လေ့လာသူ၏လက်ထဲတွင် Passive DNS

Domain Name System (DNS) သည် "ussc.ru" ကဲ့သို့ သုံးစွဲသူနှင့် အဆင်ပြေသော အမည်များကို IP လိပ်စာများသို့ ဘာသာပြန်ပေးသည့် ဖုန်းစာအုပ်နှင့် တူသည်။ ပရိုတိုကော မည်သို့ပင်ဖြစ်စေ DNS လုပ်ဆောင်ချက်သည် ဆက်သွယ်ရေးဆက်ရှင်အားလုံးနီးပါးတွင် ရှိနေသောကြောင့်ဖြစ်သည်။ ထို့ကြောင့်၊ DNS logging သည် သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူများအတွက် အဖိုးတန်ဒေတာအရင်းအမြစ်တစ်ခုဖြစ်ပြီး ၎င်းတို့ကို ကွဲလွဲချက်များကိုသိရှိနိုင်စေရန် သို့မဟုတ် လေ့လာမှုအောက်တွင်ရှိသောစနစ်နှင့်ပတ်သက်သည့်နောက်ထပ်ဒေတာကိုရယူခွင့်ပြုပါသည်။

2004 ခုနှစ်တွင်၊ Florian Weimer သည် Passive DNS ဟုခေါ်သော မှတ်တမ်းနည်းလမ်းကို အဆိုပြုခဲ့ပြီး၊ ၎င်းသည် အောက်ပါဒေတာများကို ဝင်ရောက်ကြည့်ရှုနိုင်စေသည့် DNS ဒေတာပြောင်းလဲမှုများ၏ သမိုင်းကြောင်းကို ညွှန်းကိန်းနှင့် ရှာဖွေနိုင်မှုဖြင့် ပြန်လည်ရယူခွင့်ပြုသည်-

• domain name ကို
• တောင်းဆိုထားသော ဒိုမိန်းအမည်၏ IP လိပ်စာ
• တုံ့ပြန်သည့်ရက်နှင့် အချိန်
• တုံ့ပြန်မှုအမျိုးအစား
• စသည်တို့ကို

Passive DNS အတွက် ဒေတာကို ပါ၀င်သော မော်ဂျူးများဖြင့် ထပ်တလဲလဲသုံးသော DNS ဆာဗာများမှ ဒေတာများကို သို့မဟုတ် ဇုန်အတွက် တာဝန်ရှိသော DNS ဆာဗာများမှ တုံ့ပြန်မှုများကို ကြားဖြတ်ကာ စုဆောင်းပါသည်။

ပုံ 1. Passive DNS (ဆိုက်မှယူသည်။ Ctovision.com)

Passive DNS ၏ အင်္ဂါရပ်မှာ သုံးစွဲသူ၏ လျှို့ဝှက်ချက်ကို ကာကွယ်ပေးသည့် သုံးစွဲသူ၏ IP လိပ်စာကို စာရင်းသွင်းရန် မလိုအပ်ဘဲ ဖြစ်သည်။

လောလောဆယ်တွင် Passive DNS ဒေတာကို ဝင်ရောက်ခွင့်ပေးသည့် ဝန်ဆောင်မှုများစွာ ရှိပါသည်။

DNSDB
VirusTotal
PassiveTotal
ရေဘဝဲ
လုံခြုံရေးလမ်းကြောင်းများ
Umbrella စုံစမ်းပါ။

ကုမ္ပဏီ
Farsight လုံခြုံရေး
VirusTotal
Riskiq
SafeDNS
လုံခြုံရေးလမ်းကြောင်းများ
Cisco သည်

လက်လှမ်းမီသည်
တောင်းဆိုချက်အပေါ်
မှတ်ပုံတင်ရန်မလိုအပ်ပါ။
စသည်ဖြင့်
တောင်းဆိုချက်အပေါ်
မှတ်ပုံတင်ရန်မလိုအပ်ပါ။
တောင်းဆိုချက်အပေါ်

