技术杂谈

提示：本篇文章可能篇幅较长，知识点较多，需要花40min甚至更长时间才能读完，可以通过左侧导航栏快速跳转。我将尽量用大家都听得懂的方式跟大家解读有关DNS在科学上网中的一些问题。知识本就没有绝对正确，如有错误，欢迎纠正。出现的人名、ip地址等敏感信息已打码。 前情概要 写这篇文章是前两天注册steam账号时出现了一行“请勿使用VPN或代理工具”的提示，看到后便心头一颤，当时我所掌握的知识告诉我，这不和前阶段Xray项目的issue中有iphone用户爆出收到疑似公安局警报一样吗？难道steam的探测机制其实和这是一个道理？ 然而询问群友后发现，事情好像并不简单 邈邈随即建议我去试试whoer.net，经过我在不同代理模式下的测试，发现结果和上面我提出的情况如出一辙。但泄露地理位置的问题，或者说被探测出使用VPN的问题究竟出在哪？要怎么解决？这和DNS又有什么关系？以及后来群友提出的开全局、禁webRTC、使用Doh等方式能否真正意义上完全杜绝DNS投毒和泄露的情况？ 研究了几天，写篇文章记录一下有关这些问题的答案和解决方法，还是有很多东西可以学习的。 我将分三个部分，从DNS投毒和泄露的原理、_Clash_内核的工具的DNS处理方式、以及常见Clash配置存在的问题，并逐一回答上面提出的这些问题（_V2rayN_的使用会另外开一篇专门介绍，本篇主要讲解DNS泄露原理及基本应对思路） 一、DNS投毒和泄露 DNS工作原理 在介绍标题内容前，先从最基础的东西开始讲起。先来看看DNS的工作原理是什么。大佬可以跳过这部分。 假如你从运营商拉了一条宽带，运营商会分配给你一个光猫，光猫下面接着你自己的路由器，路由器通过pppoe拨号，获取运营商分配的公网ip和DNS服务器，假设公网ip是2.2.2.2，DNS服务器一般会分配两个，假设其中一个的IP为3.3.3.3。同时 路由器作为局域网的网关会有自己的内网IP地址。假设为192.168.0.1，家里的所有网络设备都会连接到这台路由器。路由器通过dhcp为每一台网络设备分配一个内网IP。以及默认网关DNS等信息。 一般情况下 默认网关和DNS服务器都是路由器。 这是最常见的家庭网络拓扑。 当我们在浏览器中访问百度的时候，由于baidu.com只是为了方便人类记忆的字符串。我们都知道，要定位某一台服务器必须通过IP地址，浏览器并不能通过这串字符找到百度服务器的位置，所以需要有一个地方能查到baidu.com这串字符对应的IP地址，这个地方就是DNS服务器。首先，浏览器会检查浏览器DNS缓存里是否有百度的IP，发现缓存列表中并没有。其次，除去浏览器的DNS缓存，操作系统本身也有DNS的缓存列表。windows可以通过ipconfig /displaydns查询。其中包含我们在系统hosts文件中手动添加的绑定记录。如果在操作系统DNS缓存中也没有找到，浏览器会构建一条DNS查询的应用程数据包，内容是百度的IP地址是多少，DNS服务的默认端口是53。默认传输方式是udp。接着封装MAC地址 并从网口发出数据 数据包来到路由器，路由器一看目标IP是自己，于是会一层层的解封装 得到电脑的DNS请求，路由器同样首先检查自己的DNS缓存列表中是否有百度的IP地址，如果没有，于是会构建一条DNS查询的应用程数据包，内容同样是baidu.com的IP地址是多少，目标IP为路由器配置的上游DNS服务器，将其发送到公网 数据包会来到运营商给我们分配的DNS服务器 3.3.3.3，收到数据后得知了路由器想要百度的IP，同样先检查自己的缓存列表。