Sistem Ngaran Domain (DNS) sapertos buku telepon anu narjamahkeun nami anu ramah-pamaké sapertos "ussc.ru" kana alamat IP. Kusabab aktivitas DNS hadir dina ampir sakabéh sesi komunikasi, paduli protokol. Ku kituna, DNS logging mangrupakeun sumber berharga data pikeun spesialis kaamanan informasi, ngamungkinkeun aranjeunna pikeun ngadeteksi anomali atawa ménta data tambahan ngeunaan sistem dina panalungtikan.
Taun 2004, Florian Weimer ngusulkeun metode logging anu disebut DNS Pasif, anu ngamungkinkeun anjeun mulangkeun sajarah parobahan data DNS kalayan kamampuan indéks sareng milarian, anu tiasa masihan aksés kana data ieu:
- Ngaran domain
- Alamat IP tina nami domain anu dipénta
- Tanggal sareng waktos réspon
- Jinis réspon
- jeung sajabana
Data pikeun DNS Pasip dikumpulkeun ti server DNS rekursif ku modul diwangun-di atawa ku intercepting réspon ti server DNS jawab zone nu.
Gambar 1. DNS pasif (dicokot tina situs )
The peculiarity of DNS Pasif nyaeta teu perlu ngadaptar alamat IP klien, nu mantuan ngajaga privasi pamaké.
Ayeuna, aya seueur jasa anu nyayogikeun aksés kana data DNS Pasip:
pausahaan
Kaamanan Farsight
VirusTotal
Riskiq
SafeDNS
jalur kaamanan
Cisco
Aksés
Dipénta
Teu merlukeun pendaptaran
Pendaptaran gratis
Dipénta
Teu merlukeun pendaptaran
Dipénta
API
Hadir
Hadir
Hadir
Hadir
Hadir
Hadir
Ayana customer
Hadir
Hadir
Hadir
teu
teu
teu
Mimitian ngumpulkeun data
sataun 2010
sataun 2013
sataun 2009
Mintonkeun ngan 3 bulan panungtungan
sataun 2008
sataun 2006
meja 1. Ladenan kalawan aksés ka data DNS pasip
Paké kasus pikeun DNS pasip
Nganggo DNS Pasif, anjeun tiasa ngawangun hubungan antara nami domain, server NS sareng alamat IP. Hal ieu ngamungkinkeun anjeun ngawangun peta sistem anu ditalungtik sareng ngalacak parobahan dina peta sapertos kitu ti mimiti kapanggihna dugi ka ayeuna.
DNS pasip ogé ngagampangkeun pikeun ngadeteksi anomali dina lalu lintas. Salaku conto, nyukcruk parobahan dina zona NS sareng rékaman tipe A sareng AAAA ngamungkinkeun anjeun pikeun ngaidentipikasi situs jahat nganggo metode fluks gancang, dirancang pikeun nyumputkeun C&C tina deteksi sareng meungpeuk. Kusabab ngaran domain sah (iwal nu dipaké pikeun load balancing) moal mindeng ngarobah alamat IP maranéhanana, sarta zona paling sah jarang ngarobah server NS maranéhanana.
DNS pasip, kontras jeung enumeration langsung tina subdomains ngagunakeun kamus, ngidinan Anjeun pikeun manggihan malah ngaran domain paling aheng, contona, "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Éta ogé kadang ngamungkinkeun anjeun mendakan daérah uji (sareng rentan) halaman wéb, bahan pamekar, jsb.
Mariksa tautan tina email nganggo DNS Pasif
Ayeuna, spam mangrupikeun salah sahiji cara utama panyerang nembus komputer korban atanapi nyolong inpormasi rahasia. Hayu urang coba pariksa link ti email misalna ngagunakeun DNS pasip pikeun evaluate efektivitas metoda ieu.
Gambar 2. Email spam
Tautan tina surat ieu ngarah ka situs magnit-boss.rocks, anu nawiskeun otomatis ngumpulkeun bonus sareng nampi artos:
Gambar 3. Kaca hosted dina domain magnit-boss.rocks
Pikeun ulikan ngeunaan situs ieu dipaké , nu geus boga 3 siap-dijieun klien on , и .
Anu mimiti, urang bakal terang sadayana sajarah nami domain ieu, pikeun ieu kami bakal nganggo paréntah:
pt-klien pdns --query magnit-boss.rocks
Paréntah ieu bakal ngabalikeun inpormasi ngeunaan sadaya résolusi DNS anu aya hubunganana sareng nami domain ieu.
angka 4. Tanggapan ti Riskiq API
Hayu urang mawa réspon ti API ka formulir leuwih visual:
Gambar 5. Sadaya éntri ti respon
Pikeun panalungtikan satuluyna, urang nyokot alamat IP nu ngaran domain ieu geus direngsekeun dina waktu surat ditampi dina 01.08.2019/92.119.113.112/85.143.219.65, alamat IP sapertos alamat di handap ieu XNUMX jeung XNUMX.
Ngagunakeun paréntah:
pt-klien pdns --query
anjeun tiasa kéngingkeun sadaya nami domain anu aya hubunganana sareng alamat IP anu dipasihkeun.
Alamat IP 92.119.113.112 gaduh 42 ngaran domain unik anu parantos ngabéréskeun alamat IP ieu, diantarana nyaéta nami di handap ieu:
- magnet-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- jeung anu sanésna
Alamat IP 85.143.219.65 gaduh 44 ngaran domain unik anu parantos ngabéréskeun alamat IP ieu, diantarana nyaéta nami di handap ieu:
- cvv2.name (situs wéb pikeun ngajual rinci kartu kiridit)
- emaills.world
- www.mailru.space
- jeung anu sanésna
Sambungan sareng nami domain ieu ngakibatkeun phishing, tapi urang percanten ka jalma anu bageur, janten hayu urang cobian kéngingkeun bonus 332 rubles? Saatos ngaklik tombol "YES", situs naroskeun kami pikeun mindahkeun 501.72 rubles tina kartu pikeun muka konci akun sareng ngirim kami ka situs as-torpay.info pikeun ngalebetkeun data.
Gambar 6. Kaca utama situs ac-pay2day.net
Sigana mah situs légal, aya hiji sertipikat HTTPS, sarta kaca utama nawarkeun pikeun nyambungkeun sistem pamayaran ieu ka situs anjeun, tapi, Alas, sagala Tumbu nyambung teu jalan. Ngaran domain ieu ngabéréskeun ngan 1 alamat ip - 190.115.19.74. Éta, kahareupna gaduh 1475 nami domain unik anu ngabéréskeun alamat IP ieu, kalebet nami sapertos:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- jeung anu sanésna
Sakumaha anu urang tingali, DNS pasip ngamungkinkeun anjeun pikeun gancang sareng éfisién ngumpulkeun data ngeunaan sumber anu ditaliti sareng bahkan ngawangun jinis sidik anu ngamungkinkeun anjeun pikeun ngabongkar sadayana skéma pikeun maok data pribadi, tina resi na ka tempat anu dipikaresep.
Gambar 7. Peta sistem anu ditalungtik
Henteu sadayana janten rosy sapertos anu urang pikahoyong. Contona, investigations misalna bisa kalayan gampang megatkeun on CloudFlare atawa jasa sarupa. Jeung efektivitas database dikumpulkeun pisan gumantung kana jumlah queries DNS ngaliwatan modul pikeun ngumpulkeun data DNS pasip. Sanaos kitu, DNS Pasif mangrupikeun sumber inpormasi tambahan pikeun panalungtik.
Panulis: Spesialis Pusat Ural pikeun Sistem Kaamanan
sumber: www.habr.com