【HW前知识库储备】HW中如何检测和阻止DNS隧道

以下内容来源于：信安旅途

今天和大家聊聊关于HW中

如何检测与阻止DNS隧道

若有不足之处，勿喷

绕道即可

DNS隧道是一种攻击方法，它对DNS查询和响应中的其他程序或协议的数据进行编码，允许黑客使用DNS服务器访问网络。 通过创建使用协议对象的应用程序规则，将防火墙配置为检测并阻止DNS隧道。

常用的建立DNS隧道工具有：Dnscat2 和 iodine 。

下载地址：

// Dnscat2https://github.com/iagox86/dnscat2// iodinehttps://github.com/yarrick/iodine

步骤1：创建访问规则

1. 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
2. 单击 Lock 。
3. 单击规则集右上角的加号图标（ + ），或右键单击规则集并选择 New > Rule 。
4. 选择 Pass 作为操作。
5. 输入规则的 Name 。例如，Block-DNS-Tunneling
6. 指定以下设置：
• Source - 选择 Trusted LAN 。
• Destination - 选择 Internet 。
• Service - 选择 Any 。
• Connection Method - 选择 Dynamic NAT 。
• Application Policy - 启用 Application Control 。
  
7. 单击 OK 。
8. 拖放访问规则，使其成为第一个匹配您希望转发的流量的规则。确保规则位于BLOCKALL规则之上;永远不会执行位于BLOCKALL规则下面的规则。
9. 单击 Send Changes 并 Activate 。

步骤2：创建协议对象

1. 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
2. 单击 Lock 。
3. 在左侧菜单中，展开 Firewall Objects 然后选择 Applications 。
4. 通过右键单击表并选择 New > Protocol Object 或使用规则集右上区域中的图标来创建协议对象。
5. 输入协议对象的 Name 。
6. 搜索或过滤协议 DNS 。
7. 在 Select Protocols 列表中，展开 DNS ，然后单击 DNS Tunnel 旁边的加号（ + ）。
8. 该协议出现在 Protocol Set 部分中。
   
9. 单击 Save 。
10. 单击 Send Changes 并 Activate 。

步骤3：创建应用程序规则

1. 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
2. 在左侧菜单中，单击 Application Rules 。
3. 单击 Lock 。
4. 单击页面右上角的绿色加号（ + ）或右键单击规则集，然后选择 New > Rule 。应用程序规则 New Rule 将添加到应用程序规则集中。
5. 双击刚刚创建的 New Rule 应用程序规则。Edit Rule 窗口将打开。
6. 输入规则的 Name 。例如， Block-DNS-Tunneling
7. 指定以下设置：
• Action - 选择 Deny 。
• Source - 选择 Trusted LAN 。
• Destination - 选择 Internet 。
• Application - 选择 Any 。
• Protocol - 选择在步骤2中创建的协议对象
  
8. 单击 OK 。
9. 拖放应用程序规则，使其成为匹配应用程序流量的第一个规则。
10. 单击 Send Changes 并 Activate 。

一如既往的学习，一如既往的整理，一如即往的分享。感谢支持

“如侵权请私聊公众号删文”

扫描关注LemonSec

觉得不错点个“赞”、“在看”哦

本文始发于微信公众号（LemonSec）：【HW前知识库储备】HW中如何检测和阻止DNS隧道