DNS tunnel的原理及实战

摘自：http://netsec.ccert.edu.cn/zhengming/2011/11/01/%E8%BD%AC%E8%BD%BD%EF%BC%9Adns-tunnel%E7%9A%84%E5%8E%9F%E7%90%86%E5%8F%8A%E5%AE%9E%E6%88%98/

什么是DNS tunnel？

DNS tunnel 即 DNS隧道。从名字上来看就是利用DNS查询过程建立起隧道，传输数据。

为什么使用DNS tunnel？

当你在酒店、机场等公共场所，通常有Wifi信号，但是当你访问一个网站时，如http://hi.baidu.com/， 可能会弹出个窗口，让你输入用户名、密码，登陆之后才可以继续上网(该技术一般为透明http代理，不在本文讨论范围之内，以后再讲)。这时，你没有账号，就无法上网。但是有时你会发现，你获取到得DNS地址是有效的，并且可以用以进行DNS查询，这时你便可以用DNS tunnel技术来实现免费上网了！

DNS tunnel的原理

首先，要知道DNS系统的工作原理，见：[DNS系统(服务器)的工作原理及攻击防护方法论] 。你在做 DNS 查询的时候，如果查的域名在 DNS 服务器本机的 cache 中没有，它就会去互联网上查询，最终把结果返回给你。如果你在互联网上有台定制的服务器。只要依靠 DNS 的这层约定，就可以交换数据包了。从 DNS 协议上看，你是在一次次的查询某个特定域名，并得到解析结果。但实际上，你在和外部通讯。你没有直接连到局域网外的机器，因为网关不会转发你的 IP 包出去。但局域网上的 DNS 服务器帮你做了中转。这就是 DNS Tunnel 了。

上 图简单介绍了DNS tunnel的原理。当你连接上wifi后，你可以使用DNS服务器，向这个服务器的53端口发送数据，请求一个域名，比如b.xxx.org 。这台DNS服务器上没有b.xxx.org，那么它将向root，也就是根域名服务器请求，看看根知道不。root一看是.org的域名，就交 给.org域名服务器进行解析。.org的域名服务器一看是.xxx.org那么就会去找.xxxi.org的域名服务器 (f1g1ns1.dnspod.net),看看它有没有这条记录。.xxx.org的域名服务器上一看是b.xxx.org，如果它有这 条A记录，那么就会返回b.xxx.org的地址。

但是，如果没有，你可以再在guanwei.org的域名服务器上设定一个NS 类型的记录人，如：xxx.org NS 111.222.333.444(通常这里不让设置为地址，那么也好办，你可以先在DNS服务器上添加一条A记录，如ns.xxx.org 111.222.333.444，再添加NS记录：guanwei.org NS ns.xxx.org)，这里指定一个公网服务器，也就是上图绿色的服务器，这台服务器中跑着DNS tunnel的server端，是一台假的DNS服务器，他不会返回b.xxx.org的地址，但是它会将你的请求转发到已经设定的端口中，比如 SSH的22端口，22端口返回的数据它将转发到53端口返回给客户端(也就是你的电脑)。这时，你就可以用这台公网服务器的资源了，如果是一台http 或者sock代理，那么你就可以用这个代理免费上网了。

DNS tunnel实现的工具

DNS tunnel实现的工具有很多，比如：OzymanDNS、tcp-over-dns、heyoka、iodine、dns2tcp。由于BT4、5系统自带了dns2tcp工具。这里仅介绍dns2tcp的使用方法。

DNS2TCP的DNS tunnel实验

环境准备

一个已经申请好的公网域名，在这里我就用本blog的域名了xxx.org。给该域名指定一个DNS服务器(在域名管理的控制面板即可看到)，本 环境为DNSpod的服务器：f1g1ns1.dnspod.net。一个公网服务器server(运行着BT4系统，主要使用里面的dns2tcpd V4程序)。这里使用局域网中的一台PC，在防火墙上做端口映射，将UDP的53端口映射出去。公网IP为111.222.333.444一 个客户端client(运行着BT4系统，主要使用里面的dns2tcpc V4程序)。这里模拟在机场的环境，能连接局域网(与上面的服务器不在一个局域网内，是另一个连接公网的局域网)，能够获取到DNS服务器，如辽宁网通的202.96.64.68，并可以通过它进行DNS查询(测试方法：nslookup www.xxx.org 202.96.64.68，后面的域名服务器请根据实际情况替换)。

。。。可以让你实现一个反弹木马，可免费上网。