网站内容更新监控(DNS工作原理域名系统(一条记录)——DNS记录)

　　网站内容更新监控(DNS工作原理域名系统(一条记录)——DNS记录)

　　来自 Hack Read，作者 Waqas，由 Blue Mocha 翻译

　　DNS 的工作原理

　　域名系统 (DNS) 采用熟悉且易于理解的名称，例如 网站，并将其转换为 IP 地址。每当您输入或任何其他网址时，浏览器都会自动对提供主机名的 DNS 服务器执行 DNS 查找。

　　接下来，DNS 服务器获取主机名并将其转换为数字 IP 地址，将浏览器与站点连接起来。这就是您输入 URL 时发生的情况。

　　一个称为 DNS 解析器的单元根据本地缓存检查主机名的可用性。如果不可用，解析器将联系多个 DNS 名称服务器，直到它获得用户尝试查找的确切服务的 IP 并将其返回给浏览器。

　　整个 DNS 服务器连接的配合听起来像是一个漫长的过程，但它会在一秒钟内完成。

　　DNS 记录

　　尽管您可能会忽略它们的存在，但 DNS 服务器对于创建 DNS 记录和提供有关域名或主机名（更具体地说是当前 IP 地址）的信息非常重要。以下是一些常见的 DNS 记录：

　　地址映射记录（一条记录） - 这也称为 DNS 主机记录。它存储一个主机名及其对应的 IPv4 地址。

　　IP 版本 6 地址记录（AAAA 记录）——不难记住。这将存储主机名及其 IPv6 地址。

　　规范名称记录（CNAME 记录）- 此记录可应用于主机名，将其别名为另一个主机名。

　　每次 DNS 客户端使用 CNAME 请求记录时，都会重复 DNS 解析过程，但使用的是全新的主机名。

　　Mail Exchanger Record (MX Record) - 为域指定一个 SMTP 电子邮件服务器；它用于将传出的电子邮件路由到专用的电子邮件服务器。

　　名称服务器记录（NS 记录）- 指定 DNS 区域（例如 ）被委托给特定的 ANS（权威名称服务器）并证明该服务器的地址。

　　反向查找指针记录（PTR 记录） - 这允许 DNS 解析器提供 IP 地址并获取主机名（主要是 DNS 查找，但反向查找）。

　　文本记录（TXT 记录）——它携带机器可读的数据，如机会加密、发件人策略框架、DMARC、DKIM 等。

　　授权记录 (SOA) - 起始记录，可在 DNS 区域文件中找到，指示 DNS 区域（权威名称服务器）、领域管理员的联系信息、领域的序列号和应检查该区域的 DNS 信息中的频率信息并刷新。

　　域名劫持

　　DNS 记录的维护成本很高。对这些记录的不充分保管将导致许多违规和暴露。通过了解DNS记录的常见类型，我们可以了解DNS记录管理不善导致的漏洞。

　　一个常见的漏洞是域劫持。这是对您的 DNS 服务器和域注册商的直接攻击，涉及非常不受欢迎的更改。例如窃取并将您的流量从原创服务器引导到黑客需要的地方。

　　域名劫持通常是由域名注册系统中的可利用漏洞引起的。当攻击者获得对 DNS 记录的控制权时，它也可以在 DNS 级别实现。

　　后果真的很可怕：一旦坏人有了你的域名，就可以发动各种恶意活动。教科书示例是设置虚假支付系统页面，如 PayPal、Visa 或任何银行。

　　攻击者创建相同的银行网站 或 PayPal 副本，然后您填写您的个​​人信息（最近是 NordVPN 的 网站）并完成其余工作。

　　电子邮件地址、用户名、密码都属于他们。幸运的是，您可以通过监控 DNS 记录来避免这种情况。

　　如何查找 DNS 记录

　　阅读本文后，您可能希望立即检查您的 DNS 记录，以免遭受此类攻击和漏洞。这是一个值得关注的好理由，因为大多数人几乎没有注意到它，他们的信息很快就被盗了。但问题是如何找到 DNS 记录？

　　1、入侵检测系统

　　无论您使用 Snort、Suricata 还是 OSSEC，您都可以创建要求系统报告来自未经授权客户端的 DNS 请求的规则。

　　您还可以创建规则来计算或报告 NXDomain 响应、收录具有小 TTL 值的记录的响应、通过 TCP 发起的 DNS 查询、非标准端口上的 DNS 查询以及可疑的*敏*感*词* DNS 响应等。

　　DNS 查询或响应消息中的任何字段、任何值基本上都是“可检测的”。唯一限制您的是您的想象力和对 DNS 的熟悉程度。Firewall 的 IDS（入侵检测系统）为最常见的检测项提供了允许和拒绝配置规则。

　　2、流量分析工具

　　Wireshark 和 Bro 都证明了被动流量分析在识别恶意软件流量方面是有效的。捕获和过滤客户端和解析器之间的 DNS 数据作为 PCAP（网络数据包）文件。

　　创建一个脚本来搜索这些网络数据包以查找您正在调查的某种可疑行为。或者使用 PacketQ（最初是 DNS2DB）对网络数据包进行直接 SQL 查询。（请记住：除了他们自己的本地解析器之外，禁止客户端使用任何其他解析器或非标准端口。）

　　3、解析器日志记录

　　本地解析器的日志文件是调查 DNS 流量的最后一项，并且可能是最明显的数据来源。打开日志记录后，您可以使用 Splunk plus getwatchlist 或 OSSEC 等工具采集 DNS 服务器日志并搜索已知的恶意域。

　　虽然这篇文章提到了很多信息链接、案例研究和实际例子，但它只涵盖了监控DNS流量的方法数量的下降，遗漏在所难免。如果您想全面、快速、有效地监控 DNS 流量，不妨试试 DNS 服务器监控。.

　　好消息是有很多在线工具可以帮助您监控 DNS 记录。一个很好的例子是 DNStable 工具。它是 Spyse 生态系统中的主要工具之一，可让您快速轻松地找到所需的所有 DNS 记录。

　　Spyse 尽最大努力向几乎没有技术知识的用户开放可用性，因此即使您不知道我们在这里谈论的是什么，您也可以保护您的 DNS 记录。

　　免责声明：我们尊重原创作者的版权，除非无法确认作者，否则将注明作者和出处。转载文章仅供个人学习研究，同时对原创的作者表示感谢。如有版权问题，请及时联系小编删除！

　　精彩的背后

　　大家好，我是超级盾