信息安全工具开发 任务讲解与实施（课中） pcap检测Fast流量(PPT).pptxVIP

知识点：pcap检测Fast流量;;;2007 年，安全研究人员确认一种新技术，曾被臭名昭著的 Storm 僵尸网络使用。这种技术称为 Fast 流量，利用 DNS 记录隐藏命令从而控制 Storm 僵尸网络。 Storm 僵尸网络的攻击者为了命令和控制服务器而频繁的改变 DNS 记录。为了命令和控制主机，攻击者频繁的替换 IP 地址，确保 DNS 返回很短的 TTL 结果。IP 地址的 Fast 流量令安全人员很难确认被命令和控制的僵尸网络，更难让服务器脱机。 ;编写 Python 脚本阅读 pcap 并分析所有的包含 DNSRR 的数据包 from scapy.all import * dnsRecords = {} def handlePkt(pkt): if pkt.haslayer(DNSRR): rrname = pkt.getlayer(DNSRR).rrname rdata = pkt.getlayer(DNSRR).rdata if dnsRecords.has_key(rrname): if rdata not in dnsRecords[rrname]: dnsRecords[rrname].append(rdata) ;else: dnsRecords[rrname] = [] dnsRecords[rrname].append(rdata) def main(): pkts = rdpcap(7.pcap) for pkt in pkts: handlePkt(pkt) for item in dnsRecords: print([+] +item+ has +str(len(dnsRecords[item])) + unique IPs.) if __name__ == __main__: main();分析代码： Scapy功能强大，haslayer()函数将协议类型作为输入，并返回一个布尔值。如果数据包包含一个DNSRR，我们将抽取包含适当域名和IP地址的rname和rdata变量。;我们可以检查维护我们的域名字典，通过域名索引，如果是之前出现过的域名，我们将看看它是否与先前的IP地址相关联。如果它有一个与之前不同的IP地址，我们将增加到我们维护的字典。相反，如果发现了一个新域名，我们添加它到字典。我们添加这个域名的IP地址作为存储字典值的数组的第一个元素。 为了检测Fast流量，需要知道那个域名有多个IP地址。在研究所有的数据包之后，打印所有的域名和每个域名的多个IP地址。;使用方法：$ python 7.1.py 7.pcap 可以看到有两个域名与多个IP对应，与其同理，Fast流量也是通过这种方式进行利用。;现在我们使用scapy编写DNS Fuzzer 使用scapy库，编写一个DNS Fuzzer工具，并测试。DNS协议请求包是封装在IP包中的UDP包（有些情况也可使用TCP）中，且UDP的端口为53。 这里我们需要对输入的IP地址做合法性校验。这需要用到netaddr中的valid_ipv4，可以执行sudo pip install netaddr进行安装，如果系统上没有安装pip，可以先安装pip，Ubuntu上运行sudo apt-get install python-pip进行安装。 ;def usage(): print Usage: sudo ./DnsFuzzer.py [-i interface][-l][target ip] print -i:指定网卡接口 print -l:循环发送 def main(argv): loopsend = 0 try: opts, args = getopt.getopt(argv, hi:l) except getopt.GetoptError: usage() sys.exit(2);getopt模块用于抽出命令行选项和参数，也就是sys.argv来获得用户输入确定执行步骤。命令行选项使得程序的参数更加灵活。支持短选项模式和长选项模式。 getopt函数的格式是getopt.getopt ( [命令行参数列表], 短选项, [长选项列表] ) 短选项名后的冒号(:)表示该选项必须有附加的参数。