يشبه نظام اسم المجال (DNS) دليل الهاتف الذي يترجم الأسماء سهلة الاستخدام مثل "ussc.ru" إلى عناوين IP. نظرًا لأن نشاط DNS موجود في جميع جلسات الاتصال تقريبًا، بغض النظر عن البروتوكول. وبالتالي، يعد تسجيل DNS مصدرًا قيمًا للبيانات لمتخصصي أمن المعلومات، مما يسمح لهم باكتشاف الحالات الشاذة أو الحصول على بيانات إضافية حول النظام قيد التحقيق.
في عام 2004، اقترح فلوريان فايمر طريقة تسجيل تسمى Passive DNS، والتي تسمح لك باستعادة سجل تغييرات بيانات DNS مع القدرة على الفهرسة والبحث، والتي يمكن أن توفر الوصول إلى البيانات التالية:
- اسم النطاق
- عنوان IP لاسم المجال المطلوب
- تاريخ ووقت الرد
- نوع الاستجابة
- إلخ
يتم جمع بيانات DNS السلبي من خوادم DNS العودية بواسطة وحدات مدمجة أو عن طريق اعتراض الاستجابات من خوادم DNS المسؤولة عن المنطقة.
الشكل 1. DNS السلبي (مأخوذ من الموقع )
تكمن خصوصية نظام DNS السلبي في عدم الحاجة إلى تسجيل عنوان IP الخاص بالعميل، مما يساعد على حماية خصوصية المستخدم.
يوجد حاليًا العديد من الخدمات التي توفر الوصول إلى بيانات DNS السلبية:
شركة
الأمن بعيد النظر
فايروس توتال
ريسك
SafeDNS
الأمن
سيسكو
وصول
بناء على طلبها
لا يتطلب التسجيل
التسجيل مجاني
بناء على طلبها
لا يتطلب التسجيل
بناء على طلبها
API
الحالي
الحالي
الحالي
الحالي
الحالي
الحالي
حضور العملاء
الحالي
الحالي
الحالي
لا شيء
لا شيء
لا شيء
بداية جمع البيانات
2010 العام
2013 العام
2009 العام
يعرض فقط آخر 3 أشهر
2008 العام
2006 العام
الجدول 1. الخدمات التي يمكنها الوصول إلى بيانات DNS السلبية
حالات الاستخدام لـ DNS السلبي
باستخدام نظام DNS السلبي، يمكنك بناء علاقات بين أسماء النطاقات وخوادم NS وعناوين IP. يتيح لك ذلك بناء خرائط للأنظمة قيد الدراسة وتتبع التغييرات في مثل هذه الخريطة منذ الاكتشاف الأول وحتى اللحظة الحالية.
كما يسهل نظام DNS السلبي اكتشاف الحالات الشاذة في حركة المرور. على سبيل المثال، يتيح لك تتبع التغييرات في مناطق NS والسجلات من النوع A وAAA تحديد المواقع الضارة باستخدام طريقة التدفق السريع، المصممة لإخفاء القيادة والتحكم من الاكتشاف والحظر. لأن أسماء النطاقات الشرعية (باستثناء تلك المستخدمة لموازنة التحميل) لن تغير عناوين IP الخاصة بها كثيرًا، ونادرًا ما تغير معظم المناطق الشرعية خوادم NS الخاصة بها.
DNS السلبي، على عكس التعداد المباشر للنطاقات الفرعية باستخدام القواميس، يسمح لك بالعثور حتى على أسماء النطاقات الأكثر غرابة، على سبيل المثال، "222qmxacaiqaaaaazibq4aaidhmbqaaa0unified7140c0.p.hoff.ru". كما يسمح لك أحيانًا بالعثور على مناطق الاختبار (والضعيفة) في موقع الويب، ومواد المطورين، وما إلى ذلك.
فحص رابط من بريد إلكتروني باستخدام DNS السلبي
في الوقت الحالي، يعد البريد العشوائي إحدى الطرق الرئيسية التي يخترق بها المهاجم كمبيوتر الضحية أو يسرق معلومات سرية. دعنا نحاول فحص الرابط من رسالة البريد الإلكتروني هذه باستخدام Passive DNS لتقييم فعالية هذه الطريقة.
