Nomen Domain System (DNS) est sicut liber telephonicus qui nomina usoris amicabilia quasi "ussc.ru" in inscriptiones IP vertit. Cum DNS activitas inest in omnibus fere sessionibus communicationis cuiuscumque protocolli. Ita, DNS logging est fons perutile notitiarum ad informationes specialist securitatis, permittens eas detegere anomalias vel notitias superadditas de systemate inquisitionis obtinere.
Anno 2004, Florian Weimer Logicam methodum Logicam passivam DNS proposuit, quae tibi permittit ut historiae DNS notitiarum mutationes cum facultate indicendi et inquisitionis restituas, quae accessum ad sequentia data praebere possunt:
- ΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ ΠΈΠΌΡ
- IP oratio rogatorum domain nomen
- Date et tempus responsionis
- Genus responsum
- etc.
Data pro DNS passivo colligitur ex servientibus recursivis DNS constructis in modulis vel responsionibus intercipiendis ab DNS servientibus qui pro zona responsales sunt.
Figura 1. passivus DNS (ex situ )
Proprietas DNS passivorum est quod nihil opus est ut subcriptio huius IP inscriptionis, quae user intimitatem tuendam adiuvat.
In momento, multa officia sunt quae aditum ad DNS Passivum datam praebent;
Firm
Securitatis procul
VirusTotal
Riskiq
SafeDNS
securitatem sequor
Scelerisque
Access
Ad petitionem
Non eget registration
Registration est liber
Ad petitionem
Non eget registration
Ad petitionem
API
praesenti
praesenti
praesenti
praesenti
praesenti
praesenti
Disponibilitate clientis
praesenti
praesenti
praesenti
No
No
No
Ad initium notitia collectio
anno 2010
anno 2013
anno 2009
Exhibet modo ultimum III menses
anno 2008
anno 2006
Mensam 1. Services cum aditum passivorum DNS data
Usus Causae pro passivo DNS
DNS passivo utens, relationes aedificare inter nomina domain, NS servientibus et IP inscriptionibus potes. Hoc tibi permittit ut mappas systematum condere studeas ac pervestigare mutationes in tali tabula a primo inventione usque ad praesens momentum.
DNS Passivum etiam faciliorem reddit anomalias mercaturae deprehendere. Exempli causa, sequi mutationes in NS zonarum ac monumentorum generis A et AAAA permittit vos cognoscere sites malignos, qui methodo fluxa celeriter utuntur, occultare C&C a detectione et interclusione destinatum. Quia nomina domain legitima (praeterquam ad onera librationis adhibita) suas IP inscriptiones saepe non mutant, et zonae legitimae raro suos NS servientes mutant.
DNS passivus, contraque directam enumerationem subdomainorum dictionariorum utens, permittit te invenire etiam nomina domain exotica, exempli gratia "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Etiam interdum permittit ut experimenta (et vulnerabiles) areas of the website, materias elit, etc.
Investigans nexum ex inscriptionem per passivam DNS
In momento, spamma est una e praecipuis modis quibus oppugnator computatrum victimae penetrat vel secretiores notitias surripit. Conemur explorare nexum ex tali inscriptione inscriptionem DNS passivi utens efficaciam huius methodi aestimare.
Figura 2. Spamma inscriptio
Coniunctio ex litteris hisce ad situm magnit-boss.roks ducitur, quae sponte obtulit ad bonuses colligendos et pecuniam accipiendam:
Figura 3. Page hosted in dominio magnit-boss.rocks
Studere hoc site, ego , quod iam habet 3 paratae clientes , ΠΈ .
Imprimis totam huius nominis historiam reperiemus, hoc enim imperio utemur:
pt-client pdns -query magnet-boss.rocks
Hoc mandatum informationes reddet de omnibus DNS resolutionibus cum hoc nomine regio coniungendis.
Figure 4. Responsio e Riskiq API
Responsum ab API mittamus in formam magis visualem:
Figure 5. Omnes entries ex responsione
Ad ulteriores investigationes IP inscriptiones cepimus ad quas hoc nomen regio tempore decreverat epistula die 01.08.2019/92.119.113.112/85.143.219.65 acceptae, tales IP inscriptiones sunt hae inscriptiones XNUMX et XNUMX.
Mandatum utens;
pt-cliens pdns --query
omnia nomina domain nomina quae his IP inscriptionibus consociata sunt potes accipere.
IP oratio 92.119.113.112 habet 42 nomina peculiaria domain quae huic IP inscriptionem decreverunt, inter quae sequuntur nomina:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- et al
IP oratio 85.143.219.65 44 nomina singularia domain habet quae huic IP inscriptionem decreverunt, inter quae sequuntur nomina:
- cvv2.name (situm pro vendere promeritum pecto notitias)
- emaills.world
- www.mailru.space
- et al
Connexiones cum his nominibus domain nomen hamatae ducunt, sed credimus in hominibus benignis, ut lucrum ex 332 rublis accipere conemur? Post clicking in "Etiam" conjunctionem, situs nos rogat ut trecenti rubles ex schedula transferamus ad rationem recludendam et ad locum quasi-torpay.info nos mittit ut notitias intremus.
Figure 6. Paginae situs ac-pay2day.net
Spectat sicut situs legalis, testimonium https est, et pagina principalis praebet hanc solutionis rationem cum tuo situ coniungere, sed, proh dolor, omnes nexus ad connexionem non operantur. Haec domain nomen ad solum 1 IP oratio - 190.115.19.74 resolvit. Vicissim 1475 singularia nomina domain habet quae huic IP inscriptioni propono, etiam nomina quae:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- et al
Ut perspicimus, DNS Passivum permittit ut cito et efficaciter notitias de rebus sub studio colligendis et etiam quoddam impressum aedificet quod permittit te totum schema detegere pro personalis notitiae surripiendi, ab eius receptis ad probabilem venditionis locum.
Figure 7. Tabula systematis sub studio
Non omnia tam rosea sunt quam velimus. Exempli gratia, huiusmodi investigationes facile CloudFlare vel similia officia frangere possunt. Et efficacia datorum collectorum valde pendet a numero petitionum DNS transeuntium per modulum ad DNS Passivum colligendas notitias. Nihilominus, DNS Passivus fons informationis indagatori additus est.
Author: Specialist of the Ural Center for Security Systems
Source: www.habr.com