没有的话再询问其他上游DNS服务器。运营商的DNS一般会配置多个上有DNS服务器，具体发给哪一台会根据自己的负载均衡策略选择。假设发给了IP为6.6.6.6的服务器，并且假设这台服务器没有配置DNS转发，所以不会将请求转发给其他DNS服务器。 之后这台上游服务器会负责帮我们查询百度的IP。查询方法不是我们关注的重点，感兴趣的朋友可以自行了解DNS的迭代查询。我们只需要知道，最终这台DNS服务器会找到解析baidu.com的权威DNS服务器，并把下面这条数据包交给他。假设权威DNS服务器地址是9.9.9.9 百度的权威服务器收到请求后，他就会有baidu.com这个域名绑定的IP，于是将IP和TTL返回给6.6.6.6这台DNS服务器。TTL全称time-to-live，在DNS中表示缓存时间。假设为十分钟，6.6.6.6收到数据后会缓存下来。并将结果告诉3.3.3.3，3.3.3.3同样也会将结果缓存，并发回给我们的路由器。路由器也是同样的操作。缓存下来并将结果发回给我们的电脑。但这里需要注意，由于家用电脑的性能有限，可能为了节省内存，会将TTL值设置的相对较小。比如30秒。TTL值没必要按照权威DNS服务器的值。当浏览器获取到IP之后，才正式的开始发起访问百度的请求。后面的步骤就是正常访问ip地址了。之后如果你再访问百度，还是先检查缓存列表，如果记录还在缓存列表中，说明TTL还没有到期。会直接从缓存中获取百度的IP。并不会发起DNS请求。如果TTL值到期了，则会将记录从缓存中移除，就又得重新发起DNS请求获取百度的IP。 什么是DNS投毒和泄露？为什么存在这些问题？ 为什么需要DNS以及DNS的执行流程相信大家都清楚了，接下来就是我们今天的主题。什么是DNS投毒和泄露？ 先来看一下两者定义（上图为DNS泄露，下图为DNS投毒） 简单来说，DNS泄露是指代理访问的网站没有通过节点进行DNS请求，导致电脑向公网发起明文DNS请求，导致访问目的泄露。而DNS投毒是指由于DNS泄露的问题，导致被发回的DNS查询结果中夹杂了目的之外的结果。 所以一切问题的关键就在于怎么解决DNS泄露问题。那么为什么会存在DNS泄露？ 在这之前，你可以先在你觉得安全的代理模式下访问一下这个网站，看一下返回的DNS查询过程中是否有中国大陆的DNS服务器。如果有，那么在我对DNS泄露定义的理解下，你的节点已经存在DNS泄露问题。如下图。 这里请注意，DNS泄露的说法只有在我们使用代理之后才存在。假设我们没有使用代理的情况下查询DNS泄露，列表中返回了国内的DNS服务器，这只能说明这些DNS服务器负责帮我们进行了DNS查询，并不代表DNS泄露了。 如果此时我将电脑的本地DNS服务器改成1.1.1.1，意思是让1.1.1.1负责DNS解析，列表中返回了美国的DNS服务器，这也不能说明DNS没有泄露。只有当我们通过代理访问目标网站时，电脑给互联网发送了请求目标网站IP地址的明文DNS请求，这种情况才是DNS泄露。 要讲清楚这个问题就必须先来了解这个网站是如何进行DNS检测的 在网站下按F12调出浏览器的开发者面板，来到网络面板 可以看到网站在不停的发送请求，并且每个请求访问的域名都不一样，目的是为了确保我们的DNS缓存，以及所有上游DNS缓存中都没有这条记录。根据刚才的讲解，当浏览器中没有找到缓存，会构建查询域名IP的DNS请求。