3。受感染的客户端获取您的假 DNS 应答, 并尝试通过对污水池 IP 进行 http/https 调用来达到其命令和控制服务器。
4。如果您阻止了对此假 IP 的访问, 那么我们就可以确定哪个客户端被感染了。
注意: 帕洛阿尔托网络防火墙必须在 DNS 请求的路径中指向可疑的 URL, 并且在同一路径中受感染的机器试图访问 dns 污水池 IP.
现在再详细一点
当客户端系统使用外部 dns 服务器访问已知的恶意 URL 时, DNS 查询将从客户端 (通过帕洛阿尔托网络防火墙) 转到外部 dns 服务器。防火墙劫持 dns 查询, 并以 dns 服务器的 dns 坑 IP 地址响应客户端。在这个例子中, 1.1.1.1 被用作假的 DNS 污水池 IP。在威胁日志中, 当发出可疑的 DNS 请求时, 您应该能够将客户端 IP 地址视为源。
接下来的步骤是寻找客户端试图访问 DNS 污水池 IP 1.1.1.1。 如果您已正确配置了防火墙, 则应阻止所有访问, 或在最低服务端口 80 (http) 或端口 443 (HTTPS) 上进行阻塞。在交通记录中, 你会看到1.1.1.1 的流量下降。
现在, 让我们从客户端的角度来看一看。
我们知道以下域被视为 "可疑域"。
gdcqia.com
当我们正确地配置了 DNS 漏洞, 并且有人解析该域时, 假 DNS 池 ip 应该解决而不是真正的域的 ip 地址。
看看1.1.1.1 的表现。
通过使用可疑的 URL 手动执行此查找, 您现在可以直接看到 DNS 污水池正在工作以提供假 IP。
第二部分是假装您是受感染的主机, 打开 web 浏览器并尝试访问给定 IP 1.1.1.1 的可疑 URL。