. Отлично!
Теперь нам нужно попасть на веб-интерфейс для дальнейшей настройки телефона и для это нам нужно узнать IP-адрес базы. Сделать это можно либо на роутере, либо через специальные программы-анализаторы, где мы сможем идентифицировать нашу базу по MAC-адресу, написанному на коробке.
После того как мы попали на веб-интерфейс нам нужно указать логин с паролем. Стандартный для Yealink W52P логин – admin, пароль – admin. Изменить его можно будет в меню Безопасность – Пароль. После входа мы попадаем на вкладку Статус с информацией о нашем устройстве. Нам нужно перейти во вкладку Аккаунт и заполнить там следующие поля:
Аккаунт – выбираем какой аккаунт нам нужно настроить;
Аккаунт – включено;
Лейбл – отображаемое название трубки;
Отображаемое имя – имя которое будет отображаться при вызове;
Имя регистрации – указываем внутренний номер;
Имя пользователя – указываем внутренний номер;
Пароль – пароль для выбранного номера;
Адрес SIP-сервера – IP-адрес IP-АТС;
Порт – указываем номер порта.
После этого сохраняем и применяем настройки. На этой же странице в строке Статус регистрации должен измениться на Зарегистрировано. Успех!
Для того чтобы посмотреть статус трубок, зарегистрировать новые или удалить трубки из базы нужно перейти в меню Статус – Трубки & VoIP.
Теперь можно произвести дополнительные настройки. Так, например, если у нас несколько трубок и нам нужно распределить аккаунты по ним, то нам нужно перейти в пункт меню Аккаунт – Маршрутизация и задать их распределение.
Изменить имена трубок можно в меню Аккаунт – Имя Трубки.
Ну а если нам нужно изменить сетевые настройки и, к примеру, установить статический адрес базы, то нужно перейти в меню Сеть.
В многоуровневой и/или модульной системе должен быть какой-то способ связать услуги или объекты на одном уровне с услугами и объектами на другом. Рисунок 1 иллюстрирует проблему.
На рисунке 1
Как A, D и E могут определить IP-адрес, который они должны использовать для своих интерфейсов?
Как D может обнаружить Media Access Control адрес (MAC), физический адрес или адрес протокола нижнего уровня, который он должен использовать для отправки пакетов на E?
Как может client1.example, работающий на D, обнаружить IP-адрес, который он должен использовать для доступа к www.service1.example?
Как D и E могут узнать, на какой адрес они должны отправлять трафик, если они не на одном и том же канале или в одном и том же сегменте?
Каждая из этих проблем представляет собой отдельную часть interlayer discovery. Хотя эти проблемы могут показаться не связанными друг с другом, на самом деле они представляют собой один и тот же набор проблем с узким набором доступных решений на разных уровнях сети или стеках протоколов. В лекции будет рассмотрен ряд возможных решений этих проблем, включая примеры каждого решения.
Основная причина, по которой проблемное пространство interlayer discovery кажется большим набором не связанных между собой проблем, а не одной проблемой, состоит в том, что оно распределено по множеству различных уровней; каждый набор уровней в стеке сетевых протоколов должен иметь возможность обнаруживать, какая услуга или объект на «этом» уровне относится к какой услуге или объекту на каком-либо более низком уровне. Другой способ описать этот набор проблем - это возможность сопоставить идентификатор на одном уровне с идентификатором на другом уровне - сопоставление идентификаторов. Поскольку в наиболее широко применяемых стеках протоколов есть по крайней мере три пары протоколов , необходимо развернуть широкий спектр решений для решения одного и того же набора проблем межуровневого обнаружения в разных местах. Два определения будут полезны для понимания диапазона решений и фактически развернутых протоколов и систем в этой области:
Идентификатор - это набор цифр или букв (например, строка), которые однозначно идентифицируют объект.
Устройство, реальное или виртуальное, которое с точки зрения сети кажется единым местом назначения, будет называться объектом при рассмотрении общих проблем и решений, а также хостами или услугами при рассмотрении конкретных решений.
Есть четыре различных способа решить проблемы обнаружения interlayer discovery и адресации:
Использование известных и/или настроенных вручную идентификаторов
Хранение информации в базе данных сопоставления, к которой службы могут получить доступ для сопоставления различных типов идентификаторов.
