DNS

cover

针对DNS转发设备的缓存投毒攻击

前些时间刚好看到一些缓存投毒相关的知识，搜了些资料，发现了安全顶会USENIX Security 2020上收录了一篇关于DNS缓存投毒的文章：Poison Over Troubled Forwarders: A Cache Poisoning Attack Targeting DNS Forwarding Devices。

serend1pity
2021-04-07 15:30:25

103245次阅读

cover

DNSMon：用DNS数据进行威胁发现（2）

本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。

360网络安全研究院
2021-01-04 14:30:06

109040次阅读

cover

DNSMon：用DNS数据进行威胁发现

DNS协议作为互联网的基础和核心协议，其承载的数据在一定程度上能够反映使用域名提供服务的业务发展情况。

360网络安全研究院
2020-11-26 10:30:07

110258次阅读

cover

DNS重绑定的利用：端口扫描与绕过同源策略

在这篇文章中，我将介绍如何使用DNS重绑定来读取跨站的内容，而第二部分是利用DNS fallback机制来进行内网端口扫描。

littlefisher
2020-08-11 15:30:59

139648次阅读 3

cover

煤矿中的金丝雀：使用DNS和AD检测枚举活动

在这篇文章中，我们将创建一些活动目录金丝雀来帮助我们检测遍历网络的威胁活动，我们会使用到HELK、SilkETW、DNS解析日志、Sysmon和一个假冒的SMB/SAMR服务器。

six
2019-11-14 10:30:39

977521次阅读 2

cover

黑客攻击并劫持了希腊的顶级域名注册商后，竟搜索安全厂商网站?

此前疑似来自伊朗的黑客组织开展了一系列DNS劫持活动，目前被命名为海龟活动

黑鸟
2019-07-11 10:30:01

148013次阅读

cover

如何规避Sysmon DNS监控

Sysmon在最近更新中添加了一个功能，可以记录DNS事件。这一点对防御方非常有用，但对攻击方而言，这意味着如果我们的植入后门或者payload尝试通过DNS进行通信，那么蓝队就有可能搜集到相关特征，用来检测攻击行为。

興趣使然的小胃
2019-06-17 16:30:13

305562次阅读 7

cover

中间人攻击

全球性的DNS劫持活动：大规模DNS记录操控

中间人攻击

最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动，该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。

放学小卖部见
2019-01-11 11:05:51

193872次阅读

cover

隧道技术之DNS和ICMP与其检测防御

不知你是否会好奇 DNS 隧道为什么会有那么强大？一方面是因为 DNS 报文具有天然的穿透防火墙的能力;另一方面,目前的杀毒软件、IDS 等安全策略很少对 DNS 报文进行有效的监控管理：）

Cherishao
2018-11-06 11:00:41

378758次阅读 9

cover

DNS Rebind Toolkit - 用于创建DNS重绑定攻击的前端JavaScript工具包

DNS Rebind Toolkit是用于开发针对本地局域网脆弱主机和服务的DNS重绑定攻击的前端JavaScript框架。它可以用的目标设备是像Google Home、Roku、Sonos WiFi扬声器、WiFi路由器、“智能”恒温器和其他物联网设备等设备。

veams
2018-07-09 17:00:57

150427次阅读