DNS服务器
	每个人上网都都需要访问dns服务器，当然除过直接输入ip地址访问的哈
	所以DNS服务器需要高并发、高可用和分布式

从上到下依次是：

根域名服务器（全球共有13套）：返回顶级域名服务器IP地址
顶级域名服务器（eg: .com    .cn  .net  … 分别对应着不同的顶级域名服务器）：返回权威DNS服务器IP地址
权威DNS服务器：返回相应主机的IP地址

它们之间的查询关系是递归查询：

本地DNS服务器会先访问它老大（根域名服务器），然后老大会根据域名的后缀告诉本地DNS服务器去访问老二（顶级域名服务器）的IP地址
老二会告诉本地DNS服务器去找负责这个域名的小弟（权威DNS服务器）的IP地址
小弟会告诉本地DNS服务器相应域名的IP地址

DNS服务器的解析过程

客户端访问某个域名.com的网站，需要将域名–>IP地址
本地DNS解析器会先查看本地缓存中是否有这个记录，有则返回该域名IP地址，否则便请求本地DNS服务器
本地DNS服务器也会先查看本地缓存中是否有这个记录，有则返回，无则递归访问根域名服务器至权威DNS服务器返回该域名的IP地址

CATALOG
1.前言
2.实现过程
3.对抗方式
4.参考文章

1.前言
这是一种渗透技巧，并不能算是漏洞。

优势：不用执行psexec等远控程序，利用方式偏冷门。

劣势：对权限要求比较苛刻（要能够修改sysvol下script文件夹的权限），一般需要即在domain admins组又要在本地的administrators组。
2.实现过程

定制恶意dll，这种恶意dll必须定义导出函数名：


DnsPluginInitialize
DnsPluginCleanup
DnsPluginQuery

模版-----》https://github.com/3gstudent/Add-Dll-Exports



将生成的恶意dll上传到sysvol下的script文件夹内，这一步比较麻烦，因为很多用户即使是域管都有可能没有这个权限。如下图，只有在这台主机上的本地administrators组的用户有这个权限。



下图中builtin\administrators组是一个sql相关的内置用户，第二行是表示认证用户。



可以使用impacket套件的工具获取域控的shell，然后将恶意dll下载到域控上，然后使用copy命令上传到sysvol下的script文件夹。




下载dnscmd.exe到当前机器的c:/windows/system32/，这时候已经不需要域控机器的shell了

可用下载地址:

https://github.com/3gstudent/test/blob/master/dnscmd.exe


下载dnscmd.exe.mui保存在C:\Windows\System32\en-US下

可用下载地址:

https://github.com/3gstudent/test/blob/master/dnscmd.exe.mui


执行命令：

dnscmd 域控ip /config /serverlevelplugindll \\wlaq.com\SYSVOL\wlaq.com\scripts\你上传的恶意dll


使用net use命令共享域控的 admin$。


net use \\10.95.16.96\admin$ /user:"wlaq\admin" "admin"


使用sc命令先关闭，后开启dns服务：

sc \\10.95.16.96 stop dns
sc \\10.95.16.96 start dns


这时候域控主机上就会用system权限加载我们上传的dll。



3.对抗方式

保护自己域管理员的hash
配置好sysvol文件夹的修改权限，确保只有绝对安全的用户可以修改。
记录DNS服务的启动和停止

wevtutil qe “dns server” /rd:true /f:text

ID为2代表DNS服务启动，ID为4代表DNS服务关闭



4.参考文章
域渗透——利用dnscmd在DNS服务器上实现远程加载Dll

文章出自：http://www.ha97.com/951.html






（总结）推荐Google的DNS解析服务器8.8.8.8



Google的公共DNS解析服务记得是上年年底推出的。我用了半年了，非常稳定与快速。现在我配置的所有个人电脑与服务器都是用
 8.8.8.8 与8.8.4.4做客户端解析。