Объявление сопоставления между двумя идентификаторами в протоколе
Вычисление одного вида идентификатора из другого
Эти решения относятся не только к обнаружению, но и к присвоению идентификатора. Когда хост подключается к сети или служба запускается, он должен каким-то образом определить, как он должен идентифицировать себя - например, какой адрес Интернет-протокола версии 6 (IPv6) он должен использовать при подключении к локальной сети. Доступные решения этой проблемы - это те же четыре решения.
Хорошо известные и/или настраиваемые вручную идентификаторы
Выбор решения часто зависит от объема идентификаторов, количества идентификаторов, которые необходимо назначить, и скорости изменения идентификаторов. Если:
Идентификаторы широко используются, особенно в реализациях протоколов, и сеть просто не будет работать без согласования межуровневых сопоставлений и ...
Количество сопоставлений между идентификаторами относительно невелико, и ...
Идентификаторы, как правило, стабильны - в частности, они никогда не изменяются таким образом, чтобы существующие развернутые реализации были изменены, чтобы сеть могла продолжать функционировать, а затем ...
Самым простым решением является ведение какой-либо таблицы сопоставления вручную.
Например, протокол управления передачей (TCP) поддерживает ряд транспортных протоколов более высокого уровня. Проблема соотнесения отдельных переносимых протоколов с номерами портов является глобальной проблемой межуровневого обнаружения: каждая реализация TCP, развернутая в реальной сети, должна иметь возможность согласовать, какие службы доступны на определенных номерах портов, чтобы сеть могла «работать». Однако диапазон межуровневых сопоставлений очень невелик, несколько тысяч номеров портов необходимо сопоставить службам, и довольно статичен (новые протоколы или службы добавляются не часто). Таким образом, эту конкретную проблему легко решить с помощью таблицы сопоставления, управляемой вручную.
Таблица сопоставления для номеров портов TCP поддерживается Internet Assigned Numbers Authority (IANA) по указанию Engineering Task Force (IETF); Часть этой таблицы показана на рисунке 2. На рисунке 2 службе echo назначен порт 7; эта служба используется для обеспечения функциональности ping.
База данных и протокол сопоставления
Если число записей в таблице становится достаточно большим, число людей, участвующих в обслуживании таблицы, становится достаточно большим или информация достаточно динамична, чтобы ее нужно было изучать во время сопоставления, а не при развертывании программного обеспечения, имеет смысл создавать и распространять базу данных динамически. Такая система должна включать протоколы синхронизации разделов базы данных для представления согласованного представления внешним запросам, а также протоколы, которые хосты и службы могут использовать для запроса базы данных с одним идентификатором, чтобы обнаружить соответствующий идентификатор из другого уровня сети.
Базы данных динамического сопоставления могут принимать входные данные с помощью ручной настройки или автоматизированных процессов (таких как процесс обнаружения, который собирает информацию о состоянии сети и сохраняет полученную информацию в динамической базе данных). Они также могут быть распределенными, что означает, что копии или части базы данных хранятся на нескольких различных хостах или серверах, или централизованными, что означает, что база данных хранится на небольшом количестве хостов или серверов.
Система доменных имен (DNS) описывается как пример службы сопоставления идентификаторов, основанной на динамической распределенной базе данных. Протокол динамической конфигурации хоста (DHCP) описан в качестве примера аналогичной системы, используемой в основном для назначения адресов.
Сопоставления идентификаторов объявления в протоколе
Если объем проблемы сопоставления может быть ограничен, но количество пар идентификаторов велико или может быстро меняться, то создание единого протокола, который позволяет объектам запрашивать информацию сопоставления напрямую от устройства, может быть оптимальным решением. Например, на рисунке 1 D может напрямую спросить E, какой у него локальный MAC-адрес (или физический).
Интернет протокол IPv4 Address Resolution Protocol (ARP) является хорошим примером такого рода решений, как и протокол IPv6 Neighbor Discovery (ND).
Вычисление одного идентификатора из другого
В некоторых случаях можно вычислить адрес или идентификатор на одном уровне из адреса или идентификатора на другом уровне. Немногие системы используют этот метод для сопоставления адресов; большинство систем, использующих этот метод, делают это для того, чтобы назначить адрес. Одним из примеров такого типа систем является Stateless Address Autoconfiguration (SLAAC), протокол IPv6, который хосты могут использовать для определения того, какой IPv6-адрес должен быть назначен интерфейсу.
Другим примером использования адреса нижнего уровня для вычисления адреса верхнего уровня является формирование адресов конечных систем в наборе протоколов International Organization for Standardization (ISO), таких как Intermediate System to Intermediate System (IS-IS).