ڈومین نیم سسٹم (DNS) ایک فون بک کی طرح ہے جو صارف دوست ناموں جیسے "ussc.ru" کا IP پتوں میں ترجمہ کرتا ہے۔ چونکہ پروٹوکول سے قطع نظر ڈی این ایس سرگرمی تقریباً تمام مواصلاتی سیشنز میں موجود ہوتی ہے۔ اس طرح، ڈی این ایس لاگنگ انفارمیشن سیکیورٹی ماہرین کے لیے ڈیٹا کا ایک قیمتی ذریعہ ہے، جس سے وہ بے ضابطگیوں کا پتہ لگاسکتے ہیں یا زیر مطالعہ نظام کے بارے میں اضافی ڈیٹا حاصل کرسکتے ہیں۔
2004 میں، فلورین ویمر نے Passive DNS نامی لاگنگ کا طریقہ تجویز کیا، جو آپ کو انڈیکس اور تلاش کرنے کی صلاحیت کے ساتھ DNS ڈیٹا کی تبدیلیوں کی تاریخ کو بحال کرنے کی اجازت دیتا ہے، جو درج ذیل ڈیٹا تک رسائی فراہم کر سکتا ہے:
- имя имя
- درخواست کردہ ڈومین نام کا IP پتہ
- جواب کی تاریخ اور وقت
- جواب کی قسم
- وغیرہ
غیر فعال DNS کے لیے ڈیٹا بلٹ ان ماڈیولز کے ذریعے یا زون کے ذمہ دار DNS سرورز کے جوابات کو روک کر ریکسریو DNS سرورز سے جمع کیا جاتا ہے۔
تصویر 1. غیر فعال DNS (سائٹ سے لیا گیا ہے۔ )
Passive DNS کی ایک خصوصیت یہ ہے کہ کلائنٹ کے IP ایڈریس کو رجسٹر کرنے کی ضرورت نہیں ہے، جو صارف کی رازداری کی حفاظت میں مدد کرتا ہے۔
اس وقت، بہت سی خدمات ہیں جو Passive DNS ڈیٹا تک رسائی فراہم کرتی ہیں:
کمپنی کے
فارسائٹ سیکیورٹی
VirusTotal کی
رسک
سیف ڈی این ایس
سیکیورٹی ٹریلز
سسکو
رسائی
درخواست پر
رجسٹریشن کی ضرورت نہیں ہے۔
رجسٹریشن مفت ہے۔
درخواست پر
رجسٹریشن کی ضرورت نہیں ہے۔
درخواست پر
API
موجودہ
موجودہ
موجودہ
موجودہ
موجودہ
موجودہ
ایک کلائنٹ کی دستیابی
موجودہ
موجودہ
موجودہ
کوئی
کوئی
کوئی
ڈیٹا اکٹھا کرنے کا آغاز
2010 سال
2013 سال
2009 سال
صرف پچھلے 3 مہینے دکھاتا ہے۔
2008 سال
2006 سال
ٹیبل 1. غیر فعال DNS ڈیٹا تک رسائی کے ساتھ خدمات
غیر فعال DNS کے لیے کیسز استعمال کریں۔
غیر فعال DNS کا استعمال کرتے ہوئے آپ ڈومین ناموں، NS سرورز اور IP پتوں کے درمیان کنکشن بنا سکتے ہیں۔ یہ آپ کو زیر مطالعہ نظاموں کے نقشے بنانے اور پہلی دریافت سے موجودہ لمحے تک ایسے نقشے میں ہونے والی تبدیلیوں کو ٹریک کرنے کی اجازت دیتا ہے۔
غیر فعال DNS ٹریفک کی بے ضابطگیوں کا پتہ لگانا بھی آسان بناتا ہے۔ مثال کے طور پر، NS زونز اور A اور AAAA کی قسم کے ریکارڈز میں تبدیلیوں کا سراغ لگانا آپ کو نقصان دہ سائٹس کی شناخت کرنے کی اجازت دیتا ہے جو تیز بہاؤ کا طریقہ استعمال کرتی ہیں، جو C&C کو پتہ لگانے اور بلاک کرنے سے چھپانے کے لیے ڈیزائن کیا گیا ہے۔ کیونکہ جائز ڈومین نام (سوائے ان کے جو لوڈ بیلنسنگ کے لیے استعمال ہوتے ہیں) اپنے آئی پی ایڈریس کو اکثر تبدیل نہیں کریں گے، اور زیادہ تر جائز زونز شاذ و نادر ہی اپنے NS سرورز کو تبدیل کرتے ہیں۔
غیر فعال DNS، لغات کا استعمال کرتے ہوئے ذیلی ڈومینز کی براہ راست تلاش کے برعکس، آپ کو انتہائی غیر ملکی ڈومین ناموں کو تلاش کرنے کی اجازت دیتا ہے، مثال کے طور پر "222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru"۔ یہ بعض اوقات آپ کو ویب سائٹ، ڈویلپر مواد وغیرہ کے ٹیسٹنگ (اور کمزور) علاقوں کو تلاش کرنے کی بھی اجازت دیتا ہے۔
غیر فعال ڈی این ایس کا استعمال کرتے ہوئے ای میل کے لنک پر تحقیق کرنا
فی الحال، سپام ان اہم طریقوں میں سے ایک ہے جس کے ذریعے حملہ آور شکار کے کمپیوٹر میں گھس جاتا ہے یا خفیہ معلومات چراتا ہے۔ آئیے اس طریقہ کار کی تاثیر کو جانچنے کے لیے Passive DNS کا استعمال کرتے ہوئے ایسے خط کے لنک کو جانچنے کی کوشش کرتے ہیں۔
تصویر 2. سپیم ای میل
اس خط کا لنک سائٹ magnit-boss.rocks کی طرف لے گیا، جس نے خود بخود بونس جمع کرنے اور رقم وصول کرنے کی پیشکش کی:
تصویر 3. صفحہ magnit-boss.rocks ڈومین پر ہوسٹ کیا گیا ہے۔
اس سائٹ کا مطالعہ کرنے کے لیے، میں نے استعمال کیا۔ جس میں پہلے سے ہی 3 ریڈی میڈ کلائنٹس موجود ہیں۔ , и .