الشكل 2. البريد الإلكتروني العشوائي
أدى الرابط من هذه الرسالة إلى موقع magnit-boss.rocks، الذي عرض جمع المكافآت واستلام الأموال تلقائيًا:
الشكل 3. الصفحة المستضافة على المجال magnit-boss.rocks
لدراسة هذا الموقع تم استخدامه ، والتي لديها بالفعل 3 عملاء جاهزين , и .
بادئ ذي بدء، سنكتشف التاريخ الكامل لاسم النطاق هذا، ولهذا سنستخدم الأمر:
pt-client pdns --query magnit-boss.rocks
سيعيد هذا الأمر معلومات حول جميع قرارات DNS المرتبطة باسم المجال هذا.
الشكل 4. الرد من Riskiq API
لننقل الاستجابة من واجهة برمجة التطبيقات (API) إلى نموذج أكثر وضوحًا:
الشكل 5. كافة الإدخالات من الاستجابة
لمزيد من البحث، أخذنا عناوين IP التي تم حل اسم المجال لها في وقت استلام الرسالة بتاريخ 01.08.2019/92.119.113.112/85.143.219.65، وعناوين IP هذه هي العناوين التالية XNUMX وXNUMX.
باستخدام الأمر:
pt-client pdns --query
يمكنك الحصول على جميع أسماء النطاقات المرتبطة بعناوين IP المحددة.
يحتوي عنوان IP 92.119.113.112 على 42 اسم مجال فريدًا تم حلها لعنوان IP هذا، ومن بينها الأسماء التالية:
- Magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- وغيرها
يحتوي عنوان IP 85.143.219.65 على 44 اسم مجال فريدًا تم حلها لعنوان IP هذا، ومن بينها الأسماء التالية:
- cvv2.name (موقع لبيع بيانات بطاقة الائتمان)
- emaills.world
- www.mailru.space
- وغيرها
تؤدي الاتصالات بأسماء النطاقات هذه إلى التصيد الاحتيالي، لكننا نؤمن بالأشخاص الطيبين، لذلك دعونا نحاول الحصول على مكافأة قدرها 332 روبل؟ بعد الضغط على زر "YES"، يطلب منا الموقع تحويل 501.72 روبل من البطاقة لفتح الحساب ويرسلنا إلى الموقع as-torpay.info لإدخال البيانات.
الشكل 6. الصفحة الرئيسية لموقع ac-pay2day.net
يبدو وكأنه موقع قانوني، وهناك شهادة https، وتعرض الصفحة الرئيسية ربط نظام الدفع هذا بموقعك، ولكن، للأسف، جميع روابط الاتصال لا تعمل. يتم تحليل اسم المجال هذا إلى عنوان IP واحد فقط - 1. وهو بدوره يحتوي على 190.115.19.74 اسم نطاق فريدًا يرتبط بعنوان IP هذا، بما في ذلك أسماء مثل:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- وغيرها
كما نرى، يسمح لك نظام DNS السلبي بجمع البيانات حول المورد قيد الدراسة بسرعة وكفاءة وحتى بناء نوع من البصمة التي تسمح لك بالكشف عن المخطط الكامل لسرقة البيانات الشخصية، بدءًا من استلامها وحتى مكان البيع المحتمل.
الشكل 7. خريطة النظام قيد الدراسة
ليس كل شيء ورديًا كما نرغب. على سبيل المثال، يمكن لمثل هذه التحقيقات اختراق CloudFlare أو الخدمات المشابهة بسهولة. وتعتمد فعالية قاعدة البيانات المجمعة بشكل كبير على عدد طلبات DNS التي تمر عبر وحدة جمع بيانات DNS السلبية. ومع ذلك، يعد DNS السلبي مصدرًا للمعلومات الإضافية للباحث.
المؤلف: متخصص في مركز الأورال للأنظمة الأمنية
المصدر: www.habr.com