我正在寻找configuration我们的Windows DNS服务器的一些基于DNS的黑洞操作types。 理想情况下,我们可以使用来自MalwareDomains.com或类似的提要。 我很好奇如何设置和实施这样的设置。 工作stream程如下所示:
我正在处理的是与第2步相关的挑战。我不确定如何将大量DNS条目发布到Windows DNS服务器中。 理想情况下,这将适用于Server 2008或更新版本。
要攻击#2, “将脚本发布到Windows DNS的脚本”,您很可能会在某些地方使用dnscmd 。 您需要使用一些PowerShell cmdlet(例如get-content和write-host )来将Feed列表切割成与您自己的DNS服务器中创buildA或CNAMElogging相关的信息位。 然后将相关信息粘贴到dnscmd可以使用的variables中。
攻击#3,你会创造logging误导人。 因此,要么Alogging指向您的控制下的IP地址(也许是一个Web服务器,你说的“你已经被封锁了!期待一个来自HR的呼叫!!” )或简单地发送人0.0.0.0。 另一种select是将域名CNAMElogging到您控制的Web服务器。
您可以考虑站在为您完成大部分工作的人身上: Windows DNS Server Sinkhole Domains Tool 。 这是一个SANS Institute支持的PowerShell脚本,用于pipe理Windows DNS服务器上的DNS黑名单。 有一个名为Windows HOSTS文件脚本来阻止坏域的姊妹项目,可以预见的是,在本地机器上使用主机文件,这听起来很痒,但也许GPO推送到您的Windows客户端可以使用(只要用户权限不允许任何主机文件被篡改,并假设你的Active Directory控制你想使用黑名单的所有PC)。
至于报告堵塞情况,这是有点困难,因为Windows DNS并没有真正有我发现的每域响应报告。 对您的优势可能是将CNAME列入黑名单的域名,然后使用您对CNAME列入黑名单的域名的Web服务器的系统来检查谁在做什么。 你可以基于引用域和源IP地址来解构传入的HTTP请求,并制作出相当漂亮的报告集。 AWStats甚至可能是一些开箱即用的帮助。
这里有你提到的这个指令: http : //www.malwaredomains.com/ ?page_id=6# MS和这个指令的特殊文件格式: http : //mirror1.malwaredomains.com/files/BOOT