پرو هوسٽر > بلاگ > انتظاميه > هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

ڊومين نالو سسٽم (DNS) هڪ فون بڪ وانگر آهي جيڪو صارف دوست نالن جهڙوڪ "ussc.ru" کي IP پتي ۾ ترجمو ڪري ٿو. جيئن ته DNS سرگرمي تقريبن سڀني ڪميونيڪيشن سيشنن ۾ موجود آهي، پروٽوڪول کان سواءِ. اهڙيء طرح، DNS لاگنگ معلومات جي حفاظت جي ماهرن لاء ڊيٽا جو هڪ قيمتي ذريعو آهي، انهن کي غير معمولي ڳولڻ يا مطالعي هيٺ سسٽم بابت اضافي ڊيٽا حاصل ڪرڻ جي اجازت ڏئي ٿي.

2004 ۾، فلورين ويمر هڪ لاگنگ جو طريقو پيش ڪيو جنهن کي Passive DNS سڏيو ويندو آهي، جيڪو توهان کي DNS ڊيٽا جي تبديلين جي تاريخ کي انڊيڪس ۽ ڳولا جي صلاحيت سان بحال ڪرڻ جي اجازت ڏئي ٿو، جيڪا هيٺين ڊيٽا تائين رسائي فراهم ڪري سگهي ٿي:

  • جي
  • درخواست ڪيل ڊومين جي نالي جو IP پتو
  • جواب جي تاريخ ۽ وقت
  • جواب جو قسم
  • ۽ وغيره تي.

Passive DNS لاءِ ڊيٽا گڏ ڪئي ويندي آهي ريٽورسو DNS سرورز مان بلٽ ان ماڊلز ذريعي يا DNS سرورز کان جوابن کي مداخلت ڪندي زون لاءِ ذميوار.

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 1. Passive DNS (سائيٽ تان ورتل Ctovision.com)

Passive DNS جي هڪ خاصيت اها آهي ته ڪلائنٽ جي IP پتي کي رجسٽر ڪرڻ جي ڪا ضرورت ناهي، جيڪا صارف جي رازداري جي حفاظت ۾ مدد ڪري ٿي.

هن وقت، ڪيتريون ئي خدمتون آهن جيڪي رسائي فراهم ڪن ٿيون Passive DNS ڊيٽا:

DNSDB
وائرس ٽولي
Passive Total
آسٽريليا
سيڪيورٽي پيچرا
ڇت جي تحقيق

ڪمپني
فارسائيٽ سيڪيورٽي
وائرس ٽولي
رسڪ
سيف ڊي اين ايس
سيڪيورٽي پيچرا
Cisco

رسائي
درخواست تي
رجسٽريشن جي ضرورت نه رکندو آھي
رجسٽريشن مفت آهي
درخواست تي
رجسٽريشن جي ضرورت نه رکندو آھي
درخواست تي

API
حاضر
حاضر
حاضر
حاضر
حاضر
حاضر

ڪسٽمر جي دستيابي
حاضر
حاضر
حاضر
نه
نه
نه

ڊيٽا گڏ ڪرڻ جي شروعات
2010 سال
2013 سال
2009 سال
صرف آخري 3 مھينا ڏيکاري ٿو
2008 سال
2006 سال

ٽيبل 1. غير فعال DNS ڊيٽا تائين رسائي سان خدمتون

غير فعال DNS لاءِ ڪيس استعمال ڪريو

غير فعال DNS استعمال ڪندي توهان ڊومين نالن، NS سرورز ۽ IP پتي جي وچ ۾ ڪنيڪشن ٺاهي سگهو ٿا. اهو توهان کي مطالعي هيٺ سسٽم جا نقشا ٺاهڻ ۽ اهڙي نقشي ۾ تبديلين کي ٽريڪ ڪرڻ جي اجازت ڏئي ٿو پهرين دريافت کان موجوده لمحن تائين.