为何我这么钟情于Google的DNS服务器？原因很简单，是为了避开电信等ISP的DNS劫持！

DNS（Domain Name System）是域名解析服务器的意思，它在互联网的作用是把域名转换成为网络可以识别的IP地址。当用户在浏览器中输入网址域名时，首先就会访问系统设置的DNS域名解析服务器（通常由ISP运营商如电信、网通提供）。如果该服务器内保存着该域名对应的IP信息，则直接返回该信息供用户访问网站。否则，就会向上级DNS逐层查找该域名的对应数据。

目前国内上网用户普遍使用的是默认DNS服务器，即电信运营商的DNS服务，这带来一个巨大的风险，就是DNS劫持。目前国内电信运营商普遍采用DNS劫持的方法，干扰用户正常上网，例如，当用户访问一个不存在（或者被封）的网站，电信运营商就会把用户劫持到一个满屏都是广告的页面：电信114网站，这个114网站不仅搜索质量低劣，而且广告众多，极大的影响了用户上网的安全性和浏览体验。后来，电信运营商的胆子越来越大，甚至连Google的网站电信都敢劫持，这进一步证明了电信运营商的DNS服务可靠性是多么糟糕。如图所示：



普通用户要使用Google DNS非常简单，因为Google为他们的DNS服务器选择了两个非常简单易记的IP地址：“8.8.8.8”和“8.8.4.4”。用户只要在系统的网络设置中选择这两个地址为DNS服务器即可。

windows 下设置：

对于宽带拨号用户，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（ TCP/IP ）（ win7 与vista的用户请选择TCP/IPv4协议）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS服务器和备用DNS服务器分别设置为 8.8.8.8和8.8.4.4，完成后断开网络重新连接上网即可。如图所示：







Linux 下设置：

打开命令终端，分别运行


echo nameserver 8.8.8.8 > /etc/resolv.conf

echo nameserver 8.8.4.4 > /etc/resolv.conf


这两行命令直接将8.8.8.8与8.8.4.4写入 Linux 的DNS客户端解析文件resolv.conf里。



Google提供的公共DNS服务与电信网通的不同，当用户输入一个错误的或者不存在的网址的时候，不会像中国电信一般直接弹出一个满屏都是广告的页面，Google公司承诺绝不会重定向或者过滤用户所访问的地址，而且绝无广告。Google的技术雄厚，两个DNS IP地址也很好记，并且不会显示广告。大家还没换的赶快换了吧。

另外，短IP的DNS服务器还有以下这些：


4.3.2.1

4.2.2.1

4.2.2.2

4.2.2.3

4.2.2.4

4.2.2.5

4.2.2.6

目录

DNS

域传送漏洞

域名空间结构

DNS解析过程 

各种解析记录

DNS服务器的安装与部署

主从DNS服务器的搭建：

转发DNS服务器的配置

DNS

DNS(Domain Name Service) 域名解析服务，就是将域名和 ip 之间做相应的转换，利用 TCP 和 UDP 的53号端口
DNS系统作用：

正向解析：根据域名查找对应的ip地址
	
反向解析：根据ip地址查找对应的域名
DNS服务器的分类：

主要名称服务器：存放该区域中相关设置的DNS服务器，其存放的是区域文件的正本数据
	
辅助名称服务器：从其他服务器中复制数据，数据为副本无法修改
	
主控名称服务器：提供趋于数据复制的DNS服务器
	
缓存域名服务器：通过像根或其他服务器查询获得域名到ip的解析关系，将查询结果缓存到本地，提高重复查找速度
域传送漏洞

域传送：是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。 在主备服务器之间同步数据库，需要使用“DNS域传送”。

域传送漏洞：是由于DNS服务器配置不当，导致匿名用户利用DNS域传送协议获取某个域的所有DNS记录。

域传送漏洞的危害：网络拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器等。直接加快、助长攻击者的入侵过程。

测试过程：

1) 输入nslookup命令进入交互式shell：nslookup
2) server 命令参数设定查询将要使用的DNS服务器: server dns服务器
3) ls命令列出某个域中的所有域名： ls 域名
4) exit命令退出





域名空间结构

根域(.)

