Системаи номи доменҳо (DNS) ба китоби телефонӣ монанд аст, ки номҳои барои корбарро осон ба мисли "ussc.ru" ба суроғаҳои IP тарҷума мекунад. Азбаски фаъолияти DNS, новобаста аз протокол, қариб дар ҳама ҷаласаҳои иртиботӣ мавҷуд аст. Ҳамин тариқ, сабти DNS манбаи арзишманди маълумот барои мутахассисони амнияти иттилоотӣ мебошад, ки ба онҳо имкон медиҳад, ки аномалияҳоро ошкор кунанд ё маълумоти иловагӣ дар бораи системаи таҳқиқшаванда ба даст оранд.
Дар соли 2004, Флориан Веймер усули сабти номро бо номи Passive DNS пешниҳод кард, ки ба шумо имкон медиҳад таърихи тағироти додаҳои DNS-ро бо қобилияти индексатсия ва ҷустуҷӯ барқарор кунед, ки дастрасиро ба маълумоти зерин таъмин мекунад:
- Номи домен
- Суроғаи IP-и номи домени дархостшуда
- Сана ва вақти ҷавоб
- Навъи ҷавоб
- ва ғайра.
Маълумот барои DNS пассивӣ аз серверҳои рекурсивии DNS тавассути модулҳои дарунсохт ё тавассути боздоштани посухҳои серверҳои DNS, ки барои минтақа масъуланд, ҷамъоварӣ карда мешавад.
Тасвири 1. DNS ғайрифаъол (аз сайт гирифта шудааст )
Хусусияти DNS Passive дар он аст, ки зарурати сабти суроғаи IP-и муштарӣ вуҷуд надорад, ки барои ҳифзи махфияти корбар кӯмак мекунад.
Дар айни замон, хидматҳои зиёде мавҷуданд, ки дастрасӣ ба маълумоти пассивии DNS-ро таъмин мекунанд:
Ширкат
Амнияти дурдаст
VirusTotal
Рискик
SafeDNS
Роҳҳои амниятӣ
Cisco
Дастрасӣ
Бо дархост
Бақайдгирӣ талаб намекунад
Бақайдгирӣ ройгон аст
Бо дархост
Бақайдгирӣ талаб намекунад
Бо дархост
API
Ҳозира
Ҳозира
Ҳозира
Ҳозира
Ҳозира
Ҳозира
Мавҷудияти муштарӣ
Ҳозира
Ҳозира
Ҳозира
Ғоиб
Ғоиб
Ғоиб
Оғози ҷамъоварии маълумот
Соли 2010
Соли 2013
Соли 2009
Танҳо 3 моҳи охир нишон дода мешавад
Соли 2008
Соли 2006
Љадвали 1. Хидматњо бо дастрасї ба маълумоти пассив DNS
Истифодаи парвандаҳо барои DNS пассивӣ
Бо истифода аз DNS пассив шумо метавонед байни номҳои домейнҳо, серверҳои NS ва суроғаҳои IP пайвастҳо созед. Ин ба шумо имкон медиҳад, ки харитаҳои системаҳои омӯхташавандаро созед ва тағиротро дар чунин харита аз кашфи аввал то лаҳзаи ҳозира пайгирӣ кунед.
DNS ғайрифаъол инчунин ошкор кардани аномалияҳои трафикро осонтар мекунад. Масалан, пайгирии тағирот дар минтақаҳои NS ва сабтҳои навъи A ва AAAA ба шумо имкон медиҳад, ки сайтҳои зарароварро муайян кунед, ки усули зуд флюсро истифода мебаранд, ки барои пинҳон кардани C&C аз ошкор ва басташавӣ пешбинӣ шудаанд. Зеро номҳои домени қонунӣ (ба истиснои онҳое, ки барои мувозинати сарборӣ истифода мешаванд) суроғаҳои IP-и худро зуд-зуд иваз намекунанд ва аксари минтақаҳои қонунӣ серверҳои NS-и худро хеле кам иваз мекунанд.
DNS ғайрифаъол, бар хилофи ҷустуҷӯи мустақими зердоменҳо бо истифода аз луғатҳо, ба шумо имкон медиҳад, ки ҳатто доменҳои экзотиктаринро пайдо кунед, масалан "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru". Он инчунин баъзан ба шумо имкон медиҳад, ки минтақаҳои озмоишии (ва осебпазир) вебсайт, маводҳои таҳиякунанда ва ғайраро пайдо кунед.
Таҳқиқи истинод аз почтаи электронӣ бо истифода аз DNS пассив
Дар айни замон, спам яке аз роҳҳои асосӣест, ки тавассути он ҳамлакунанда ба компютери ҷабрдида ворид мешавад ё маълумоти махфиро медуздад. Биёед кӯшиш кунем, ки истиноди чунин мактубро бо истифода аз DNS Passive барои арзёбии самаранокии ин усул тафтиш кунем.