API ကို
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်

ဖောက်သည်တစ်ဦး၏ရရှိနိုင်မှု
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
ပစ္စုပ္ပန်
အဘယ်သူမျှမ
အဘယ်သူမျှမ
အဘယ်သူမျှမ

ဒေတာစုဆောင်းမှုစတင်
2010 တစ်နှစ်
2013 တစ်နှစ်
2009 တစ်နှစ်
ပြီးခဲ့သည့် 3 လကသာပြသသည်။
2008 တစ်နှစ်
2006 တစ်နှစ်

ဇယား 1။ Passive DNS ဒေတာသို့ ဝင်ရောက်နိုင်သော ဝန်ဆောင်မှုများ

Passive DNS အတွက် Cases ကိုသုံးပါ။

Passive DNS ကိုအသုံးပြုခြင်းဖြင့် သင်သည် ဒိုမိန်းအမည်များ၊ NS ဆာဗာများနှင့် IP လိပ်စာများကြား ချိတ်ဆက်မှုများကို တည်ဆောက်နိုင်သည်။ ၎င်းသည် သင့်အား လေ့လာမှုအောက်တွင် စနစ်များ၏မြေပုံများကို တည်ဆောက်နိုင်စေပြီး ထိုမြေပုံ၏ပြောင်းလဲမှုများကို ပထမဆုံးရှာဖွေတွေ့ရှိမှုမှ လက်ရှိအခိုက်အတန့်အထိ ခြေရာခံနိုင်စေမည်ဖြစ်သည်။

Passive DNS သည် ယာဉ်အသွားအလာ ကွဲလွဲချက်များကို သိရှိရန် ပိုမိုလွယ်ကူစေသည်။ ဥပမာအားဖြင့်၊ NS ဇုန်များရှိ အပြောင်းအလဲများကို ခြေရာခံခြင်းနှင့် အမျိုးအစား A နှင့် AAAA ၏ မှတ်တမ်းများက သင့်အား C&C ရှာဖွေတွေ့ရှိခြင်းနှင့် ပိတ်ဆို့ခြင်းမှ ဖုံးကွယ်ရန် ဒီဇိုင်းထုတ်ထားသည့် အမြန် flux နည်းလမ်းကို အသုံးပြုသည့် အန္တရာယ်ရှိသောဆိုက်များကို ဖော်ထုတ်နိုင်စေပါသည်။ အကြောင်းမှာ တရားဝင်ဒိုမိန်းအမည်များ (load ချိန်ခွင်လျှာအတွက် အသုံးပြုသည့်အရာများမှလွဲ၍) ၎င်းတို့၏ IP လိပ်စာများကို မကြာခဏ ပြောင်းလဲမည်မဟုတ်သောကြောင့်၊ တရားဝင်ဇုန်အများစုသည် ၎င်းတို့၏ NS ဆာဗာများကို ပြောင်းလဲခဲပါသည်။

Passive DNS သည် အဘိဓာန်များကို အသုံးပြု၍ ဒိုမိန်းခွဲများကို တိုက်ရိုက်ရှာဖွေခြင်းနှင့် ဆန့်ကျင်ဘက်ဖြစ်ပြီး၊ ဥပမာ "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru" ကိုပင် ရှာဖွေနိုင်စေပါသည်။ ၎င်းသည် တစ်ခါတစ်ရံတွင် ဝဘ်ဆိုက်၊ ဆော့ဖ်ဝဲရေးသားသူ ပစ္စည်းများ၊ စသည်တို့၏ စမ်းသပ်ခြင်း (နှင့် အားနည်းချက်များ) ဧရိယာများကို ရှာဖွေနိုင်သည်။

Passive DNS ကို အသုံးပြု၍ အီးမေးလ်မှ လင့်ခ်တစ်ခုကို ရှာဖွေခြင်း။

လက်ရှိတွင်၊ spam သည် တိုက်ခိုက်သူ၏ကွန်ပျူတာကို ထိုးဖောက်ဝင်ရောက်ခြင်း သို့မဟုတ် လျှို့ဝှက်အချက်အလက်များကို ခိုးယူသည့် အဓိကနည်းလမ်းများထဲမှတစ်ခုဖြစ်သည်။ ဤနည်းလမ်း၏ထိရောက်မှုကိုအကဲဖြတ်ရန် Passive DNS ကိုအသုံးပြု၍ ထိုကဲ့သို့သောစာမှလင့်ခ်ကိုစစ်ဆေးကြည့်ကြပါစို့။

