O le Domain Name System (DNS) e pei o se tusi telefoni e fa'aliliu ai igoa fa'aoga-tagata e pei o le "ussc.ru" i tuatusi IP. Talu ai o le DNS o loʻo i ai i le toetoe o fesoʻotaʻiga uma, e tusa lava po o le a le protocol. O le mea lea, o le DNS logging o se punavai taua o faʻamatalaga mo le faʻamatalaga faʻapitoa mo le puipuiga, faʻatagaina i latou e suʻesuʻeina faʻalavelave poʻo le mauaina o faʻamatalaga faaopoopo e uiga i le faiga o loʻo suʻesuʻeina.
I le 2004, na tuʻuina atu ai e Florian Weimer se auala faʻapipiʻi e taʻua o le Passive DNS, lea e mafai ai ona e toe faʻafoʻisia le talaʻaga o suiga o faʻamatalaga DNS ma le mafai ona faʻasino ma suʻesuʻe, lea e mafai ona maua ai le avanoa i faʻamatalaga nei:
- igoa ole igoa
- Le tuatusi IP ole igoa ole igoa ole talosaga
- Aso ma le taimi e tali atu ai
- Ituaiga tali
- ma isi.
O fa'amatalaga mo Passive DNS e aoina mai sa'u DNS recursive e ala i modules fausia po'o le fa'alavelaveina o tali mai sa'oga DNS e nafa ma le sone.
Ata 1. Passive DNS (maua mai le saite )
O le uiga ese o le Passive DNS e le manaʻomia le resitalaina o le tuatusi IP a le kalani, lea e fesoasoani e puipuia ai le tagata faʻapitoa.
I le taimi nei, o loʻo i ai le tele o auaunaga e maua ai avanoa i Passive DNS data:
Igoa
Saogalemu Mamao
VirusTotal
Riskiq
SAUNIGA
auala saogalemu
Cisco
Avanoa
I luga ole talosaga
E le mana'omia le resitalaina
Le resitalaina e leai se totogi
I luga ole talosaga
E le mana'omia le resitalaina
I luga ole talosaga
API
O le taimi nei
O le taimi nei
O le taimi nei
O le taimi nei
O le taimi nei
O le taimi nei
Tagata fa'atau
O le taimi nei
O le taimi nei
O le taimi nei
Toesea
Toesea
Toesea
Amata o le aoina o faʻamaumauga
2010 tausaga
2013 tausaga
2009 tausaga
Fa'aalia na'o le 3 masina mulimuli
2008 tausaga
2006 tausaga
Laulau 1. Au'aunaga fa'atasi ma le avanoa i fa'amaumauga Passive DNS
Fa'aoga mataupu mo Passive DNS
Faʻaaogaina le Passive DNS, e mafai ona e fausia sootaga i le va o igoa ole igoa, NS servers ma tuatusi IP. O lenei mea e mafai ai ona e fausia faafanua o faiga o loʻo suʻesuʻeina ma siaki suiga i se faʻafanua mai le taimi muamua na maua i le taimi nei.
Passive DNS e fa'afaigofie ai fo'i ona iloa fa'aletonu i feoaiga. Mo se faʻataʻitaʻiga, o le suʻeina o suiga i NS zones ma faʻamaumauga o le ituaiga A ma le AAAA e mafai ai ona e iloa nofoaga leaga e faʻaaoga ai le auala faʻavavevave, fuafuaina e nana C&C mai le suʻeina ma le poloka. Aua o igoa fa'atulafonoina (sei vagana ai na fa'aoga mo le paleni o uta) e le suia so'o a latou tuatusi IP, ma o le tele o sone fa'aletulafono e seasea suia a latou NS servers.
DNS Passive, e ese mai i le faʻavasegaina saʻo o subdomains faʻaaoga lomifefiloi, e mafai ai ona e suʻeina e oʻo lava i igoa pito sili ona ese, mo se faʻataʻitaʻiga, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". O nisi taimi e mafai ai e oe ona suʻe suʻega (ma faʻafitauli) vaega o le upega tafaʻilagi, mea faʻapitoa, ma isi.
Su'esu'eina se feso'ota'iga mai se imeli e fa'aaoga ai le Passive DNS
I le taimi nei, o le spam o se tasi lea o auala autu e ulufale ai se tagata osofaʻi i totonu o le komepiuta a se tagata manua pe gaoia faʻamatalaga faalilolilo. Sei o tatou taumafai e suʻesuʻe le fesoʻotaʻiga mai se imeli faʻaoga Passive DNS e iloilo ai le aoga o lenei metotia.
