校園資安實務 - DNS - 沈禾謙/shenchris

本議程將分享利用學校 DNS server 增進網路安全的實務經驗、包含 query log 跟 DNS sinkhole,並詳盡介紹其原理和架設過程。從蒐集資料開始,分析資料,推測原因,利用有限的資源及權限,制定相關對策,並帶入實作過程。在這段摸索的過程中,我學到了不少全新的知識,也發生許多有趣的事,希望能藉此機會將這些經驗與大家分享。

先備知識

tags: SITCON 2020 共筆 SITCON 2020 2020 共筆 R1

歡迎大家來到SITCON 2020 ヽ(✿゚▽゚)ノ
共筆入口:https://hackmd.io/@SITCON/2020
手機版請點選上方 按鈕展開議程列表。

請從這裡開始

dns 在做什麼

DNS Query 剖析

computer -> dns -> cache
遞迴查詢:www.hsnu.tw

.tw ->root
.tw DNS ->hsnu.tw
www.hsnu.tw -> hsnu.tw DNS

一切的起始

  • 資安預警情報

學校免費的電腦

猜測原因:53 port?
computer -> DNS

root
.com DNS
Malware

環境

  • freebsd12

解決問題

  • 找出出問題的電腦

Query Log
rndc status
query is off
rndc querylog
named.log

  • 可以自己研究: named.conf
  • 避免未來再次發生

What is DNS sinkhole?

  • 原本:經由正常查詢方法,查到惡意網址
  • 有sinkhole: 已知惡意網址,導到乾淨server (sinkhole)

What can DNS sinkhole do?

  • Functionalities
    • blocking drive-by downloads
    • blocking C&C channels
  • Limitations
    • 需要自己的 DNS Server
    • 無法阻止惡意軟體執行並傳播
    • 無法從受感染的電腦中刪除惡意軟體
    • 誤報導致對正常網站的不合理限制

Botnet

  • attacker控制command control server
  • client 定期查看command control server

貼心提示

  • 記得還原

不要拿youtube做測試,我讓全校兩三天不能看youtube
(優質學長的作為)

  • 自己架server沒有好處

可以幹別人的就幹別人的

How to set DNS sinkhole?

  • named.conf
  • sinkhole.db

附中學長萬歲XDD

桌面很美Www

Select a repo