由于域名完全随机，路由器也不可能会有缓存，请求将被转发到运营商的DNS，由于运营商配置了多个上游DNS服务器，可能会交给不同的上游，我们假设交给了6.6.6.6，这台DNS负责去寻找这个域名的IP，最终会找到这个域名的权威DNS服务器。 此时的数据包长这样 由于设置了泛解析，查询任何子域名都能获取到IP，ipleak的权威服务器在返回结果给你的时候偷偷做了一个动作，记录下了发送给他请求的DNS服务器的IP地址，并且告诉了你。由于每个访问者使用网站进行查询时域名是完全随机的，也就是说每个人发起DNS查询的域名都不一样，所以网站根据这条查询记录就能知道是你在使用这个DNS服务器。再根据IP归属地得知这个DNS服务器的地理位置。由于网站在不停的发送新的域名进行探测，运营商的DNS可能会使用不同的上游DNS，所以可以探测到多个不同的DNS服务器IP地址。 另外，虽然1.1.1.1是任播DNS，但我们国内使用的话会被反向优化到美国，用美国的DNS服务器，那么它的上游DNS也肯定是美国的IP。所以当我将本地的DNS改成1.1.1.1之后，DNS泄露查询到的都是美国的DNS服务器。所以DNS泄露的并不是你的电脑IP，而是你上上上……上上上游的DNS服务器ip。 DNS泄露在代理中的问题 大家可能松了一口气，觉得并没有什么大不了。那么再来看一下使用代理之后是一个什么情况。 以普通的全局系统代理为例，首先，浏览器要访问谷歌。 由于配置了系统代理，浏览器不再进行DNS查询。而是直接将访问网站的请求，交给我们的代理客户端。 代理客户端拿到请求之后，此时会有两种情况。一种是不发起DNS请求就能判断他是走直连还是走代理，这种情况基本不存在DNS泄露。 另一种情况是发起DNS请求，获取到IP之后，再来根据IP判断是走直连还是走代理。这种情况大概率存在DNS泄露。即使你配的DNS是1.1.1.1或者8.8.8.8，这种国外的DNS提供商，只要发起来DNS请求，那就泄露了。还会因为上面我们所分析的情况迷惑你，因为查不到国内DNS，还以为没有泄露。假设clash使用了IP规则进行分流，就需要先得到谷歌的IP地址，于是会发起DNS请求，内容是谷歌的IP地址是多少。 当这条请求发给互联网的DNS服务器之后，问题就发生了。DNS请求是完全明文的，除非你使用DoT或者DoH进行加密。或者有些客户端默认会将DNS请求通过节点加密进行远程DNS。但这两种情况都会增加延迟，不算是好的方案。而且大部分用户都不会进行加密和远程DNS。也就是说，运营商或者中间任何一台路由器都可以看到你的意图是访问谷歌。后面的情况也就不用我细说了。当你要完谷歌的IP之后，马上给其他服务器发送一堆加密数据，鬼都知道你在干啥。 甚至可能根据这个行为来封禁节点服务器，再比如奈飞这种对地区要求高的网站，如果代理软件偷偷的发送了一个DNS，并且存在DNS泄露，负责跟奈飞的权威DNS服务器对话的这台DNS服务器的IP归属地就会和当前访问奈飞网站的代理IP不是同一个地区，那就判定你在使用VPN工具从而禁止观看。到这里，其实我们就已经能够解释文章开头提到的Steam VPN检测问题。并且是一个非常强的代理特征，就是DNS泄露以及DNS泄露所导致的问题。 二、Clash的DNS处理方式 问题已经提出来了，那要怎么解决呢？ 那当然是把提出问题的人解决掉就好了 要想解决这个问题，就需要先来看一下目前主流代理软件是如何处理DNS请求的。 1.原理 考虑到很多人可能和我一样不喜欢看官方文档，所以这里我主要给你介绍一些最主要的基本功能，也是我们下面用得到的 ...