Ata 2. Email spam
O le fesoʻotaʻiga mai lenei tusi na taʻitaʻia ai le site magnit-boss.rocks, lea na ofoina atu e otometi ona aoina ponesi ma maua tupe:
Ata 3. Itulau o lo'o talimalo ile magnit-boss.rocks domain
Mo suʻesuʻega o lenei 'upega tafaʻilagi na faʻaaogaina , lea ua uma ona i ai 3 tagata ua saunia-faia i luga , и .
Muamua lava, o le a tatou mauaina le talaʻaga atoa o lenei igoa ole igoa, mo lenei mea o le a tatou faʻaaogaina le poloaiga:
pt-client pdns --query magnit-boss.rocks
O lenei poloaiga o le a toe faʻafoʻi faʻamatalaga e uiga i faʻamatalaga DNS uma e fesoʻotaʻi ma lenei igoa ole igoa.
Ata 4. Tali mai le Riskiq API
Sei o tatou aumaia le tali mai le API i se foliga vaaia sili atu:
Ata 5. Fa'amatalaga uma mai le tali
Mo nisi suʻesuʻega, matou ave tuatusi IP lea na foʻia e lenei igoa ole igoa ile taimi na maua ai le tusi ile 01.08.2019/92.119.113.112/85.143.219.65, o ia tuatusi IP o tuatusi nei XNUMX ma le XNUMX.
Fa'aaogā le fa'atonuga:
pt-client pdns --query
e mafai ona e mauaina uma igoa fa'apitonu'u e feso'ota'i ma tuatusi IP tu'uina atu.
O le tuatusi IP 92.119.113.112 o lo'o i ai 42 igoa fa'apitoa fa'apitonu'u ua fa'amautu i lenei tuatusi IP, e aofia ai igoa nei:
- maneta-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ma isi
O le tuatusi IP 85.143.219.65 e 44 igoa fa'apitoa fa'apitonu'u ua fa'amautu i lenei tuatusi IP, e aofia ai igoa nei:
- cvv2.name (upega tafaʻilagi mo le faʻatau atu o faʻamatalaga pepa aitalafu)
- emaills.world
- www.mailru.space
- ma isi
O fesoʻotaʻiga ma nei igoa ole igoa e taʻitaʻia ai le phishing, ae tatou te talitonu i tagata agalelei, seʻi o tatou taumafai e maua se ponesi o le 332 rubles? A maeʻa ona kiliki i luga o le "IO" faʻamau, fai mai le saite ia i matou e faʻafeiloaʻi le 501.72 rubles mai le kata e tatala ai le teugatupe ma auina atu i matou i le saite as-torpay.info e faʻapipiʻi faʻamatalaga.
Ata 6. Itulau autu o le saite ac-pay2day.net
E foliga mai o se nofoaga faʻaletulafono, o loʻo i ai se tusi faamaonia https, ma o le itulau autu e ofoina atu e faʻafesoʻotaʻi lenei faiga totogi i lau 'upega tafaʻilagi, ae, talofa, o fesoʻotaʻiga uma e faʻafesoʻotaʻi e le aoga. Ole igoa ole igoa ole na'o le 1 ile tuatusi IP - 190.115.19.74. I le isi itu, e 1475 igoa faʻapitoa faʻapitoa e faʻamautu i lenei tuatusi IP, e aofia ai igoa e pei o:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ma isi
E pei ona mafai ona tatou vaʻaia, Passive DNS e faʻatagaina oe e vave ma lelei le aoina o faʻamatalaga e uiga i punaoa o loʻo suʻesuʻeina ma e oʻo lava i le fausiaina o se ituaiga o faʻailoga e mafai ai ona e faʻaalia le polokalame atoa mo le gaoia o faʻamatalaga patino, mai lona lisiti i le nofoaga e ono faʻatau atu ai.
Ata 7. Fa'afanua o le faiga o lo'o su'esu'eina
E le o mea uma e rosa e pei ona tatou mananao ai. Mo se faʻataʻitaʻiga, o ia suʻesuʻega e mafai ona faigofie ona malepe ile CloudFlare poʻo auaunaga tutusa. Ma o le aoga o le faʻamaumauga tuʻufaʻatasia e faʻalagolago tele i le numera o talosaga DNS e pasia le module mo le aoina o faʻamatalaga DNS Passive. Ae ui i lea, Passive DNS o se puna o faʻamatalaga faaopoopo mo le tagata suʻesuʻe.
Tusitala: Fa'apitoa o le Ural Center for Security Systems
puna: www.habr.com