DNS អកម្មនៅក្នុងដៃអ្នកវិភាគ

ប្រព័ន្ធឈ្មោះដែន (DNS) គឺដូចជាសៀវភៅទូរស័ព្ទដែលបកប្រែឈ្មោះដែលងាយស្រួលប្រើដូចជា "ussc.ru" ទៅជាអាសយដ្ឋាន IP ។ ដោយសារសកម្មភាព DNS មានវត្តមាននៅក្នុងវគ្គទំនាក់ទំនងស្ទើរតែទាំងអស់ ដោយមិនគិតពីពិធីការ។ ដូច្នេះ ការចូល DNS គឺជាប្រភពទិន្នន័យដ៏មានតម្លៃសម្រាប់អ្នកឯកទេសសុវត្ថិភាពព័ត៌មាន ដែលអនុញ្ញាតឱ្យពួកគេរកឃើញភាពមិនប្រក្រតី ឬទទួលបានទិន្នន័យបន្ថែមអំពីប្រព័ន្ធដែលកំពុងសិក្សា។

នៅឆ្នាំ 2004 លោក Florian Weimer បានស្នើវិធីសាស្ត្រកត់ត្រាឈ្មោះ Passive DNS ដែលអនុញ្ញាតឱ្យអ្នកស្ដារប្រវត្តិនៃការផ្លាស់ប្តូរទិន្នន័យ DNS ជាមួយនឹងសមត្ថភាពក្នុងការធ្វើលិបិក្រម និងស្វែងរក ដែលអាចផ្តល់នូវការចូលប្រើទិន្នន័យខាងក្រោម៖

• Доменноеимя
• អាសយដ្ឋាន IP នៃឈ្មោះដែនដែលបានស្នើសុំ
• កាលបរិច្ឆេទ និងពេលវេលាឆ្លើយតប
• ប្រភេទនៃការឆ្លើយតប
• ហើយដូច្នេះនៅលើ។

ទិន្នន័យសម្រាប់ DNS អកម្មត្រូវបានប្រមូលពីម៉ាស៊ីនមេ DNS ដែលកើតឡើងវិញដោយម៉ូឌុលដែលភ្ជាប់មកជាមួយ ឬដោយការស្ទាក់ចាប់ការឆ្លើយតបពីម៉ាស៊ីនមេ DNS ដែលទទួលខុសត្រូវចំពោះតំបន់។

រូបភាពទី 1. Passive DNS (យកចេញពីគេហទំព័រ Ctovision.com)

លក្ខណៈពិសេសមួយនៃ Passive DNS គឺថាមិនចាំបាច់ចុះឈ្មោះអាសយដ្ឋាន IP របស់អតិថិជនទេ ដែលជួយការពារភាពឯកជនរបស់អ្នកប្រើប្រាស់។

នៅពេលនេះ មានសេវាកម្មជាច្រើនដែលផ្តល់ការចូលប្រើទិន្នន័យ Passive DNS៖

DNSDB
VirusTotal
PassiveTotal
រតីយាវហឺ
ផ្លូវសុវត្ថិភាព
ឆ័ត្រស៊ើបអង្កេត

ក្រុមហ៊ុននេះ
សន្តិសុខឆ្ងាយ
VirusTotal
រីស្គីក
SafeDNS
ផ្លូវសុវត្ថិភាព
ស៊ីស្កូ

ការចូលដំណើរការ
តាមការស្នើសុំ
មិនតម្រូវឱ្យមានការចុះឈ្មោះ
ការចុះឈ្មោះគឺឥតគិតថ្លៃ
តាមការស្នើសុំ
មិនតម្រូវឱ្យមានការចុះឈ្មោះ
តាមការស្នើសុំ

ការ API
បច្ចុប្បន្ន
បច្ចុប្បន្ន
បច្ចុប្បន្ន
បច្ចុប្បន្ន
បច្ចុប្បន្ន
បច្ចុប្បន្ន

ភាពអាចរកបានរបស់អតិថិជន
បច្ចុប្បន្ន
បច្ចុប្បន្ន
បច្ចុប្បន្ន
គ្មាន
គ្មាន
គ្មាន

ការចាប់ផ្តើមនៃការប្រមូលទិន្នន័យ
ឆ្នាំ 2010
ឆ្នាំ 2013
ឆ្នាំ 2009
បង្ហាញតែ 3 ខែចុងក្រោយប៉ុណ្ណោះ។
ឆ្នាំ 2008
ឆ្នាំ 2006

តារាងទី 1. សេវាកម្មដែលមានសិទ្ធិចូលប្រើទិន្នន័យ DNS អកម្ម

ប្រើករណីសម្រាប់ DNS អកម្ម

ដោយប្រើ DNS អកម្ម អ្នកអាចបង្កើតការតភ្ជាប់រវាងឈ្មោះដែន ម៉ាស៊ីនមេ NS និងអាសយដ្ឋាន IP ។ នេះអនុញ្ញាតឱ្យអ្នកបង្កើតផែនទីនៃប្រព័ន្ធដែលកំពុងសិក្សា និងតាមដានការផ្លាស់ប្តូរក្នុងផែនទីបែបនេះ ចាប់ពីការរកឃើញដំបូងរហូតដល់បច្ចុប្បន្ន។

