Skip to content
logo
Mars’ Blog | 记录·分享·回顾
RSS信息流RedBlue
Recently Updated
04-10: 如何选择网络安全框架
04-10: 绕过ChatGPT的限制,并使用它来做免杀木马
04-10: Security.News@202302
04-09: 关于这个站点
04-09: 置顶_网络安全事件汇总
04-09: ChatGPT来临,未来我们可能只需要Prompt工程师:如何制作清晰有效的Prompt
04-09: 理解PHP内存管理
04-09: WordPress 3.8.2 cookie伪造漏洞及Python使用urllib2出现30x跳转的问题
04-09: 折纸作品
04-09: 摄影作品

Categories

关于这个站点
博客
安全知识库
Blue Team基础设施
Blue Team能力建设
命令与控制 C2
DNS Tunnel隧道检测
基于统计学的C2流量检测
威胁检测规则
安全架构
安全规范&模型
应急响应
文件分析
检测工程
欺骗防御
Red Team基础设施
Red Team能力建设
专题研究
学习资源
实践参考
行业观察
安全通讯 Security.News
知识管理
置顶_网络安全事件汇总

Tags

AMD (2)
AWS (3)
Blue Team基础设施 (10)
Blue Team能力建设 (17)
DNS Tunnel隧道检测
基于统计学的C2流量检测
Elastic Rules
SIGMA Rules
如何选择网络安全框架
Splunk Rules
2021 CWE Top 25 软件脆弱点
认证强度成熟度模型 CASMM
Windows.Linux.MacOS Cheat Sheet
常用目录
长亭的webshell检测漫画挺有意思
应急响应方法论&框架
如何提升威胁检测能力?——Palantir威胁检测框架介绍
如何提升威胁检测能力?——Palantir威胁检测框架介绍
长亭欺骗解决方案
阿里云云原生蜜罐
默安科技欺骗防御体系
Bug Bounty (1)
Bypass (1)
CASMM (1)
CIA (1)
CSP (1)
CWE (1)
ChatGPT (2)
Cheat Sheet (1)
Cisco (2)
CloudFlare (1)
Cloudflare (3)
Coinbase (1)
Conti (2)
CrowdStrike (1)
DNS (2)
重定向器 Redirectors
DNS Tunnel隧道检测
EDR (2)
EDR商业化产品 (1)
EDR能力评估 (2)
Elastic (1)
Extrahop (1)
Facebook (1)
Fast (1)
Gigamon (2)
Github (1)
Godaddy (1)
Google (7)
ICMP隧道 (1)
Lapsus$ (4)
LastPass (1)
Lastpass (1)
MFA (1)
MITRE (3)
Mandiant (2)
Microsoft (4)
NIST (1)
NSA (2)
Optus (1)
PHP (3)
Palantir (1)
Palo Alto Networks (2)
Prompt (1)
Python (1)
REvil (1)
RSAC (1)
Red Canary (1)
Red Team基础设施 (4)
Red Team能力建设 (5)
Redirector (2)
SIGMA (1)
SMTP (2)
SOAR (1)
SQLmap (1)
SQL注入 (2)
SolarWinds (2)
SpecterOps (1)
Splunk (1)
Synopsys (1)
TTPs (1)
TTPs动态 (3)
Twilio (1)
Twillo (1)
Twitter (1)
Uber (2)
Web应用防火墙 (2)
WordPress (1)
log4j (5)
netscout (1)
webshell (2)
web安全 (2)
专题研究 (10)
供应链安全 (2)
入侵检测 (2)
内存管理 (1)
创新沙盒 (1)
初始访问 Initial Access (3)
加密流量 (1)
勒索软件 (1)
博客 (14)
友商动态 (2)
反序列化 (1)
可视化 (1)
命令与控制 C2 (6)
自动化部署
重定向器 Redirectors
CIA 如何实现C&C基础设施
DNS Tunnel隧道检测
基于统计学的C2流量检测
域隐藏 Domain Hiding
域名 (1)
奇安信 (1)
威胁检测 (3)
威胁检测规则 (3)
学习资源 (5)
安全事件 (6)
安全加固 (1)
安全可视化 (1)
安全报告 (1)
安全数据 (1)
安全架构 (3)
安全框架 (1)
安全演习 (1)
安全规范&模型 (2)
安全通讯 Security.News (6)
实践参考 (4)
应急响应 (3)
开源 (1)
思维导图 (6)
指标 (1)
数据外传 Exfiltration (1)
数据泄露 (1)
文件分析 (1)
方法论 (1)
日常折腾 (2)
最佳实践 (2)
机器学习 (3)
架构 (2)
框架 (3)
检测工程 (2)
欺骗防御 (3)
流量检测 (1)
爬虫 (1)
知识管理 (1)
系统设计 (2)
红蓝对抗 (1)
终端基础设施 (5)
绕过 Bypass (1)
绕过MFA (1)
网络基础设施 (2)
能力评估 (2)
蜜罐 (1)
行业动态 (5)
行业实践 (2)
行业报告 (2)
行业观察 (8)
误报率 (1)
钓鱼 (6)
长亭 (2)
阿里云 (3)
隐私 (1)
雾帜智能 (1)
面试 (1)
风险评估 (1)
默安科技 (1)
On this page

