Eto Orukọ Aṣẹ (DNS) dabi iwe foonu kan ti o tumọ awọn orukọ ore-olumulo bi “ussc.ru” sinu awọn adirẹsi IP. Niwọn igba ti iṣẹ DNS wa ni gbogbo awọn akoko ibaraẹnisọrọ, laibikita ilana naa. Nitorinaa, gedu DNS jẹ orisun data ti o niyelori fun alamọja aabo alaye, gbigba wọn laaye lati ṣawari awọn aiṣedeede tabi gba data afikun nipa eto labẹ iwadii.
Ni ọdun 2004, Florian Weimer dabaa ọna iwọle kan ti a pe ni Palolo DNS, eyiti o fun ọ laaye lati mu pada itan-akọọlẹ ti awọn ayipada data DNS pada pẹlu agbara lati atọka ati wiwa, eyiti o le pese iraye si data atẹle:
- Orukọ ìkápá
- Adirẹsi IP ti orukọ ìkápá ti o beere
- Ọjọ ati akoko idahun
- Iru Idahun
- ati bẹbẹ lọ.
Awọn data fun DNS palolo ni a gba lati ọdọ awọn olupin DNS loorekoore nipasẹ awọn modulu ti a ṣe sinu tabi nipa kikọlu awọn idahun lati awọn olupin DNS ti o ni iduro fun agbegbe naa.
olusin 1. Palolo DNS (ya lati ojula )
Iyatọ ti DNS palolo ni pe ko si iwulo lati forukọsilẹ adirẹsi IP alabara, eyiti o ṣe iranlọwọ aabo aṣiri olumulo.
Ni akoko yii, ọpọlọpọ awọn iṣẹ wa ti o pese iraye si data DNS Palolo:
Duro
Aabo Farsight
VirusTotal
Riskiq
SafeDNS
aabo awọn itọpa
Cisco
Wiwọle
Lori ìbéèrè
Ko nilo iforukọsilẹ
Iforukọsilẹ jẹ ọfẹ
Lori ìbéèrè
Ko nilo iforukọsilẹ
Lori ìbéèrè
API
Lọwọlọwọ
Lọwọlọwọ
Lọwọlọwọ
Lọwọlọwọ
Lọwọlọwọ
Lọwọlọwọ
Onibara niwaju
Lọwọlọwọ
Lọwọlọwọ
Lọwọlọwọ
No
No
No
Bẹrẹ gbigba data
2010 ọdun
2013 ọdun
2009 ọdun
Ṣe afihan awọn oṣu 3 sẹhin nikan
2008 ọdun
2006 ọdun
Table 1. Awọn iṣẹ pẹlu wiwọle si palolo DNS data
Lo awọn ọran fun DNS palolo
Lilo DNS palolo, o le kọ awọn ibatan laarin awọn orukọ ìkápá, awọn olupin NS ati awọn adirẹsi IP. Eyi n gba ọ laaye lati kọ awọn maapu ti awọn eto ti o wa labẹ ikẹkọ ati tọpa awọn ayipada ninu iru maapu kan lati iwari akọkọ si akoko lọwọlọwọ.
DNS palolo tun jẹ ki o rọrun lati ṣawari awọn aiṣedeede ni ijabọ. Fun apẹẹrẹ, awọn iyipada ipasẹ ni awọn agbegbe NS ati awọn igbasilẹ ti iru A ati AAAA n gba ọ laaye lati ṣe idanimọ awọn aaye irira nipa lilo ọna ṣiṣan ti o yara, ti a ṣe lati tọju C&C lati wiwa ati idinamọ. Nitori awọn orukọ-ašẹ ti o tọ (ayafi ti awọn ti a lo fun iwọntunwọnsi fifuye) kii yoo yi awọn adirẹsi IP wọn pada nigbagbogbo, ati pe ọpọlọpọ awọn agbegbe abẹlẹ ṣọwọn yi awọn olupin NS wọn pada.
DNS palolo, ni idakeji si iṣiro taara ti awọn subdomains nipa lilo awọn iwe-itumọ, gba ọ laaye lati wa paapaa awọn orukọ agbegbe nla, fun apẹẹrẹ, “222qmxacaiqaaaaazibq4aaidhmbqaaa0undefined7140c0.p.hoff.ru”. O tun ngbanilaaye nigbakan lati wa awọn agbegbe idanwo (ati ipalara) ti oju opo wẹẹbu, awọn ohun elo idagbasoke, ati bẹbẹ lọ.