Passive DNS ក៏ធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការរកឃើញភាពមិនប្រក្រតីនៃចរាចរណ៍ផងដែរ។ ឧទាហរណ៍ ការតាមដានការផ្លាស់ប្តូរនៅក្នុងតំបន់ NS និងកំណត់ត្រានៃប្រភេទ A និង AAAA អនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណគេហទំព័រព្យាបាទដែលប្រើវិធីសាស្ត្រលំហូរលឿន ដែលត្រូវបានរចនាឡើងដើម្បីលាក់ C&C ពីការរកឃើញ និងការទប់ស្កាត់។ ដោយសារតែឈ្មោះដែនស្របច្បាប់ (លើកលែងតែអ្នកដែលប្រើសម្រាប់តុល្យភាពបន្ទុក) នឹងមិនផ្លាស់ប្តូរអាសយដ្ឋាន IP របស់ពួកគេញឹកញាប់ទេ ហើយតំបន់ស្របច្បាប់ភាគច្រើនកម្រនឹងផ្លាស់ប្តូរម៉ាស៊ីនមេ NS របស់ពួកគេ។

អកម្ម DNS ផ្ទុយទៅនឹងការស្វែងរកដោយផ្ទាល់នៃដែនរងដោយប្រើវចនានុក្រម អនុញ្ញាតឱ្យអ្នកស្វែងរកសូម្បីតែឈ្មោះដែនកម្រនិងអសកម្មបំផុត ឧទាហរណ៍ "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru" ។ ពេលខ្លះវាក៏អនុញ្ញាតឱ្យអ្នកស្វែងរកតំបន់សាកល្បង (និងងាយរងគ្រោះ) នៃគេហទំព័រ សម្ភារៈអ្នកអភិវឌ្ឍន៍។ល។

ស្រាវជ្រាវតំណពីអ៊ីមែលដោយប្រើ DNS អកម្ម

បច្ចុប្បន្ននេះ សារឥតបានការគឺជាមធ្យោបាយសំខាន់មួយ ដែលអ្នកវាយប្រហារចូលកុំព្យូទ័ររបស់ជនរងគ្រោះ ឬលួចព័ត៌មានសម្ងាត់។ ចូរយើងព្យាយាមពិនិត្យមើលតំណភ្ជាប់ពីសំបុត្របែបនេះដោយប្រើ Passive DNS ដើម្បីវាយតម្លៃប្រសិទ្ធភាពនៃវិធីសាស្ត្រនេះ។

រូបភាពទី 2. អ៊ីម៉ែលសារឥតបានការ

តំណភ្ជាប់ពីសំបុត្រនេះបាននាំទៅកាន់គេហទំព័រ magnit-boss.rocks ដែលផ្តល់ជូនដើម្បីប្រមូលប្រាក់រង្វាន់ដោយស្វ័យប្រវត្តិ និងទទួលបានប្រាក់៖

រូបភាពទី 3. ទំព័របង្ហោះនៅលើដែន magnit-boss.rocks

ដើម្បីសិក្សាគេហទំព័រនេះខ្ញុំបានប្រើ API Riskiqដែលមានអតិថិជនរួចរាល់ចំនួន 3 រួចហើយនៅលើ ពស់ថ្លាន់, Ruby ព្រម и ច្រែះ.

ជាដំបូង យើងនឹងស្វែងយល់ពីប្រវត្តិទាំងមូលនៃឈ្មោះដែននេះ សម្រាប់ការនេះ យើងនឹងប្រើពាក្យបញ្ជា៖

pt-client pdns —query magnet-boss.rocks

ពាក្យបញ្ជានេះនឹងបង្ហាញព័ត៌មានអំពីការដោះស្រាយ DNS ទាំងអស់ដែលទាក់ទងនឹងឈ្មោះដែននេះ។

រូបភាពទី 4. ការឆ្លើយតបពី Riskiq API

ចូរយើងដាក់ការឆ្លើយតបពី API ទៅជាទម្រង់ដែលមើលឃើញបន្ថែមទៀត៖

រូបភាពទី 5. ធាតុទាំងអស់ពីការឆ្លើយតប

សម្រាប់ការស្រាវជ្រាវបន្ថែម យើងបានយកអាសយដ្ឋាន IP ដែលឈ្មោះដែននេះបានដោះស្រាយនៅពេលដែលសំបុត្រត្រូវបានទទួលនៅថ្ងៃទី 01.08.2019/92.119.113.112/85.143.219.65 អាសយដ្ឋាន IP បែបនេះគឺជាអាសយដ្ឋានខាងក្រោម XNUMX និង XNUMX ។