顶级域(顶级域包括组织域和国家/地区顶级域 (net、edu、com、gov、mail、org、cn、uk.... ）

   --组织顶级域 (net、edu、com、gov、mail、org....)

   --国家/地区顶级域(cn、uk...)

二级域名(baidu、taobao...)

三级域名(www、mail...)


			
组织顶级域名
			
			

			
说明
			
		

			
gov
			
			

			
政府部门
			
		

			
com
			
			

			
商业部门
			
		

			
edu
			
			

			
教育部门
			
		

			
org
			
			

			
民间团体组织
			
		

			
net
			
			

			
网络服务机构
			
		

			
mil
			
			

			
军事部门
			
		

			
国家顶级域名
			
			

			
说明
			
		

			
cn
			
			

			
中国
			
		

			
hk
			
			

			
中国香港
			
		

			
uk
			
			

			
英国
			
		

			
…
			
			

			
 
			
		


DNS解析过程 



DNS域名解析过程：

客户机访问域名，先查看自己主机的DNS缓存(有时间限制)，如果主机DNS缓存有，则直接访问对应ip。

如果主机DNS缓存没有，则查看本地 hosts文件。

如果 hosts 文件没有，则将该请求发送给主机指定的域名服务器。域名服务器收到请求后，先查询本地的缓存，如果有该纪录项，则域名服务器就直接把查询的结果返回。如果指定的域名服务器的缓存中没有该记录，则进行以下迭代查询。

【迭代查询】

本地域名服务器向根域名服务器查询，根域名服务器告诉它下一步到哪里去查询，然后它在根据结果逐层向下查询，直到得到最终结果。每次它都是以DNS客户机的身份去各个服务器查询，即迭代查询是本地服务器进行的操作。

具体流程描述：


(1)用户主机A先向本地域名服务器B递归查询abc.exmaple.com

(2)B首先尝试使用本地DNS记录查询abc.exmaple.com，若本地不存在abc.example.com的相关记录，则B以DNS客户机的身份发起迭代查询abc.example.com

(3)B向一个根域名服务器C查询abc.example.com

(4)根域名服务器C告诉B下一步到.com顶级域名服务器D去查询，并告知D的IP地址1.2.3.4

(5)B向.com顶级域名服务器D进行查询

(6)D告诉本地域名服务器B，下一步请到.example.com权限服务器E去查询，并告知E的IP地址2.3.4.5

(7)B向.example.com权限服务器E进行查询

(8)E告诉本地域名服务器B所查询域名abc.example.com的主机是否存在，并告知其IP地址3.4.5.6

(9)本地域名服务器B向用户主机A反馈所查询的域名abc.exmaple.com对用的IP地址为3.4.5.6


所以，优先级：  本地DNS缓存 > hosts文件  > DNS服务器

windows中hosts文件存放路径：  C:\Windows\System32\drivers\etc\hosts

Linux中hosts文件存放路径：       /etc/hosts

各种解析记录

类型
			
说明
		
A
			
主机记录，记录域名对应的ip
		
PTR
			
反向地址解析记录，记录ip对应的域名
		
CNAME
			
别名记录
		
MX
			
邮箱交换记录
		
NS
			
服务器记录
		
SOA
			
权威记录
		
TXT
			
为记录说明
		
SRV
			
列出正在提供特定服务的服务器
		
AAAA
			
ipv6地址记录
		
A记录

A (Address) 记录也叫主机记录，是用来指定域名对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的网页服务器(web server)上。同时也可以设置域名的子域名。通俗来说A记录就是服务器的IP，域名绑定A记录就是告诉DNS，当输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。在命令行下可以通过nslookup -qt=a www.baidu.com来查看A记录。



