Черная дыра DNS в Windows DNS Server
Для атаки на № 2, «Скрипт для публикации списка каналов в Windows DNS», вы, скорее всего, будете использовать dnscmd в некоторой степени. Вам нужно будет использовать некоторые командлеты PowerShell (например, get-content и write-host для возможных примеров), чтобы разделить список каналов на части информации, относящиеся к создание записи A или CNAME на вашем собственном DNS-сервере. Затем вставьте соответствующую информацию в переменные, с которыми будет работать dnscmd .
Чтобы атаковать №3, вы должны создать записи, которые вводят людей в заблуждение. Так что либо A записи, которые указывают на IP-адрес под вашим контролем (возможно, веб-сервер, который вы контролируете, который говорит «Вы заблокированы! Ожидайте звонка от HR lol !! 1») ) или просто отправьте людей на 0.0.0.0. Другой вариант - привязать домены к управляемому вами веб-серверу.
Вместо того, чтобы создавать это самостоятельно, подумайте о том, чтобы стоять на спине у кого-то, кто проделал большую часть этой работы за вас: Windows DNS Server Sinkhole Domains Инструмент . Это сценарий PowerShell, поддерживаемый институтом SANS, который управляет черными списками DNS на DNS-сервере Windows. Существует родственный проект под названием Windows HOSTS File Script To Block Bad Domains , который, как и ожидалось, использует файлы хостов на локальных машинах, что звучит неприятно, но, возможно, можно использовать объект групповой политики, чтобы передать его вашим клиентам Windows ( до тех пор, пока разрешения пользователя запрещают подделку файлов хостов, а также предполагают, что ваша Active Directory контролирует все ПК, для которых вы хотите использовать черный список).
Что касается отчетов о блокировках, это немного сложнее, поскольку Windows DNS действительно не имеет отчетов об ответах по доменам, которые я нашел. Что могло бы быть вашим преимуществом, было бы CNAME для доменов из черного списка, а затем использовать возможности веб-сервера, на который вы CNAME заносите домены в черный список, как средство проверки того, кто что делает. Теоретически вы можете деконструировать входящие HTTP-запросы на основе ссылающегося домена и исходного IP-адреса и составить целый набор отличных отчетов. AWStats может даже оказать готовую помощь.
что делает. Теоретически вы можете деконструировать входящие HTTP-запросы на основе ссылающегося домена и исходного IP-адреса и составить целый набор отличных отчетов. AWStats может даже оказать готовую помощь. что делает. Теоретически вы можете деконструировать входящие HTTP-запросы на основе ссылающегося домена и исходного IP-адреса и составить целый набор отличных отчетов. AWStats может даже оказать готовую помощь.На указанном вами сайте есть инструкция для этого: http://www.malwaredomains.com/?page_id=6#MS и специальный формат файла для этой инструкции : http://mirror1.malwaredomains.com/files/BOOT
Некоторое время назад я опубликовал модуль PowerShell DnsBlockList , доступный в GitHub и галерее PowerShell .
Он будет изначально получать списки из SANS, ZeusTracker и вредоносные домены с возможностью добавлять списки, создавать свои собственные и т. Д. Хитрость заключается в анализе этих списков, поскольку этот процесс может потребовать дополнительной логики в зависимости от формата, в котором он используется. Однако для этого тоже есть место!
A Политика разрешения запросов создается для каждого блокируемого домена. Это позволяет избежать создания записей DNS для адресов обратной связи.
В README задокументировано гораздо больше функций. Я рекомендую вам проверить это.
После публикации в галерее PowerShell установить модуль очень просто:
Install-Module DnsBlockList