今天和大家聊聊关于HW中
如何检测与阻止DNS隧道
若有不足之处,勿喷
绕道即可
DNS隧道是一种攻击方法,它对DNS查询和响应中的其他程序或协议的数据进行编码,允许黑客使用DNS服务器访问网络。 通过创建使用协议对象的应用程序规则,将防火墙配置为检测并阻止DNS隧道。
常用的建立DNS隧道工具有:Dnscat2 和 iodine 。
下载地址:
// Dnscat2
https://github.com/iagox86/dnscat2
// iodine
https://github.com/yarrick/iodine
步骤1:创建访问规则
创建访问规则以允许从网络到 Internet 的流量。- 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
- 单击规则集右上角的加号图标( + ),或右键单击规则集并选择 New > Rule 。
- 输入规则的 Name 。例如,Block-DNS-Tunneling
- Source - 选择 Trusted LAN 。
- Destination - 选择 Internet 。
- Connection Method - 选择 Dynamic NAT 。
- Application Policy - 启用 Application Control 。
- 拖放访问规则,使其成为第一个匹配您希望转发的流量的规则。确保规则位于BLOCKALL规则之上;永远不会执行位于BLOCKALL规则下面的规则。
- 单击 Send Changes 并 Activate 。
步骤2:创建协议对象
- 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
- 在左侧菜单中,展开 Firewall Objects 然后选择 Applications 。
- 通过右键单击表并选择 New > Protocol Object 或使用规则集右上区域中的图标来创建协议对象。
- 在 Select Protocols 列表中,展开 DNS ,然后单击 DNS Tunnel 旁边的加号( + )。
- 该协议出现在 Protocol Set 部分中。
- 单击 Send Changes 并 Activate 。
步骤3:创建应用程序规则
为网络和Internet之间的流量创建应用程序规则。使用协议对象阻止DNS隧道协议。- 转至 CONFIGURATION > Configuration Tree > Box > Virtual Servers > your virtual server > Assigned Services > Firewall > Forwarding Rules 。
- 在左侧菜单中,单击 Application Rules 。
- 单击页面右上角的绿色加号( + )或右键单击规则集,然后选择 New > Rule 。应用程序规则 New Rule 将添加到应用程序规则集中。
- 双击刚刚创建的 New Rule 应用程序规则。Edit Rule 窗口将打开。
- 输入规则的 Name 。例如, Block-DNS-Tunneling
- Source - 选择 Trusted LAN 。
- Destination - 选择 Internet 。
- Protocol - 选择在步骤2中创建的协议对象
- 拖放应用程序规则,使其成为匹配应用程序流量的第一个规则。
- 单击 Send Changes 并 Activate 。
如侵权请私聊公众号删文
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650505492&idx=3&sn=42bf136e8b61f0a785f668bb16865eba&chksm=83bae4f0b4cd6de6c8983f5e0befdac4703229a600bbf5d9fb85acc96f6440f127def3d72630#rd
如有侵权请联系:admin#unsafe.sh