PTR记录

相对于A记录，PTR记录是把IP地址转换为域名



CNAME记录

CNAME记录也称别名记录，它允许你将多个记录映射到同一台计算机上。比如你建了如下几条记录：



我们访问a1（a2，a3）.baidu.com的时候，域名解析服务器会返回一个CNAME记录，并且指向a.baidu.com，然后我们的本地电脑会再发送一个请求，请求a.baidu.com的解析，然后域名服务器会返回a.baidu.com的IP地址。



当我们要指向很多的域名到一台电脑上的时候，用CNAME比较方便，就如上面的例子，我们如果服务器更换IP了，我们只要更换 a.baidu.com 的A记录即可。

在命令行下可以使用 nslookup -qt=cname a1.baidu.com 来查看CNAME记录。


MX记录

MX记录的权重对 mail 服务是很重要的，当发送邮件时，Mail 服务器先对域名进行解析，查找 mx 记录。先找权重数最小的服务器（比如说是 10），如果能连通，那么就将发送过去；如果无法连通 mx 记录为 10 的服务器，那么才将邮件发送到权重为 20 的 mail 服务器上。

这里有一个重要的概念，权重 20 的服务器在配置上只是暂时缓存 mail ，当权重 20 的服务器能连通权重为 10 的服务器时，仍会将邮件发送的权重为 10 的 Mail 服务器上。当然，这个机制需要在 Mail 服务器上配置。

在命令行下可以通过 nslookup  -qt=mx  baidu.com 来查看MX记录。


TXT记录 

TXT记录一般是为某条记录设置说明，比如你新建了一条 a.ezloo.com 的TXT记录，TXT记录内容"this is a test TXT record."，然后你用 nslookup -qt=txt a.ezloo.com ，你就能看到"this is a test TXT record"的字样。

除外，TXT还可以用来验证域名的所有，比如你的域名使用了Google的某项服务，Google会要求你建一个TXT记录，然后Google验证你对此域名是否具备管理权限。

在命令行下可以使用 nslookup -qt=txt    baidu.com 来查看TXT记录



这里讲到TXT记录，我们就要谈谈TXT记录里面的 SPF 了。SPF是 Sender Policy Framework 的缩写，一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。

    SPF可以防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你域名的SPF记录之后， 接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。 

设置正确的 SPF 记录可以提高邮件系统发送外域邮件的成功率，也可以一定程度上防止别人假冒你的域名发邮件。

MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。SPF的作用跟MX相反，它向收信者表明，哪些邮件服务器是经过某个域名认证的可以发送邮件的。

由定义可以看出，SPF的作用主要是反垃圾邮件，主要针对那些发信人伪造域名的垃圾邮件。

AAAA记录

AAAA记录是一个指向IPv6地址的记录。

可以使用 nslookup -qt=aaaa  a.ezloo.com 来查看AAAA记录。
NS记录

NS记录是域名服务器记录，用来指定域名由哪台服务器来进行解析。

可以使用 nslookup -qt=ns   baidu.com 来查看。


TTL值

TTL=time to live，表示解析记录在DNS服务器中的缓存时间。比如当我们请求解析www.ezloo.com的时候，DNS服务器发现没有该记录，就会向下个NS服务器发出请求，获得记录之后，该记录在DNS服务器上保存TTL的时间长度。当我们再次发出请求解析www.ezloo.com 的时候，DNS服务器直接返回刚才的记录，不去请求NS服务器。TTL的时间长度单位是秒，一般为3600秒

SOA记录

定义了该域中的权威名称服务器



SRV记录

列出正在提供特定服务的服务器

DNS服务器的安装与部署

程序所需的包：  bind (DNS服务器软件包) 、bind-utils(DNS测试工具，包含dig、host、nslookup等)、bind-chroot(使BIND运行在指定的目录中的安全增强工具)、caching-nameserver（高速缓存DNS服务器的基本配置文件，建议一定安装）