Passive DNS پڻ آسان بڻائي ٿو ٽريفڪ جي بي ضابطگين کي ڳولڻ. مثال طور، NS زونن ۾ ٽريڪنگ تبديلين ۽ ٽائپ A ۽ AAAA جا رڪارڊ توهان کي بدسلوڪي سائيٽن کي سڃاڻڻ جي اجازت ڏئي ٿو جيڪي تيز فلڪس طريقو استعمال ڪن ٿيون، سي ۽ سي کي ڳولڻ ۽ بلاڪ ڪرڻ کان لڪائڻ لاءِ ٺهيل آهن. ڇاڪاڻ ته جائز ڊومين جا نالا (سواءِ جيڪي لوڊ بيلنسنگ لاءِ استعمال ڪيا ويندا آهن) انهن جي IP پتي کي اڪثر تبديل نه ڪندا، ۽ اڪثر جائز زونون گهٽ ۾ گهٽ پنهنجو NS سرور تبديل ڪندا آهن.

غير فعال DNS، ڊڪشنري استعمال ڪندي ذيلي ڊومينز جي سڌي ڳولا جي ابتڙ، توهان کي سڀ کان وڌيڪ غير معمولي ڊومين جا نالا ڳولڻ جي اجازت ڏئي ٿي، مثال طور "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". اهو ڪڏهن ڪڏهن توهان کي ويب سائيٽ، ڊولپر مواد وغيره جي جاچ (۽ ڪمزور) علائقن کي ڳولڻ جي اجازت ڏئي ٿو.

Passive DNS استعمال ڪندي هڪ اي ميل مان لنڪ جي تحقيق ڪرڻ

في الحال، اسپام هڪ مکيه طريقن مان هڪ آهي جنهن جي ذريعي هڪ حملو ڪندڙ هڪ مقتول جي ڪمپيوٽر ۾ داخل ٿئي ٿو يا رازداري معلومات چوري ڪري ٿو. اچو ته ھن طريقي جي اثرائتي انداز کي جانچڻ لاءِ Passive DNS استعمال ڪندي اھڙي خط مان لنڪ کي جانچڻ جي ڪوشش ڪريون.

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

تصوير 2. اسپام اي ميل

هن خط مان لنڪ سائيٽ ڏانهن وڌيو magnit-boss.rocks، جيڪو پيش ڪيو ويو خودڪار طور تي بونس گڏ ڪرڻ ۽ پئسا وصول ڪرڻ:

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 3. صفحو ميزباني ڪيل ڊومين تي magnit-boss.rocks

هن سائيٽ جو مطالعو ڪرڻ لاء، مون استعمال ڪيو API Riskiq، جنهن تي اڳ ۾ ئي 3 تيار ڪيل ڪلائنٽ آهن Python, روبي и زنگ.

سڀ کان پهريان، اسان هن ڊومين جي نالي جي پوري تاريخ ڳوليندا سين، ان لاءِ اسان حڪم استعمال ڪنداسين:

pt-client pdns -query magnet-boss.rocks

هي حڪم هن ڊومين جي نالي سان لاڳاپيل سڀني DNS حلن بابت معلومات ڏيکاريندو.

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 4. Riskiq API کان جواب

اچو ته API کان جواب کي وڌيڪ بصري شڪل ۾ رکون:

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 5. جواب مان سڀ داخلائون

وڌيڪ تحقيق لاءِ، اسان اهي IP پتا کنيا جن تي هن ڊومين جو نالو 01.08.2019/92.119.113.112/85.143.219.65 تي خط موصول ٿيڻ وقت حل ڪيو ويو، اهڙا IP پتا هيٺيان آهن XNUMX ۽ XNUMX.

