Sistem Jeneng Domain (DNS) kaya buku telpon sing nerjemahake jeneng pangguna-loropaken kaya "ussc.ru" menyang alamat IP. Wiwit aktivitas DNS ana ing meh kabeh sesi komunikasi, preduli saka protokol. Mangkono, logging DNS minangka sumber data sing terkenal kanggo spesialis keamanan informasi, supaya bisa ndeteksi anomali utawa entuk data tambahan babagan sistem sing diselidiki.
Ing taun 2004, Florian Weimer ngusulake cara logging sing diarani DNS Pasif, sing ngidini sampeyan mulihake riwayat owah-owahan data DNS kanthi kemampuan kanggo ngindeks lan nggoleki, sing bisa nyedhiyakake akses menyang data ing ngisor iki:
- Jeneng domain
- Alamat IP saka jeneng domain sing dijaluk
- Tanggal lan wektu nanggepi
- Jinis Tanggapan
- lan liya-liyane.
Data kanggo DNS Pasif diklumpukake saka server DNS rekursif kanthi modul sing dibangun utawa kanthi nyegat tanggapan saka server DNS sing tanggung jawab kanggo zona kasebut.
Gambar 1. DNS pasif (dijupuk saka situs )
Keanehan DNS Pasif yaiku ora perlu ndhaptar alamat IP klien, sing mbantu nglindhungi privasi pangguna.
Saiki, ana akeh layanan sing nyedhiyakake akses menyang data DNS Pasif:
Tenan
Keamanan Farsight
VirusTotal
Riskiq
SafeDNS
tilase keamanan
Whitefish
Akses
On request
Ora mbutuhake registrasi
Registrasi gratis
On request
Ora mbutuhake registrasi
On request
API
saiki
saiki
saiki
saiki
saiki
saiki
ngarsane pelanggan
saiki
saiki
saiki
Ora
Ora
Ora
Miwiti pangumpulan data
2010 taun
2013 taun
2009 taun
Nampilake mung 3 sasi pungkasan
2008 taun
2006 taun
Tabel 1. Layanan kanthi akses menyang data DNS Pasif
Gunakake kasus kanggo DNS Pasif
Nggunakake DNS Pasif, sampeyan bisa mbangun hubungan antarane jeneng domain, server NS lan alamat IP. Iki ngidini sampeyan mbangun peta sistem sing ditliti lan nglacak owah-owahan ing peta kasebut saka panemuan pisanan nganti saiki.
DNS pasif uga nggampangake ndeteksi anomali ing lalu lintas. Contone, nelusuri owah-owahan ing zona NS lan cathetan jinis A lan AAAA ngidini sampeyan ngenali situs angkoro nggunakake metode fluks cepet, dirancang kanggo ndhelikake C&C saka deteksi lan pamblokiran. Amarga jeneng domain sing sah (kajaba sing digunakake kanggo ngimbangi beban) ora bakal kerep ngganti alamat IP, lan zona paling sah arang ngganti server NS.
DNS pasif, beda karo enumerasi langsung subdomain nggunakake kamus, ngidini sampeyan nemokake jeneng domain sing paling eksotis, contone, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Kadhangkala uga ngidini sampeyan nemokake area uji (lan rawan) ing situs web, bahan pangembang, lsp.
Nliti link saka email nggunakake DNS Pasif
Saiki, spam minangka salah sawijining cara utama panyerang nembus komputer korban utawa nyolong informasi rahasia. Coba priksa link saka email kasebut nggunakake DNS Pasif kanggo ngevaluasi efektifitas metode iki.
Gambar 2. Email spam
Link saka layang iki mimpin menyang situs magnit-boss.rocks, sing nawakake kanthi otomatis ngumpulake bonus lan nampa dhuwit:
Gambar 3. Kaca sing di-host ing domain magnit-boss.rocks
Kanggo sinau situs iki digunakake , kang wis 3 siap-digawe klien ing , ΠΈ .
Kaping pisanan, kita bakal ngerteni kabeh sejarah jeneng domain iki, mula kita bakal nggunakake perintah kasebut:
pt-klien pdns --query magnit-boss.rocks
Printah iki bakal ngasilake informasi babagan kabeh resolusi DNS sing ana gandhengane karo jeneng domain iki.
Gambar 4. Tanggapan saka API Riskiq
Ayo nggawa respon saka API menyang wangun sing luwih visual:
Gambar 5. Kabeh entri saka respon
Kanggo riset luwih lanjut, kita njupuk alamat IP sing jeneng domain iki wis ditanggulangi nalika surat ditampa ing 01.08.2019/92.119.113.112/85.143.219.65, alamat IP kasebut yaiku alamat ing ngisor iki XNUMX lan XNUMX.
Nggunakake perintah:
pt-klien pdns --query
sampeyan bisa njaluk kabeh jeneng domain sing digandhengake karo alamat IP diwenehi.
Alamat IP 92.119.113.112 nduweni 42 jeneng domain unik sing wis mutusake kanggo alamat IP iki, ing antarane yaiku jeneng ing ngisor iki:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- lan liyane
Alamat IP 85.143.219.65 nduweni 44 jeneng domain unik sing wis mutusake kanggo alamat IP iki, ing antarane yaiku jeneng ing ngisor iki:
- cvv2.name (situs web kanggo adol rincian kertu kredit)
- emaills.world
- www.mailru.space
- lan liyane
Sambungan karo jeneng domain iki mimpin kanggo phishing, nanging kita pracaya marang wong apik, supaya nyoba kanggo njaluk bonus saka 332 rubles? Sawise ngeklik tombol "YA", situs kasebut njaluk kita nransfer 501.72 rubel saka kertu kanggo mbukak kunci akun lan ngirim menyang situs as-torpay.info kanggo ngetik data.
Gambar 6. Kaca utama situs ac-pay2day.net
Katon kaya situs sing sah, ana sertifikat https, lan kaca utama nawakake kanggo nyambungake sistem pembayaran iki menyang situs sampeyan, nanging, sayang, kabeh pranala sing disambungake ora bisa digunakake. Jeneng domain iki mutusake mung 1 alamat ip - 190.115.19.74. Iki uga duwe 1475 jeneng domain unik sing mutusake menyang alamat IP iki, kalebu jeneng kayata:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- lan liyane
Kaya sing bisa dideleng, DNS pasif ngidini sampeyan ngumpulake data kanthi cepet lan efisien babagan sumber sing diteliti lan malah nggawe jinis jejak sing ngidini sampeyan nemokake kabeh skema kanggo nyolong data pribadhi, saka panrimo menyang papan sing bisa didol.
Gambar 7. Peta sistem sing diteliti
Ora kabeh dadi rosy kaya sing dikarepake. Contone, investigasi kasebut bisa gampang rusak ing CloudFlare utawa layanan sing padha. Lan efektifitas database sing diklumpukake gumantung banget marang jumlah panjalukan DNS sing ngliwati modul kanggo ngumpulake data DNS Pasif. Nanging, DNS pasif minangka sumber informasi tambahan kanggo peneliti.
Penulis: Spesialis Pusat Ural kanggo Sistem Keamanan
Source: www.habr.com