Расми 2. Почтаи спам
Истиноди ин нома ба сайти magnit-boss.rocks оварда расонд, ки ба таври худкор мукофотпулӣ ҷамъоварӣ ва гирифтани пулро пешниҳод кард:
Расми 3. Саҳифае, ки дар домени magnit-boss.rocks ҷойгир шудааст
Барои омӯзиши ин сайт, ман истифода кардам , ки аллакай 3 муштарии тайёр дорад , и .
Пеш аз ҳама, мо тамоми таърихи ин номи доменро пайдо хоҳем кард, барои ин мо фармонро истифода мебарем:
pt-client pdns —дархости magnet-boss.rocks
Ин фармон маълумотро дар бораи ҳамаи ҳалли DNS, ки бо ин номи домен алоқаманд аст, нишон медиҳад.
Расми 4. Ҷавоб аз API Riskiq
Биёед ҷавобро аз API ба шакли визуалӣ гузорем:
Расми 5. Ҳама сабтҳо аз посух
Барои таҳқиқоти минбаъда, мо суроғаҳои IP-ро гирифтем, ки ин номи домейн ҳангоми қабули мактуб дар 01.08.2019/92.119.113.112/85.143.219.65 ҳал карда шудааст, чунин суроғаҳои IP суроғаҳои зерин мебошанд XNUMX ва XNUMX.
Бо истифода аз фармон:
pt-client pdns --query
шумо метавонед ҳамаи номҳои домейнҳоро, ки бо ин суроғаҳои IP алоқаманданд, гиред.
Суроғаи IP 92.119.113.112 дорои 42 номҳои беназири доменӣ мебошад, ки ба ин суроғаи IP ҳал мешаванд, аз ҷумла номҳои зерин:
- magnet-boss.club
- igrovie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ва дигарон
Суроғаи IP 85.143.219.65 дорои 44 номҳои беназири доменӣ мебошад, ки ба ин суроғаи IP ҳал мешаванд, аз ҷумла номҳои зерин:
- cvv2.name (сайт барои фурӯши маълумоти корти кредитӣ)
- emaills.world
- www.mailru.space
- ва дигарон
Пайвастшавӣ бо ин номҳои доменӣ фишингро пешниҳод мекунад, аммо мо ба одамони хуб боварӣ дорем, пас биёед кӯшиш кунем, ки бонуси 332 рубл ба даст орем? Пас аз пахш кардани тугмаи "ҲА", сайт аз мо хоҳиш мекунад, ки барои кушодани ҳисоб аз корт 501.72 рубл интиқол диҳем ва моро барои ворид кардани маълумот ба сайти as-torpay.info мефиристад.
Расми 6. Саҳифаи асосии сайти ac-pay2day.net
Он ба як сайти қонунӣ монанд аст, сертификати https мавҷуд аст ва саҳифаи асосӣ пешниҳод мекунад, ки ин системаи пардохтро ба сайти шумо пайваст кунед, аммо афсӯс, ки ҳама истинодҳо барои пайвастшавӣ кор намекунанд. Ин номи домен танҳо ба 1 суроғаи IP ҳал мешавад - 190.115.19.74. Он, дар навбати худ, дорои 1475 номҳои беназири доменӣ, ки ба ин суроғаи IP ҳал мешавад, аз ҷумла чунин номҳо:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- ва дигарон
Тавре ки мо мебинем, пассив DNS ба шумо имкон медиҳад, ки маълумотро дар бораи манбаи мавриди омӯзиш зуд ва самаранок ҷамъоварӣ кунед ва ҳатто як навъи изи ангуштро созед, ки ба шумо имкон медиҳад, ки нақшаи тамоми дуздии маълумоти шахсиро аз гирифтани он то ҷои эҳтимолии фурӯш ошкор кунед.
Расми 7. Харитаи системаи тадќиќшаванда
На ҳама чиз он қадар гулобӣ аст, ки мо мехоҳем. Масалан, чунин тафтишот метавонанд дар CloudFlare ё хидматҳои шабеҳ ба осонӣ ноком шаванд. Ва самаранокии пойгоҳи додаҳои ҷамъшуда аз шумораи дархостҳои DNS, ки тавассути модул барои ҷамъоварии маълумоти пассивии DNS мегузарад, вобаста аст. Бо вуҷуди ин, DNS пассив барои тадқиқотчӣ манбаи маълумоти иловагӣ мебошад.
Муаллиф: Мутахассиси Маркази Урал оид ба системаҳои амният
Манбаъ: will.com