ပုံ 2. Spam အီးမေးလ်

ဤစာ၏လင့်ခ်သည် ဘောနပ်စ်များကို အလိုအလျောက်စုဆောင်းပြီး ငွေလက်ခံရန် ကမ်းလှမ်းသည့် magnit-boss.rocks ဆိုက်သို့ ဦးတည်သွားသည်-

ပုံ 3. ဒိုမိန်း magnit-boss.rocks တွင် လက်ခံထားသော စာမျက်နှာ

ဒီဆိုက်ကိုလေ့လာဖို့ ကျွန်တော်သုံးတယ်။ API Riskiqအဆင်သင့်လုပ်ပြီးသား ဖောက်သည် ၃ ဦး ရှိနှင့်ပြီးဖြစ်သည်။ Python ကို, ပတ္တမြား и သံခြေး.

ပထမဦးစွာ၊ ဤဒိုမိန်းအမည်၏သမိုင်းကြောင်းတစ်ခုလုံးကိုကျွန်ုပ်တို့ရှာဖွေလိမ့်မည်၊ ဤအမိန့်ကိုကျွန်ုပ်တို့အသုံးပြုမည်ဖြစ်သောကြောင့်၊

pt-client pdns —query magnet-boss.rocks

ဤအမိန့်တော်သည် ဤဒိုမိန်းအမည်နှင့် ဆက်စပ်နေသည့် DNS ဖြေရှင်းမှုအားလုံးအကြောင်း အချက်အလက်ကို ပြသပါမည်။

ပုံ 4. Riskiq API မှ တုံ့ပြန်မှု

API မှ တုံ့ပြန်မှုကို ပိုမိုမြင်သာသော ပုံစံသို့ ထည့်ကြပါစို့။

ပုံ 5။ တုံ့ပြန်မှုမှ ထည့်သွင်းမှုများ အားလုံး

နောက်ထပ် သုတေသနအတွက်၊ 01.08.2019/92.119.113.112/85.143.219.65 တွင် ဤဒိုမိန်းအမည်ကို ပေးစာလက်ခံရရှိချိန်တွင် ဖြေရှင်းခဲ့သည့် IP လိပ်စာများကို ယူပြီး၊ အဆိုပါ IP လိပ်စာများသည် အောက်ပါလိပ်စာ XNUMX နှင့် XNUMX များဖြစ်သည်။

အမိန့်ကိုအသုံးပြုခြင်း-

pt-client pdns --query

ဤ IP လိပ်စာများနှင့် ဆက်စပ်နေသော ဒိုမိန်းအမည်များအားလုံးကို သင်ရနိုင်သည်။
IP လိပ်စာ 92.119.113.112 တွင် ဤ IP လိပ်စာကို ဖြေရှင်းပေးသည့် ထူးခြားသော ဒိုမိန်းအမည် 42 ခု ရှိပြီး အောက်ပါအမည်များ ပါဝင်သည်။

• magnet-boss.club
• igrovie-avtomaty.me
• pro-x-audit.xyz
• zep3-www.xyz
• နှင့်အခြားသူများ

IP လိပ်စာ 85.143.219.65 တွင် ဤ IP လိပ်စာကို ဖြေရှင်းပေးသည့် ထူးခြားသော ဒိုမိန်းအမည် 44 ခု ရှိပြီး အောက်ပါအမည်များ ပါဝင်သည်။

• cvv2.name (ခရက်ဒစ်ကတ်ဒေတာရောင်းသည့်ဆိုဒ်)
• emaills.world
• www.mailru.space
• နှင့်အခြားသူများ