سب سے پہلے، ہم اس ڈومین نام کی پوری تاریخ تلاش کریں گے، اس کے لیے ہم کمانڈ استعمال کریں گے:
pt-کلائنٹ pdns — استفسار magnet-boss.rocks
یہ کمانڈ اس ڈومین نام سے وابستہ تمام DNS حل کے بارے میں معلومات ظاہر کرے گی۔
تصویر 4. Riskiq API سے جواب
آئیے API سے جواب کو مزید بصری شکل میں ڈالتے ہیں:
تصویر 5. جواب سے تمام اندراجات
مزید تحقیق کے لیے، ہم نے وہ IP پتے لیے جن پر اس ڈومین نام نے 01.08.2019/92.119.113.112/85.143.219.65 کو خط موصول ہونے کے وقت حل کیا، ایسے IP پتے درج ذیل پتے ہیں XNUMX اور XNUMX۔
کمانڈ کا استعمال کرتے ہوئے:
pt-کلائنٹ pdns --query
آپ وہ تمام ڈومین نام حاصل کر سکتے ہیں جو ان IP پتوں سے وابستہ ہیں۔
IP ایڈریس 92.119.113.112 میں 42 منفرد ڈومین نام ہیں جو اس IP ایڈریس کو حل کرتے ہیں، جن میں درج ذیل نام ہیں:
- magnet-boss.club
- igroie-avtomaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- اور دیگر
IP ایڈریس 85.143.219.65 میں 44 منفرد ڈومین نام ہیں جو اس IP ایڈریس کو حل کرتے ہیں، جن میں درج ذیل نام ہیں:
- cvv2.name (کریڈٹ کارڈ ڈیٹا بیچنے کی سائٹ)
- emaills.world
- www.mailru.space
- اور دیگر
ان ڈومین ناموں کے ساتھ رابطے فشنگ کا مشورہ دیتے ہیں، لیکن ہم اچھے لوگوں پر یقین رکھتے ہیں، تو آئیے 332 روبل کا بونس حاصل کرنے کی کوشش کریں؟ "YES" بٹن پر کلک کرنے کے بعد، سائٹ اکاؤنٹ کو غیر مقفل کرنے کے لیے کارڈ سے 501.72 روبل منتقل کرنے کو کہتی ہے اور ڈیٹا داخل کرنے کے لیے ہمیں as-torpay.info سائٹ پر بھیجتی ہے۔
تصویر 6. سائٹ ac-pay2day.net کا ہوم پیج
یہ ایک قانونی سائٹ کی طرح لگتا ہے، ایک https سرٹیفکیٹ ہے، اور مرکزی صفحہ اس ادائیگی کے نظام کو آپ کی سائٹ سے منسلک کرنے کی پیشکش کرتا ہے، لیکن افسوس، جڑنے کے لیے تمام لنکس کام نہیں کرتے۔ یہ ڈومین نام صرف 1 IP ایڈریس - 190.115.19.74 پر حل کرتا ہے۔ اس کے بدلے میں، 1475 منفرد ڈومین نام ہیں جو اس IP ایڈریس کو حل کرتے ہیں، بشمول اس طرح کے نام:
- ac-pay2day.net
- ac-payfit.com
- as-manypay.com
- fletkass.net
- as-magicpay.com
- اور دیگر
جیسا کہ ہم دیکھ سکتے ہیں، Passive DNS آپ کو زیر مطالعہ وسائل کے بارے میں تیزی سے اور مؤثر طریقے سے ڈیٹا اکٹھا کرنے اور یہاں تک کہ ایک قسم کا فنگر پرنٹ بنانے کی اجازت دیتا ہے جو آپ کو ذاتی ڈیٹا چوری کرنے کے لیے، اس کی رسید سے لے کر فروخت کی ممکنہ جگہ تک کی ایک پوری اسکیم کا پردہ فاش کرنے دیتا ہے۔
تصویر 7. زیر مطالعہ نظام کا نقشہ
ہر چیز اتنی گلابی نہیں ہوتی جتنی ہم چاہتے ہیں۔ مثال کے طور پر، ایسی تحقیقات CloudFlare یا اس جیسی خدمات پر آسانی سے ناکام ہو سکتی ہیں۔ اور جمع کردہ ڈیٹا بیس کی تاثیر کا انحصار غیر فعال DNS ڈیٹا کو جمع کرنے کے لیے ماڈیول سے گزرنے والی DNS درخواستوں کی تعداد پر ہے۔ لیکن اس کے باوجود، Passive DNS محقق کے لیے اضافی معلومات کا ذریعہ ہے۔
مصنف: یورال سینٹر فار سیکیورٹی سسٹمز کے ماہر
ماخذ: www.habr.com