什么是被动DNS (Passive DNS)

简单介绍

被动DNS，即“被动域名系统”，是一种通过将域名到IP地址的解析结果归档来作为一种安全措施的方式。在这个过程中，所有某一域名曾解析到的IP地址都会存储在被动DNS服务器中。因此，如果你想获取与恶意域名关联的IP地址，你可以通过被动DNS数据实现这一目的。

可以把它想象成一个数据库，记录了一个人在不同时期的所有联系信息。比如说，如果一个人被指控犯了罪，需要询问潜在证人时，你可以通过这些记录追踪到他曾经的住址。

其他有趣的术语...

了解更多关于“被动DNS”的内容

没有被动DNS，威胁行为者更容易在犯罪后消失。为什么呢？因为没有他们过去活动的记录，你无法追踪他们所谓的“数字足迹”，这些足迹可以让你了解他们是否曾参与过恶意活动。如果你想证明他们是累犯，那么可能无法实现。

从哪里可以获得被动DNS数据？

所有DNS服务器都会记录查询请求。每当你在浏览器中输入一个域名，计算机带你访问目标网站时，DNS服务器进行的域名到IP地址的转换会记录在被动DNS数据库中。

对于你来说，这能加快再次访问该网站的速度。对于安全分析师和研究人员来说，这提供了一种追踪正在调查的域名历史的方法。

谁可以从被动DNS数据中受益？

至少有三类专业人士可以使用被动DNS数据。我们在下文中更详细地描述了它们的用法。

1. 渗透测试员 渗透测试员可以搜索与客户域名相关的所有DNS记录。这些记录可以让他们了解使用该域名的系统类型，从而决定使用何种测试工具。他们还可以检查该域名过去和现在的IP解析是否存在威胁行为者可能利用的漏洞。

2. 品牌保护专员 品牌保护专员可以搜索所有包含公司名称或任何商标的域名，进而确定哪些域名和对应的IP地址是恶意的。他们还可以检查恶意域名是否解析到共享的IP地址上。

3. 安全专家 安全专家包括安全团队和执法人员。例如，他们可以使用被动DNS数据来识别与恶意域名或某个IP地址威胁指示符（IoC）相关的其他域名。他们可以发现恶意IP地址207[.]148[.]248[.]143与域名billingnow[.]com相连。因此，如果有同事访问该域名，他们的电脑很可能会感染假冒的防病毒软件。

被动DNS数据还可以让他们发现威胁行为者的基础设施，揭示尚未被标记为“恶意”的所有域名和IP地址，因为它们还没有被激活。作为预防措施，他们可以在这些可疑资源造成损害之前，阻止访问这些共享恶意域名IP主机的资源。

最后，他们可以使用数据识别公司所有的网络资产，并审查这些记录以查找篡改迹象。例如，威胁行为者可能利用DNS劫持手段，通过将公司域名重定向到恶意IP地址来入侵安全措施不足的域名。

如何获取被动DNS数据？

获取被动DNS数据的一种方法是使用被动DNS数据库，数据库会长期记录所有域名到IP地址的解析信息。只要拥有供应商账号，你可以通过三种方式获取信息。

你可以下载整个被动DNS数据库的副本，或者在被动DNS网络服务中输入IP地址作为搜索词，例如：https://dns-history.whoisxmlapi.com/overview

或者，你可以在应用程序接口（API）上查询该IP地址，以获得类似如下的结果：

正如你现在所了解的，被动DNS数据对那些负责确保公司免受数据威胁的人来说非常有帮助。

reference: 

https://threat.media/definition/what-is-passive-dns/#:~:text=Passive%20DNS%2C%20short%20for%20%E2%80%9Cpassive,in%20a%20passive%20DNS%20server.