Part1 前言
大家好,我是ABC_123,本期分享一個應急響應分析案例。有一家公司自從進行網絡改造之後,把所有員工的個人電腦都加入到域環境之中,但是頻繁出現部分用戶電腦開機速度緩慢問題,而有的用戶電腦開機卻一直是正常的,一時不知道問題出在哪裡。
經過仔細詢問,發現出故障的個人電腦大多都是筆記本電腦,開機後會一直卡在如下頁面(以下截圖來源我的虛擬機環境截圖),提示「正在應用計算機設置」,這個提示會持續一分鐘左右。
Part2 分析過程
部分朋友可能有點懵,不知道該如何下手,其實我們稍微梳理一下在開機過程中客戶機電腦登錄域環境的流程,這個故障的原因就可以分析出來了。
用戶電腦在接入域環境網絡時,首先會根據本機設置的DNS去找到域環境的DNS服務器,這個DNS服務器一般和域控服務器是在一台機子上,然後查找DNS服務器的SRV記錄,域內計算機就是依靠SRV記錄去定位域控服務器的,由此可以找到域控制器的ip地址,然後完成登錄操作。如果此時網絡出故障,連不上域控,由於本地計算機的註冊表中會有域緩存信息,使用域賬號仍然可以登錄成功。
如下圖所示,在域環境中,SRV記錄存放在DNS服務器數據庫中,用於記錄每台計算機提供了什麼服務,比如說ldap._tcp.tttttt.com 600 IN SRV 0 100 389 NS.tttttt.com。ldap表示服務,tttttt.com是所在的域,600是生存時間600s,389是服務使用的端口,NS.tttttt.com是提供此服務的主機。
故障的原因:部門員工下班後會將筆記本帶回家去,會使用殺軟或者優化軟件掃描,將本地DNS設置為常用的114.114.114.114,或者是由於其它原因,自己手工設置了DNS,造成了之前電腦配置的域環境的DNS記錄被刪除了,在第2天這些員工帶着筆記本上班接入域環境之後,由於找不到test111.com域記錄,無法找到域控制器進行賬號密碼驗證,會導致開機一直卡死。
Part3 解決方法
後續我本地搭建虛擬機域環境成功復現了上述開機緩慢現象。由此也給出了解決方案,那就是把本機的「首選DNS服務器地址」設置為域環境的DNS服務器地址,比如192.168.0.201,將「備用DNS服務器」地址設置為8.8.8.8或者114.114.114.114。這樣可以同時保證在公司可以接入域環境,回到家裡後,也可以正常上網。
如下圖所示,將一台windows主機加入域test111.com中,然後重啟該電腦。
重啟後將這台電腦的本地DNS記錄按照如下圖所示填寫,這裡假定域控服務器及域環境DNS服務器的ip地址是192.168.237.201,外網DNS服務器設置為8.8.8.8。
Part4 總結
1. 在處理應急響應事件和分析溯源事件中,很多難以解決的問題,都與DNS協議相關,所以弄懂DNS挺重要的。
2. 可以參考我之前的DNS協議的幾篇文章,鏈接如下:
第32篇:某運營商鏈路劫持(被掛博彩頁)溯源異常路由節點(上篇)
第33篇:DNS劫持攻擊原理講解及溯源分析的常規步驟第35篇:某區寬帶用戶路由器DNS被篡改事件分析(DNS重綁定攻擊)
公眾號專注於網絡安全技術分享,包括APT實戰分析、紅隊攻防、藍隊分析、滲透測試、代碼審計等,每周一篇,99%原創,敬請關注。
Contact me: 0day123abc#gmail.com(replace # with @)
留言列表