حڪم استعمال ڪندي:

pt-ڪلائنٽ pdns --query

توھان حاصل ڪري سگھوٿا سڀئي ڊومين جا نالا جيڪي انھن IP پتي سان لاڳاپيل آھن.
IP پتي 92.119.113.112 ۾ 42 منفرد ڊومين جا نالا آهن جيڪي هن IP پتي کي حل ڪن ٿا، جن مان هيٺيان نالا آهن:

  • magnet-boss.club
  • igroie-avtomaty.me
  • pro-x-audit.xyz
  • zep3-www.xyz
  • ۽ ٻيا

IP پتي 85.143.219.65 ۾ 44 منفرد ڊومين جا نالا آھن جيڪي ھن IP پتي کي حل ڪن ٿا، جن مان ھيٺيان نالا آھن:

  • cvv2.name (ڪريڊٽ ڪارڊ ڊيٽا وڪڻڻ جي سائيٽ)
  • emaills.world
  • www.mailru.space
  • ۽ ٻيا

انهن ڊومين نالن سان رابطا فشنگ جي صلاح ڏين ٿا، پر اسان سٺن ماڻهن تي يقين رکون ٿا، پوءِ اچو ته 332 روبل جو بونس حاصل ڪرڻ جي ڪوشش ڪريون؟ "YES" بٽڻ تي ڪلڪ ڪرڻ کان پوء، سائيٽ اسان کي اڪائونٽ انلاڪ ڪرڻ لاء ڪارڊ مان 501.72 روبل منتقل ڪرڻ لاء پڇي ٿو ۽ ڊيٽا داخل ڪرڻ لاء اسان کي سائيٽ as-torpay.info ڏانهن موڪلي ٿو.

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 6. سائيٽ جو هوم صفحو ac-pay2day.net

اهو ڏسڻ ۾ اچي ٿو هڪ قانوني سائيٽ، اتي هڪ https سرٽيفڪيٽ آهي، ۽ مکيه صفحو پيش ڪري ٿو هن ادائگي جي سسٽم کي توهان جي سائيٽ سان ڳنڍڻ لاء، پر افسوس، ڳنڍڻ جا سڀئي لنڪ ڪم نه ڪندا آهن. هي ڊومين نالو حل ڪري ٿو صرف 1 IP پتي - 190.115.19.74. ان ۾، موڙ ۾، 1475 منفرد ڊومين جا نالا آھن جيڪي ھن IP پتي کي حل ڪن ٿا، جن ۾ ھيٺيان نالا شامل آھن:

  • ac-pay2day.net
  • ac-payfit.com
  • as-manypay.com
  • fletkass.net
  • as-magicpay.com
  • ۽ ٻيا

جيئن ته اسان ڏسي سگهون ٿا، غير فعال DNS توهان کي جلدي ۽ موثر طريقي سان ڊيٽا گڏ ڪرڻ جي اجازت ڏئي ٿو مطالعي هيٺ وسيلن جي باري ۾ ۽ ايستائين جو هڪ قسم جو فنگر پرنٽ ٺاهيو جيڪو توهان کي ذاتي ڊيٽا چوري ڪرڻ لاء هڪ مڪمل اسڪيم کي ظاهر ڪرڻ جي اجازت ڏئي ٿو، ان جي رسيد کان وٺي وڪرو جي ممڪن جڳهه تائين.

هڪ تجزيه نگار جي هٿن ۾ غير فعال DNS

شڪل 7. مطالعي هيٺ سسٽم جو نقشو

هر شي ايترو گلابي ناهي جيئن اسان چاهيون ٿا. مثال طور، اهڙيون تحقيقات آساني سان CloudFlare يا ساڳئي خدمتن تي ناڪام ٿي سگهن ٿيون. ۽ گڏ ڪيل ڊيٽابيس جي تاثير جو دارومدار گهڻو ڪري DNS درخواستن جي تعداد تي منحصر آهي جيڪو ماڊل مان گذري رهيو آهي غير فعال DNS ڊيٽا گڏ ڪرڻ لاءِ. پر ان جي باوجود، غير فعال DNS محقق لاء اضافي معلومات جو هڪ ذريعو آهي.

ليکڪ: سيڪيورٽي سسٽم لاء يورال سينٽر جو ماهر

جو ذريعو: www.habr.com

تبصرو شامل ڪريو