轉自Hack Read，作者Waqas，藍色摩卡譯

DNS工作原理

域名系統(DNS)采用一個熟悉的、可理解的網站名稱，如Hackread.com，并將其轉換為IP地址。無論何時輸入Hackread.com或任何其他web地址，瀏覽器都會自動對提供主機名的DNS服務器執行DNS查詢。

接下來，DNS服務器獲取主機名并將其轉換為數字IP地址，將瀏覽器與站點連接起來。這就是當你輸入一個網址時所發生的事情。

名為DNS解析器的單元通過本地緩存檢查主機名的可用性。如果不可用，解析器將與多個DNS名稱服務器聯系，直到獲得用戶試圖查找的確切服務的IP，并將其返回給瀏覽器。

整個DNS服務器連接配合聽起來像一個很長的過程，但是它發生在一秒鐘之內。

DNS記錄

盡管您可能忽略了它們的存在，但是DNS服務器對于創建DNS記錄和提供關于域名或主機名(更具體地說是當前IP地址)的信息非常重要。以下是一些常見的DNS記錄:

地址映射記錄(一條記錄)——這也稱為DNS主機記錄。它存儲一個主機名和與之對應的IPv4地址。

IP版本6地址記錄(AAAA記錄)-不難記住。這個存儲主機名及其IPv6地址。

規范名稱記錄(CNAME記錄)——可以將此記錄應用于主機名，將其別名為另一個主機名。

每當DNS客戶機請求具有CNAME的記錄時，DNS解析過程就會重復，但是要使用一個全新的主機名。

郵件交換器記錄(MX記錄)——為域指定一個SMTP電子郵件服務器;它用于將發送出去的電子郵件路由到專用的電子郵件服務器。

Name Server Records (NS Record)——指定DNS區域(如forexample.com)被委托給特定的ANS(權威名稱服務器)，并證明該服務器的地址。

反向查找指針記錄(PTR記錄)——這允許DNS解析器提供一個IP地址并獲得一個主機名(主要是DNS查找，但反向查找)。

文本記錄(TXT記錄)——它攜帶機器可讀的數據，如機會加密、發送方策略框架、DMARC、DKIM等。

權威記錄(SOA)——的開始記錄,可以發現在一個DNS區域文件,指示DNS區域(權威名字服務器),聯系信息管理員的領域,領域的序列號,在DNS信息的頻率信息應當檢查該區域和刷新。

域名劫持

DNS記錄的維護非常高。對這些記錄的不充分保管將導致許多漏洞和暴露。通過對DNS記錄常見類型的了解，我們可以了解到DNS記錄管理不善所帶來的漏洞。

一個普遍存在的漏洞是域劫持。這是對您的DNS服務器和域名注冊商的直接攻擊，涉及非常不受歡迎的更改。例如竊取并引導您的流量遠離原始服務器，到達黑客需要的地方。

域名劫持通常是由域名注冊系統中的一個可利用漏洞引起的。當攻擊者獲得對DNS記錄的控制時，也可以在DNS級別實現。

后果還真的是很可怕：一旦壞人有了你的域名，他們就可以發起各種惡意活動。教科書上的例子是設置假的支付系統頁面，如PayPal、Visa或任何銀行。

攻擊者創建相同的銀行網站或PayPal副本，其余的由您填寫您的個人信息(最近NordVPN的網站)完成。

電子郵件地址、用戶名、密碼都屬于它們。幸運的是，您可以通過監視DNS記錄來避免這種情況。

如何查找DNS記錄

讀完本文后，您可能希望立即檢查DNS記錄，擔心暴露在此類攻擊和漏洞中。這是一個值得關注的好理由，因為大多數人幾乎沒有注意到這一點，他們的信息很快就被竊取了。但問題是如何找到DNS記錄?

1、入侵檢測系統

無論你使用 Snort、Suricata 還是 OSSEC，都可以制定規則，要求系統對未授權客戶的 DNS 請求發送報告。

你也可以制定規則來計數或報告 NXDomain 響應、包含較小 TTL 數值記錄的響應、通過 TCP 發起的 DNS 查詢、對非標準端口的 DNS 查詢和可疑的大規模 DNS 響應等。

DNS 查詢或響應信息中的任何字段、任何數值基本上都“能檢測”。唯一能限制你的，就是你的想象力和對 DNS 的熟悉程度。防火墻的 IDS （入侵檢測系統）對大多數常見檢測項目都提供了允許和拒絕兩種配置規則。

2、流量分析工具

Wireshark 和 Bro 的實際案例都表明，被動流量分析對識別惡意軟件流量很有效果。捕獲并過濾客戶端與解析器之間的 DNS 數據，保存為 PCAP （網絡封包）文件。

創建腳本程序搜索這些網絡封包，以尋找你正在調查的某種可疑行為?；蚴褂?PacketQ （最初是 DNS2DB ）對網絡封包直接進行 SQL 查詢。（記?。?strong>除了自己的本地解析器之外，禁止客戶使用任何其他解析器或非標準端口。）

3、解析器日志記錄

本地解析器的日志文件是調查 DNS 流量的最后一項，也可能是最明顯的數據來源。在開啟日志記錄的情況下，你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之類的工具收集 DNS 服務器的日志，并搜索已知惡意域名。

盡管本文提到了不少資料鏈接、案例分析和實際例子，但也只是涉及了眾多監控 DNS 流量方法中的九牛一毛，疏漏在所難免，要想全面快捷及時有效監控 DNS 流量，不妨試試 DNS 服務器監控。

好消息是，有很多在線工具可以幫助您監視DNS記錄。一個很好的例子是DNStable工具。它是Spyse生態系統中的主要工具之一，允許您快速方便地查找所需的所有DNS記錄。

Spyse盡其所能向沒有多少技術知識的用戶開放可用性，因此即使您不知道我們在這里討論什么，也可以保護您的DNS記錄。

聲明：我們尊重原創者版權，除確實無法確認作者外，均會注明作者和來源。轉載文章僅供個人學習研究，同時向原創作者表示感謝，若涉及版權問題，請及時聯系小編刪除！