Mae'r System Enw Parth (DNS) fel llyfr ffΓ΄n sy'n trosi enwau hawdd eu defnyddio fel "ussc.ru" yn gyfeiriadau IP. Gan fod gweithgaredd DNS yn bresennol ym mron pob sesiwn gyfathrebu, waeth beth fo'r protocol. Felly, mae logio DNS yn ffynhonnell ddata werthfawr i'r arbenigwr diogelwch gwybodaeth, gan ganiatΓ‘u iddynt ganfod anghysondebau neu gael data ychwanegol am y system sy'n cael ei hymchwilio.
Yn 2004, cynigiodd Florian Weimer ddull logio o'r enw Passive DNS, sy'n eich galluogi i adfer hanes newidiadau data DNS gyda'r gallu i fynegeio a chwilio, a all ddarparu mynediad i'r data canlynol:
- Enw parth
- Cyfeiriad IP yr enw parth y gofynnwyd amdano
- Dyddiad ac amser ymateb
- Math o ymateb
- ac ati
Cesglir data ar gyfer DNS Goddefol o weinyddion DNS ailadroddus trwy fodiwlau adeiledig neu drwy ryng-gipio ymatebion gan weinyddion DNS sy'n gyfrifol am y parth.
Ffigur 1. DNS goddefol (a gymerwyd o'r safle )
Nodwedd o DNS Goddefol yw nad oes angen cofrestru cyfeiriad IP y cleient, sy'n helpu i amddiffyn preifatrwydd defnyddwyr.
Ar hyn o bryd, mae yna lawer o wasanaethau sy'n darparu mynediad at ddata DNS Goddefol:
cwmni
Diogelwch Farsight
VirwsTotal
Peryglus
SafeDNS
llwybrau diogelwch
Cisco
Mynediad
Ar gais
Nid oes angen cofrestru
Mae cofrestru am ddim
Ar gais
Nid oes angen cofrestru
Ar gais
API
Yn bresennol
Yn bresennol
Yn bresennol
Yn bresennol
Yn bresennol
Yn bresennol
Argaeledd cleient
Yn bresennol
Yn bresennol
Yn bresennol
Dim
Dim
Dim
Dechrau casglu data
2010 y flwyddyn
2013 y flwyddyn
2009 y flwyddyn
Yn arddangos dim ond y 3 mis diwethaf
2008 y flwyddyn
2006 y flwyddyn
Tabl 1. Gwasanaethau gyda mynediad at ddata DNS Goddefol
Defnyddiwch achosion ar gyfer DNS Goddefol
Gan ddefnyddio goddefol DNS gallwch adeiladu cysylltiadau rhwng enwau parth, gweinyddwyr NS a chyfeiriadau IP. Mae hyn yn eich galluogi i adeiladu mapiau o'r systemau sy'n cael eu hastudio ac olrhain newidiadau mewn map o'r fath o'r darganfyddiad cyntaf hyd at y presennol.
Mae DNS goddefol hefyd yn ei gwneud hi'n haws canfod anghysondebau mewn traffig. Er enghraifft, mae olrhain newidiadau mewn parthau NS a chofnodion math A ac AAAA yn eich galluogi i nodi safleoedd maleisus sy'n defnyddio'r dull fflwcs cyflym, a gynlluniwyd i guddio C&C rhag canfod a rhwystro. Oherwydd na fydd enwau parth cyfreithlon (ac eithrio'r rhai a ddefnyddir ar gyfer cydbwyso llwyth) yn newid eu cyfeiriadau IP yn aml, ac anaml y bydd y rhan fwyaf o barthau cyfreithlon yn newid eu gweinyddwyr NS.
Mae DNS goddefol, yn wahanol i chwiliad uniongyrchol o is-barthau gan ddefnyddio geiriaduron, yn caniatΓ‘u ichi ddod o hyd i hyd yn oed yr enwau parth mwyaf egsotig, er enghraifft β222qmxacaiqaaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ruβ. Mae hefyd weithiau'n caniatΓ‘u ichi ddod o hyd i feysydd profi (a bregus) o'r wefan, deunyddiau datblygwr, ac ati.
Archwilio dolen o e-bost gan ddefnyddio goddefol DNS
Ar hyn o bryd, sbam yw un o'r prif ffyrdd y mae ymosodwr yn treiddio i gyfrifiadur dioddefwr neu'n dwyn gwybodaeth gyfrinachol. Gadewch i ni geisio archwilio'r ddolen o lythyr o'r fath gan ddefnyddio Goddefol DNS i werthuso effeithiolrwydd y dull hwn.