Ṣiṣayẹwo ọna asopọ kan lati imeeli nipa lilo DNS Palolo
Ni akoko yii, àwúrúju jẹ ọkan ninu awọn ọna akọkọ ti apanilaya wọ inu kọnputa ti olufaragba tabi ji alaye asiri. Jẹ ki a gbiyanju lati ṣayẹwo ọna asopọ lati iru imeeli kan nipa lilo DNS Palolo lati ṣe iṣiro imunadoko ọna yii.
olusin 2. Spam imeeli
Ọna asopọ lati lẹta yii yori si aaye magnit-boss.rocks, eyiti o funni lati gba awọn ẹbun laifọwọyi ati gba owo:
olusin 3. Oju-iwe ti gbalejo lori agbegbe magnit-boss.rocks
Fun iwadi ti aaye yii ni a lo , eyiti o ti ni awọn alabara 3 ti o ti ṣetan lori , и .
Ni akọkọ, a yoo wa gbogbo itan ti orukọ ìkápá yii, fun eyi a yoo lo aṣẹ naa:
pt-client pdns --ibeere magnit-boss.rocks
Aṣẹ yii yoo da alaye pada nipa gbogbo awọn ipinnu DNS ti o ni nkan ṣe pẹlu orukọ ìkápá yii.
olusin 4. Idahun lati Riskiq API
Jẹ ki a mu esi lati API wa si fọọmu wiwo diẹ sii:
Ṣe nọmba 5. Gbogbo awọn titẹ sii lati idahun
Fun iwadi siwaju sii, a mu awọn adirẹsi IP si eyiti orukọ ìkápá yii ti pinnu ni akoko ti lẹta ti gba ni 01.08.2019/92.119.113.112/85.143.219.65, iru awọn adirẹsi IP ni awọn adirẹsi wọnyi XNUMX ati XNUMX.
Lilo aṣẹ naa:
pdns onibara --ibeere
o le gba gbogbo awọn orukọ ìkápá ti o ni nkan ṣe pẹlu awọn adirẹsi IP ti a fun.
Adirẹsi IP naa 92.119.113.112 ni awọn orukọ agbegbe alailẹgbẹ 42 ti o ti pinnu si adiresi IP yii, laarin eyiti awọn orukọ wọnyi wa:
- oofa-boss.club
- igrovie-automaty.me
- pro-x-audit.xyz
- zep3-www.xyz
- ati be be lo
Adirẹsi IP naa 85.143.219.65 ni awọn orukọ-ašẹ alailẹgbẹ 44 ti o ti pinnu si adiresi IP yii, laarin eyiti awọn orukọ wọnyi wa:
- cvv2.name (oju opo wẹẹbu fun tita awọn alaye kaadi kirẹditi)
- emaills.aye
- www.mailru.space
- ati be be lo
Awọn asopọ pẹlu awọn orukọ ìkápá wọnyi yorisi aṣiri-ararẹ, ṣugbọn a gbagbọ ninu awọn eniyan oninuure, nitorinaa jẹ ki a gbiyanju lati gba ẹbun ti 332 rubles? Lẹhin titẹ lori bọtini “BẸẸNI”, aaye naa beere lọwọ wa lati gbe 501.72 rubles lati kaadi lati ṣii akọọlẹ naa ati firanṣẹ si aaye naa as-torpay.info lati tẹ data sii.
olusin 6. Akọkọ iwe ti awọn ojula ac-pay2day.net
O dabi aaye ofin kan, ijẹrisi https wa, ati pe oju-iwe akọkọ nfunni lati sopọ eto isanwo yii si aaye rẹ, ṣugbọn, ala, gbogbo awọn ọna asopọ lati sopọ ko ṣiṣẹ. Orukọ ìkápá yii pinnu si adiresi ip 1 nikan - 190.115.19.74. O, lapapọ, ni awọn orukọ agbegbe alailẹgbẹ 1475 ti o pinnu si adiresi IP yii, pẹlu awọn orukọ bii:
- ac-pay2day.net
- ac-payfit.com
- bi-manypay.com
- fletkass.net
- bi-magicpay.com
- ati be be lo
Gẹgẹbi a ti le rii, DNS palolo gba ọ laaye lati gba data ni iyara ati ni imunadoko nipa orisun ti o wa labẹ ikẹkọ ati paapaa kọ iru aami kan ti o fun ọ laaye lati ṣii gbogbo ero fun jiji data ti ara ẹni, lati gbigba rẹ si aaye ti o ṣeeṣe ti tita.
Ṣe nọmba 7. Maapu ti eto labẹ iwadi
Ko ohun gbogbo jẹ bi rosy bi a yoo fẹ. Fun apẹẹrẹ, iru awọn iwadii le ni irọrun fọ lori CloudFlare tabi awọn iṣẹ ti o jọra. Ati imunadoko data data ti a gba jẹ igbẹkẹle pupọ lori nọmba awọn ibeere DNS ti o kọja nipasẹ module fun gbigba data DNS Palolo. Sibẹsibẹ, Palolo DNS jẹ orisun ti alaye afikun fun oluwadi naa.
Onkọwe: Alamọja ti Ile-iṣẹ Ural fun Awọn eto Aabo
orisun: www.habr.com