ဤဒိုမိန်းအမည်များနှင့် ချိတ်ဆက်မှုများသည် ဖြားယောင်းယောင်ဆောင်ခြင်းကို အကြံပြုသော်လည်း ကျွန်ုပ်တို့သည် လူကောင်းများကို ယုံကြည်သောကြောင့် အပိုဆုကြေး 332 ရူဘယ်ကို ရယူလိုက်ကြပါစို့။ “YES” ခလုတ်ကို နှိပ်ပြီးနောက်၊ အကောင့်ကို လော့ခ်ဖွင့်ရန် ကတ်မှ ရူဘယ် 501.72 ကို လွှဲပြောင်းရန်နှင့် ဒေတာထည့်သွင်းရန် ဝဘ်ဆိုက် as-torpay.info ထံသို့ ကျွန်ုပ်တို့အား ပေးပို့ခိုင်းပါသည်။

ပုံ 6. ဆိုက် ac-pay2day.net ၏ ပင်မစာမျက်နှာ

တရားဝင်ဆိုက်တစ်ခုလိုပုံရသည်၊ https လက်မှတ်တစ်ခုရှိပြီး ဤငွေပေးချေမှုစနစ်ကို သင့်ဆိုက်နှင့်ချိတ်ဆက်ရန် ပင်မစာမျက်နှာက ကမ်းလှမ်းထားသော်လည်း ချိတ်ဆက်ရန်လင့်ခ်များအားလုံး အလုပ်မဖြစ်ပါ။ ဤဒိုမိန်းအမည်သည် 1 IP လိပ်စာ - 190.115.19.74 သို့ ဖြေရှင်းပေးသည်။ တစ်ဖန် ၎င်းတွင်၊ ဤ IP လိပ်စာကို ဖြေရှင်းပေးသည့် ထူးခြားသော ဒိုမိန်းအမည် 1475 ခု ရှိပြီး၊ ထိုကဲ့သို့သော အမည်များ အပါအဝင်၊

• ac-pay2day.net
• ac-payfit.com
• as-manypay.com
• fletkass.net
• as-magicpay.com
• နှင့်အခြားသူများ

ကျွန်ုပ်တို့တွေ့မြင်ရသည့်အတိုင်း Passive DNS သည် သင့်အား လေ့လာနေသည့် ရင်းမြစ်နှင့်ပတ်သက်သည့် ဒေတာများကို လျင်မြန်ထိရောက်စွာ စုဆောင်းနိုင်စေပြီး ကိုယ်ရေးကိုယ်တာဒေတာကို ဖြတ်ပိုင်းမှ ရောင်းချသည့်နေရာအထိ ဖြစ်နိုင်ခြေရှိသော အရောင်းအ၀ယ်ပြုလုပ်သည့် အစီအစဉ်တစ်ခုလုံးကို ဖော်ထုတ်နိုင်စေမည့် လက်ဗွေပုံစံတစ်မျိုးကိုပင် ဖန်တီးနိုင်စေပါသည်။

ပုံ 7. အောက်ရှိ စနစ်၏မြေပုံကို လေ့လာပါ။

အရာအားလုံးက ငါတို့လိုချင်သလို ပန်းရောင်မဟုတ်ဘူး ။ ဥပမာအားဖြင့်၊ ထိုသို့သောစုံစမ်းစစ်ဆေးမှုများသည် CloudFlare သို့မဟုတ် အလားတူဝန်ဆောင်မှုများတွင် အလွယ်တကူပျက်ကွက်နိုင်သည်။ စုဆောင်းထားသောဒေတာဘေ့စ်၏ထိရောက်မှုသည် Passive DNS ဒေတာစုဆောင်းရန်အတွက် module မှတဆင့်ဖြတ်သန်းသွားသော DNS တောင်းဆိုမှုအရေအတွက်ပေါ်တွင် များစွာမူတည်ပါသည်။ မည်သို့ပင်ဆိုစေကာမူ Passive DNS သည် သုတေသီအတွက် နောက်ထပ်အချက်အလက်များ၏ရင်းမြစ်ဖြစ်သည်။

စာရေးသူ- လုံခြုံရေးစနစ်များအတွက် Ural Center မှ အထူးကျွမ်းကျင်သူ

source: www.habr.com