ដោយប្រើពាក្យបញ្ជា៖

pt-client pdns --សំណួរ

អ្នកអាចទទួលបានឈ្មោះដែនទាំងអស់ដែលត្រូវបានភ្ជាប់ជាមួយអាសយដ្ឋាន IP ទាំងនេះ។
អាសយដ្ឋាន IP 92.119.113.112 មាន ​​42 ឈ្មោះដែនតែមួយគត់ដែលដោះស្រាយអាសយដ្ឋាន IP នេះ ក្នុងចំណោមឈ្មោះដូចខាងក្រោម:

• magnet-boss.club
• igrovie-avtomaty.me
• pro-x-audit.xyz
• zep3-www.xyz
• និងផ្សេងទៀត។

អាសយដ្ឋាន IP 85.143.219.65 មាន 44 ឈ្មោះដែនតែមួយគត់ដែលដោះស្រាយទៅអាសយដ្ឋាន IP នេះ ក្នុងចំណោមឈ្មោះដូចខាងក្រោម:

• cvv2.name (គេហទំព័រសម្រាប់លក់ទិន្នន័យកាតឥណទាន)
• emaills.world
• www.mailru.space
• និងផ្សេងទៀត។

ការភ្ជាប់ជាមួយឈ្មោះដែនទាំងនេះបង្ហាញពីការក្លែងបន្លំ ប៉ុន្តែយើងជឿជាក់លើមនុស្សល្អ ដូច្នេះសូមព្យាយាមដើម្បីទទួលបានប្រាក់រង្វាន់ 332 rubles? បន្ទាប់ពីចុចលើប៊ូតុង "បាទ / ចាស" គេហទំព័រស្នើសុំឱ្យយើងផ្ទេរប្រាក់ 501.72 រូប្លិ៍ពីកាតដើម្បីដោះសោគណនីហើយបញ្ជូនយើងទៅគេហទំព័រ as-torpay.info ដើម្បីបញ្ចូលទិន្នន័យ។

រូបភាពទី 6. ទំព័រដើមនៃគេហទំព័រ ac-pay2day.net

វាមើលទៅដូចជាគេហទំព័រស្របច្បាប់ មានវិញ្ញាបនបត្រ https ហើយទំព័រសំខាន់ផ្តល់ជូនដើម្បីភ្ជាប់ប្រព័ន្ធទូទាត់នេះទៅគេហទំព័ររបស់អ្នក ប៉ុន្តែអាឡាស់ តំណភ្ជាប់ទាំងអស់សម្រាប់ភ្ជាប់មិនដំណើរការទេ។ ឈ្មោះដែននេះដោះស្រាយត្រឹមតែអាសយដ្ឋាន IP 1 - 190.115.19.74 ។ វាមានឈ្មោះដែនតែមួយគត់ចំនួន 1475 ដែលដោះស្រាយចំពោះអាសយដ្ឋាន IP នេះ រួមទាំងឈ្មោះដូចជា៖

• ac-pay2day.net
• ac-payfit.com
• as-manypay.com
• fletkass.net
• as-magicpay.com
• និងផ្សេងទៀត។

ដូចដែលយើងឃើញហើយ Passive DNS អនុញ្ញាតឱ្យអ្នកប្រមូលទិន្នន័យអំពីធនធានដែលកំពុងសិក្សាបានយ៉ាងឆាប់រហ័ស និងប្រកបដោយប្រសិទ្ធភាព ហើយថែមទាំងបង្កើតប្រភេទស្នាមម្រាមដៃដែលអនុញ្ញាតឱ្យអ្នករកឃើញគ្រោងការណ៍ទាំងមូលសម្រាប់ការលួចទិន្នន័យផ្ទាល់ខ្លួន ចាប់ពីបង្កាន់ដៃរហូតដល់កន្លែងលក់ដែលទំនង។

រូបភាពទី 7. ផែនទីនៃប្រព័ន្ធដែលកំពុងសិក្សា

មិន​មែន​អ្វី​គ្រប់​យ៉ាង​មាន​ពណ៌​ផ្កាឈូក​ដូច​យើង​ចង់​បាន​ទេ។ ឧទាហរណ៍ ការស៊ើបអង្កេតបែបនេះអាចបរាជ័យយ៉ាងងាយស្រួលនៅលើ CloudFlare ឬសេវាកម្មស្រដៀងគ្នា។ ហើយប្រសិទ្ធភាពនៃមូលដ្ឋានទិន្នន័យដែលប្រមូលបានគឺពឹងផ្អែកយ៉ាងខ្លាំងទៅលើចំនួនសំណើ DNS ដែលឆ្លងកាត់ម៉ូឌុលសម្រាប់ការប្រមូលទិន្នន័យ DNS អកម្ម។ ប៉ុន្តែទោះជាយ៉ាងណាក៏ដោយ Passive DNS គឺជាប្រភពនៃព័ត៌មានបន្ថែមសម្រាប់អ្នកស្រាវជ្រាវ។

អ្នកនិពន្ធ៖ អ្នកឯកទេសនៃមជ្ឈមណ្ឌល Ural សម្រាប់ប្រព័ន្ធសុវត្ថិភាព

ប្រភព: www.habr.com