过去 6-8 个月内有大量暗网市场和供应商被取缔或下线，整理了Matt和相关大神的Darkweb OSINT最新资源列表。（未收集售卖类站点） Onion索引类： Fresh Onions http://freshonifyfe4rmuh6qwpsexfhdrww7wnt5qmkoertwxmcuvm4woo4ad.onion/ H-Indexer http://amz4atjtuuis4dsnxlc3ek6fjoiadj3z7yzcjhylgtfmtrrh7i2hu6id.onion/ OnionLand Search http://kewgkvbzmjprghk2gv6otkxuyvn2gdnv4256uiumuykjio7nyo5k6rid.onion/ Nexus http://nexusxg6rr5e2ue6gdjo6oassw36lsx5cx6y3r5ojneo53kynv3rqgyd.onion/ Dark Eye http://darkeyepxw7cuu2cppnjlgqaav6j42gyt43clcn4vjjf7llfyly5cxid.onion/ VCS Onion Links http://hgzqgqunlejgxruvcthlpk3pywgkci3kkubhnvlv2rgveusz3n6qarad.onion/ 数据泄露： Distributed Denial of Secrets – 专门收集各种泄密事件的发布和存档 http://ddosxlvzzow7scc7egy75gpke54hgbg2frahxzaw6qq5osnzm7wistid.onion/wiki/Distributed_Denial_of_Secrets Leaked Instagram passwords http://breachdbsztfykg2fdaq2gnqnxfsbj5d35byz3yzj73hazydk4vq72qd.onion/ Trashchan public DB dump – 各类公开数据库的转储 http://trashbakket2sfmaqwmvv57dfnmacugvuhwxtxaehcma6ladugfe2cyd.onion/ Anon Leaks – 新闻和泄露混合的站点 http://oezronzbtheydpio2x64wzf2np6go2abdrtgprmgxh6xi6mjnha6lxad.onion/ 新闻： The Tor Times – darkweb新闻汇总. http://tortimeswqlzti2aqbjoieisne4ubyuoeiiugel2layyudcfrwln76qd.onion/ Electronic Frontier Foundation – 隐私类新闻 https://www.iykpqm7jiradoeezzkhj7c4b33g4hbgfwelht2evxxeicbpjy44c7ead.onion/ 其它类： Archive.is – URL存档站点的暗网版本. http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/ Online-Test – 用于检查 .onion 站点当前是否在线/离线 http://donionsixbjtiohce24abfgsffo2l4tk26qx464zylumgejukfq2vead.onion/test.php ...

这段时间忙着弄学校的靶场，都没时间写博客，那就简单地总结一下靶场搭建时候遇到的几个大坑 绝对不是为了水文章 动态题目容器部署 动态flag 动态题目部署最常遇到的问题，就是flag没法挂载 原理是什么呢？ 靶场使用的框架是CTFd V2.1.5，适配的动态部署插件是ctfd-owl 一开始我以为owl插件和赵师傅的ctfd-whale插件实现原理是一样的，就依葫画瓢地去clone了CTFTraining，结果发现部署是能部署了，却怎么也调不到想要的动态flag 随便打开一道题的docker-compose.yml，发现预留了一个environment属性，用来修改FLAG环境变量的值 由于前面部署发现flag并没有随不同容器而改变，因此可以推测出owl和whale插件不一样的地方就在动态flag的修改方式不同 因为owl自带了一道题目作为test，并且是一道file upload 对照后发现了一个flag的文件映射，再根据进入容器查看后发现，确实在容器根目录下成功写入了动态flag 因此再次推断，flag就是通过外部flag文件被写入后再映射进去的 但还有一个问题是，如果题目是一些类似sql注入这样的题目，答题者无法直接读取flag文件的，要怎么办呢？ 不慌，回到刚刚说到的environment属性 在一道sql注入题的Dockerfile中发现CMD命令会执行一个叫flag.sh的shell文件，文件内容如图 上图的FLAG是我自己添加进去的，在原版CTFTraining中是没有’cat /flag‘这句代码的。这里经过查阅，发现export为设置环境变量，所以如果想让flag写入到数据库中，就可以通过这样的形式写入进去 环境变量配置 正如上面所说，想要给一些无法直接接触到flag文件的题目配置动态flag，就需要使用环境变量赋值。可是，当我再一次进行尝试时，发现还是部署不上去，导致在这个地方卡了整整两天 直到某天在群上，我被罗少的一句话点醒 “用./形式运行的子shell是无法修改父shell环境变量的，但用source运行的话就不是子shell运行，而是直接被系统shell运行” 打开Dockerfile后发现，CMD命令的确使用的是./运行方法，修改后如下 就成功解决问题啦~ （还是要感谢罗少的提示） 无法修改的容器 当我修改完我的docker配置文件后，正当一切准备就绪，激动地按下docker-compose up -d后，发现容器非但没给我部署上正确flag，甚至连原本自带的flag都没了，在这个地方又卡了整整一天 正当我百思不得其解的时候，胡乱翻看网上博客，才想起来在docker-compose中还带有image这个属性，经过翻看文档后才得知，docker compose在部署容器集群时，会优先根据image属性读取镜像库中的镜像，而不是利用Dockerfile的配置自己制作容器。 就这样，删掉image属性和本地悬挂镜像后，一切便大功告成 （果然还是得听罗少的话，用什么之前都得好好看文档） 就先写到这儿了，要是碰到什么问题再补充叭