🈵 🧡 ⛳️ 分析师掌握的被动DNS 👼🏽 🏐 ♿️

域名系统（DNS）是一种电话簿，可将用户友好的名称（例如“ ussc.ru”）转换为IP地址。由于DNS活动几乎存在于所有通信会话中，而与协议无关。因此，DNS日志记录对于信息安全专家而言是宝贵的数据源，使他们可以检测异常或获取有关正在研究的系统的其他数据。

2004年，弗洛里安·韦默（Florian Weimer）提出了一种称为“被动DNS”的日志记录方法，该方法允许您通过索引和搜索功能来还原DNS数据更改的历史记录，从而可以访问以下数据：

从具有内置模块的递归DNS服务器或通过拦截负责该区域的DNS服务器的响应来收集被动DNS的数据。

图1.被动DNS（摘自Ctovision.com ）

被动DNS的独特之处在于，无需注册客户端的IP地址，这有助于保护用户隐私。

目前，有许多服务可提供对被动DNS数据的访问：

	DNS数据库	病毒总数	被动总	章鱼	安全追踪	伞调查
公司介绍	Farsight安全	病毒总数	风险号	安全DNS	安全追踪	思科公司
访问权限	根据要求	无需注册	免费注册	根据要求	无需注册	根据要求
API	存在	存在	存在	存在	存在	存在
客户可用性	存在	存在	存在	不见了	不见了	不见了
开始收集数据	2010年	2013年	2009年	仅显示最近3个月	2008年	2006年

表1.可以访问被动DNS数据的服务

使用被动DNS，可以在域名，NS服务器和IP地址之间建立连接。这使您可以构建所研究系统的地图，并跟踪从第一次检测到当前时刻的此类地图变化。

被动DNS还有助于检测流量异常。例如，跟踪NS区域中的变化以及A和AAAA之类的记录可以使您使用快速通量方法识别恶意站点，该方法旨在隐藏C＆C使其免受检测和阻止。由于合法域名（用于负载平衡的域名除外）不会经常更改其IP地址，并且大多数合法区域很少更改其NS服务器。

与直接枚举字典中的子域相反，被动DNS甚至可以让您查找最奇特的域名，例如“ 222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”。另外，它有时还允许您查找网站的测试（和易受攻击）区域，开发人员资料等。

目前，垃圾邮件是攻击者入侵受害者计算机或窃取机密信息的主要方法之一。让我们尝试使用被动DNS检查此类信件的链接，以评估此方法的有效性。

图2.垃圾邮件

这封信的链接指向网站magnit-boss.rocks，该站点提供了自动收集奖金和收取资金的功能：

图3. magnit-boss.rocks上托管的页面

为了研究此站点，使用了Riskiq API ，该API已经拥有3个现成的Python ， Ruby和Rust客户端。

首先，我们将学习此域名的整个历史，为此，我们使用以下命令：

pt-client pdns --query magnit-boss.rocks

此命令将显示有关与此域名关联的所有DNS解析的信息。

图4. Riskiq API的响应

让我们将API的答案以更直观的形式呈现出来：

图5.响应中的所有记录

为了进一步研究，在接收字母01.08.2019时使用此域名解析的IP地址，这些IP地址是以下地址92.119.113.112和85.143.219.65。

使用命令：

pt-client pdns --query

您可以获得与这些IP地址关联的所有域名。
IP地址92.119.113.112有42个唯一的域名解析为该IP地址，其中包括以下名称：

IP地址85.143.219.65具有解析为该IP地址的44个唯一域名，其中包括以下名称：

与这些域名的连接可能暗示着网络钓鱼，但我们相信有好人，因此，我们将尝试获得332501.72卢布的奖金吗？点击“是”按钮后，网站要求我们从卡中转出300卢布以解锁帐户，然后将我们发送至as-torpay.info以输入数据。

图6. Ac-pay2day.net主页

它看起来像合法的网站，有一个https证书，并且主页提供了将该付款系统连接到您的网站的功能，但是，所有连接的链接都无法使用。此域名解析为仅1个IP地址-190.115.19.74。反过来，它具有解析为该IP地址的1475个唯一域名，包括以下名称：

正如我们所看到的，被动DNS使您能够快速有效地收集有关所调查资源的数据，甚至建立一种指纹，从而使您能够揭示从盗窃个人数据到接收到可能的销售点的整个方案。

图7.被调查系统的地图

并非所有事情都像我们想要的那样乐观。例如，此类调查可以轻松地分解CloudFlare或类似服务。数据库的有效性非常取决于通过该模块收集被动DNS数据的DNS查询的数量。尽管如此，被动DNS还是为研究人员提供了更多信息的来源。

作者：乌拉尔安全系统中心专家

分析师掌握的被动DNS