Ffigur 2. E-bost sbam
Arweiniodd y ddolen o'r llythyr hwn at y safle magnit-boss.rocks, a gynigiodd gasglu taliadau bonws yn awtomatig a derbyn arian:
Ffigur 3. Tudalen wedi'i lletya ar y parth magnit-boss.rocks
Ar gyfer astudio'r safle hwn yn cael ei ddefnyddio , sydd eisoes Γ’ 3 cleient parod ymlaen , ΠΈ .
Yn gyntaf oll, byddwn yn darganfod hanes cyfan yr enw parth hwn, ar gyfer hyn byddwn yn defnyddio'r gorchymyn:
pt-client pdns --query magnit-boss.rocks
Bydd y gorchymyn hwn yn dangos gwybodaeth am yr holl ddatrysiadau DNS sy'n gysylltiedig Γ’'r enw parth hwn.
Ffigur 4. Ymateb gan Riskiq API
Dewch i ni ddod Γ’'r ymateb o'r API i ffurf fwy gweledol:
Ffigur 5. Pob cofnod o'r ymateb
Ar gyfer ymchwil pellach, aethom Γ’βr cyfeiriadau IP y penderfynodd yr enw parth hwn iddynt ar yr adeg y derbyniwyd y llythyr ar 01.08.2019/92.119.113.112/85.143.219.65, aβr cyfeiriadau IP oβr fath ywβr cyfeiriadau canlynol XNUMX a XNUMX.
Gan ddefnyddio'r gorchymyn:
pt-client pdns -- ymholiad
gallwch gael yr holl enwau parth sy'n gysylltiedig Γ’ chyfeiriadau IP a roddir.
Mae gan y cyfeiriad IP 92.119.113.112 42 o enwau parth unigryw sy'n cyd-fynd Γ’'r cyfeiriad IP hwn, ac ymhlith y rhain mae'r enwau canlynol:
- magned-boss.club
- igrovie-automaty.me
- pro-x-archwiliad.xyz
- zep3-www.xyz
- ac eraill
Mae gan y cyfeiriad IP 85.143.219.65 44 o enwau parth unigryw sydd wedi penderfynu ar y cyfeiriad IP hwn, ac ymhlith y rhain mae'r enwau canlynol:
- cvv2.name (gwefan ar gyfer gwerthu data cerdyn credyd)
- emaills.byd
- www.mailru.space
- ac eraill
Mae cysylltiadau Γ’'r enwau parth hyn yn awgrymu gwe-rwydo, ond rydyn ni'n credu mewn pobl dda, felly gadewch i ni geisio cael bonws o 332 rubles? Ar Γ΄l clicio ar y botwm βIEβ, mae'r wefan yn gofyn i ni drosglwyddo 501.72 rubles o'r cerdyn i ddatgloi'r cyfrif ac yn ein hanfon i'r wefan fel-torpay.info i fewnbynnu data.
Ffigur 6. Prif dudalen y wefan ac-pay2day.net
Mae'n edrych fel gwefan gyfreithiol, mae yna dystysgrif https, ac mae'r brif dudalen yn cynnig cysylltu'r system dalu hon Γ’'ch gwefan, ond, gwaetha'r modd, nid yw'r holl ddolenni i gysylltu yn gweithio. Dim ond i 1 cyfeiriad ip y mae'r enw parth hwn yn ei ddatrys - 190.115.19.74. Mae ganddo, yn ei dro, 1475 o enwau parth unigryw sy'n cyd-fynd Γ’'r cyfeiriad IP hwn, gan gynnwys enwau fel:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fltkass.net
- as-magicpay.com
- ac eraill
Fel y gallwn weld, mae DNS Goddefol yn caniatΓ‘u ichi gasglu data am yr adnodd sy'n cael ei astudio yn gyflym ac yn effeithlon a hyd yn oed adeiladu math o argraffnod sy'n eich galluogi i ddatgelu'r cynllun cyfan ar gyfer dwyn data personol, o'i dderbyn i'r man gwerthu tebygol.
Ffigur 7. Map o'r system sy'n cael ei hastudio
Nid yw popeth mor rosy ag yr hoffem. Er enghraifft, gall ymchwiliadau o'r fath fethu'n hawdd ar CloudFlare neu wasanaethau tebyg. Ac mae effeithiolrwydd y gronfa ddata a gasglwyd yn dibynnu'n fawr ar nifer y ceisiadau DNS sy'n mynd trwy'r modiwl ar gyfer casglu data DNS Goddefol. Ond serch hynny, mae DNS Goddefol yn ffynhonnell gwybodaeth ychwanegol i'r ymchwilydd.
Awdur: Arbenigwr y Ganolfan Ural ar gyfer Systemau Diogelwch
Ffynhonnell: hab.com