可执行文件所在目录： /usr/sbin/named （Rhel7）     /etc/init.d/named （Rhel6）

配置文件所在目录：  /etc/named.conf

区域配置文件所在目录：/var/named/xxx.zone

安装DNS程序： yum  -y  install  bind*
	
修改主配置文件：/etc/named.conf
	
添加并修改区域配置文件  /var/named/xxx.zone
	
修改文件权限： chown   named:named   /var/named/xxx.zone
	
开启服务，并验证     systemct  start  named  ;    nslookup  www.xie.com
修改主配置文件： /etc/named.conf

options {
        listen-on port 53 { any; };             //修改行
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";   
        allow-query     { any; };              //修改行
}

zone "." IN {                              //系统自定义的根域服务器，必须要有
        type hint;
        file "named.ca";
};

zone "xie.com." IN{                        //自定义的，添加正向解析
        type master;                       //主从DNS
        file "xie.com.zone";               //指定区域配置文件名,在/var/named/ 目录下
}; 
zone "10.168.192.in-addr.arpa" IN{        //自定义的，添加反向解析
        type master;
        file "xie.com.zone";                
};

zone "mi.com." IN {                       //添加对另一个域名的解析
        type master;
        file "mi.com.zone"
}

在 /var/named/ 目录下分别创建  xie.com.zone 和 mi.com.zone  文件 ，并且如下配置

//  xie.com.zone 文件的配置
$TTL 1D
@       IN SOA  www.xie.com.  root.xie.com. (                      // @代表本机
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      www.xie.com.
        MX 10   root.xie.com.         //邮箱
www     IN A    192.168.10.100       //这个必须写在第一条！！
web     IN A    192.168.10.110
root    IN A    192.168.10.120
*       IN A    192.168.10.130     //添加一个默认匹配，当配置文件中的都没匹配，则匹配此条
ftp     IN CNAME   www              //给www.xie.com添加一个别名 ftp.xie.com
1       IN PTR  web1.xie.com.          //添加反向解析记录  192.168.10.1 解析为 web1.xie.com
2       IN PTR  web2.xie.com. 


// mi.com.zone 文件的配置

$TTL 1D
@       IN SOA  www.mi.com. root.mi.com. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      www.mi.com.
        MX 10   root.mi.com.
www     IN A    192.168.10.100
web     IN A    192.168.10.200


  主从DNS服务器的搭建：

主DNS服务器在上面配置的基础上，在主配置文件 /etc/named.conf 中加入下面一行，意思是允许转移

allow-transfer  { 192.168.10.10; };     // 允许 从DNS服务器的ip地址

然后从DNS服务器要同步哪个域名的就写哪个zone，我们这里只同步 xie.com 这个域名的 ，同步的文件路径默认是  /var/named/slaves　下

zone "xie.com." IN {
        type slave;
        file "slaves/xie.com.zone";            //指定配置文件目录
	masters { 192.168.10.124; };              //指定主DNS IP
	};
zone "10.168.192.in-addr.arpa" IN{
        type slave;
        file "slaves/xie.com.zone";
        masters{ 192.168.10.128; };
};

配置完成以后重启 named 服务： systemctl restart  named  ,然后同步域配置文件：  rndc  reload

转发DNS服务器的配置

转发DNS服务器就是当你向一个DNS服务器请求DNS解析时，他把DNS请求转发到了另一个DNS服务器上

转发DNS服务器也要求安装bind包： yum  -y  install  bind*

然后修改主配置文件：/etc/named.conf

 option{
   listen-on port 53 { any; };   #修改

   allow-query     { any; };     #修改
   
   forwarders  { 192.168.10.10; };   # 指定你要把DNS请求转发给哪个DNS服务器
}

相关文章：子域名查询、DNS信息探测、IP转换经纬度