DNS Tunnel隧道检测

On this page

1. 阅读目录(Content)

  • DNS隧道简介
    • DNS隧道木马分类
      • IP直连型 DNS隧道木马
      • 域名型 DNS隧道木马 - DNS迭代查询中继隧道
      • IP直连型和域名解析型异同点
  • Powershell+dnscat2实现DNS隐蔽隧道反弹Shell
    • C&C域名绑定
    • 在C&C服务器上安装DNS C&C Server
    • 部署客户端dnscat2 client
    • 连接建立后,C&C控制端可以执行指令
      • 获取shell
      • 端口转发
    • wireshark抓包分析
      • UDP直连模式
      • 域名解析模型
  • 可用于DNS tunnel的检测思路 - 基于UDP DNS会话
    • DNS query type成分组成异常检测
      • DNS Tunnel
      • DNS FF Botnet
      • DNS Query types Numbers
    • 基于Zipf定律的异常检测 - Frequency Analysis
    • DNS query/answer文本特征
      • n-gram文本特征
      • 基于CNN深度神经网络,从文本角度判断单条DNS query是否存在可疑Tunnel特征
      • Query/Answer长度特征
    • 基于会话聚类维度的DNS tunnel行为特征
      • DNS会话时长
      • DNS会话中数据包总数
      • “上行大包”占请求报文总数的比例
      • “下行小包”占响应报总数的比例
      • 有效载荷的上传下载比
      • 有效载荷部分是否加密
      • 域名对应的主机名数量
      • FQDN数异常检测
      • 总的query 报文Payload载荷量
    • 响应时间相关特征
      • Response wait time特征
    • 信息熵
    • 发包频率行为
  • 可用于DNS tunnel的检测思路 - 基于DNS QUERY维度
    • Network Features - 网络访问行为方面的特征
      • 域名被访问频率角度特征
      • TTL (last seen - first seen)
      • window
      • dns name change frequency
    • Lexical Features
      • 域名本身词频特征层面特征
      • 域名的香侬熵
      • 字符分布特征 -可读性/易读性方面的体现
    • DNS session会话相关特征
      • Number of IP subnetworks
      • DNS对应的src_ip/dst_ip count相关特征
      • DNS query type组成成分相关特征
    • DNS域名相关meta信息
      • whois-based features
  • 异常数据清洗
    • 基线异常过滤思路
    • 无监督异常abnormal检测算法

2. 参考资料

Tags

Edit this page
Last updated on 4/9/2023