简单介绍
被动DNS,即“被动域名系统”,是一种通过将域名到IP地址的解析结果归档来作为一种安全措施的方式。在这个过程中,所有某一域名曾解析到的IP地址都会存储在被动DNS服务器中。因此,如果你想获取与恶意域名关联的IP地址,你可以通过被动DNS数据实现这一目的。
可以把它想象成一个数据库,记录了一个人在不同时期的所有联系信息。比如说,如果一个人被指控犯了罪,需要询问潜在证人时,你可以通过这些记录追踪到他曾经的住址。
其他有趣的术语...
了解更多关于“被动DNS”的内容
没有被动DNS,威胁行为者更容易在犯罪后消失。为什么呢?因为没有他们过去活动的记录,你无法追踪他们所谓的“数字足迹”,这些足迹可以让你了解他们是否曾参与过恶意活动。如果你想证明他们是累犯,那么可能无法实现。
从哪里可以获得被动DNS数据?
所有DNS服务器都会记录查询请求。每当你在浏览器中输入一个域名,计算机带你访问目标网站时,DNS服务器进行的域名到IP地址的转换会记录在被动DNS数据库中。
对于你来说,这能加快再次访问该网站的速度。对于安全分析师和研究人员来说,这提供了一种追踪正在调查的域名历史的方法。
谁可以从被动DNS数据中受益?
至少有三类专业人士可以使用被动DNS数据。我们在下文中更详细地描述了它们的用法。
1. 渗透测试员 渗透测试员可以搜索与客户域名相关的所有DNS记录。这些记录可以让他们了解使用该域名的系统类型,从而决定使用何种测试工具。他们还可以检查该域名过去和现在的IP解析是否存在威胁行为者可能利用的漏洞。
2. 品牌保护专员 品牌保护专员可以搜索所有包含公司名称或任何商标的域名,进而确定哪些域名和对应的IP地址是恶意的。他们还可以检查恶意域名是否解析到共享的IP地址上。
3. 安全专家 安全专家包括安全团队和执法人员。例如,他们可以使用被动DNS数据来识别与恶意域名或某个IP地址威胁指示符(IoC)相关的其他域名。他们可以发现恶意IP地址207[.]148[.]248[.]143与域名billingnow[.]com相连。因此,如果有同事访问该域名,他们的电脑很可能会感染假冒的防病毒软件。
被动DNS数据还可以让他们发现威胁行为者的基础设施,揭示尚未被标记为“恶意”的所有域名和IP地址,因为它们还没有被激活。作为预防措施,他们可以在这些可疑资源造成损害之前,阻止访问这些共享恶意域名IP主机的资源。
最后,他们可以使用数据识别公司所有的网络资产,并审查这些记录以查找篡改迹象。例如,威胁行为者可能利用DNS劫持手段,通过将公司域名重定向到恶意IP地址来入侵安全措施不足的域名。
如何获取被动DNS数据?
获取被动DNS数据的一种方法是使用被动DNS数据库,数据库会长期记录所有域名到IP地址的解析信息。只要拥有供应商账号,你可以通过三种方式获取信息。
你可以下载整个被动DNS数据库的副本,或者在被动DNS网络服务中输入IP地址作为搜索词,例如:https://dns-history.whoisxmlapi.com/overview
或者,你可以在应用程序接口(API)上查询该IP地址,以获得类似如下的结果:
正如你现在所了解的,被动DNS数据对那些负责确保公司免受数据威胁的人来说非常有帮助。
reference:
https://threat.media/definition/what-is-passive-dns/#:~:text=Passive%20DNS%2C%20short%20for%20%E2%80%9Cpassive,in%20a%20passive%20DNS%20server.
标签:可以,被动,恶意,Passive,域名,DNS,IP地址 From: https://blog.csdn.net/WhoisXMLAPI/article/details/143558671