Passive DNS 是什么?有什么作用?

=Start=

缘由:

之前听说过Passive DNS,但一直没有花时间专门了解过,近期在朋友圈看到一篇《DNSMon: 用DNS数据进行威胁发现》的文章,也就刚好趁着这个机会从网上搜一些资料学习了解一下Passive DNS到底是什么,又有什么作用,方便以后参考。

正文:

参考解答:
Passive DNS是什么?

“Passive DNS” or “passive DNS replication” is a technique invented by Florian Weimer in 2004 to opportunistically reconstruct a partial view of the data available in the global Domain Name System into a central database where it can be indexed and queried.

一句话总结,Passive DNS是由 Florian Weimer 在 2004 年提出的不需要域管理员配合也不会产生额外DNS请求的长期记录DNS解析数据的方法/数据。实际上,这就是一个存储了大量DNS解析数据的历史数据库。这意味着你可以查询到某一域名曾经解析过的IP地址。即使这一域名已经从域名服务器中移除了,你也可以查询到相关的信息。

Passive DNS的数据来源是什么?

从这篇早期的论文来看,Passive DNS的数据来源主要是由放在网络上的一些传感器通过抓包提取DNS数据包而来。但感觉截图中提到的几个方法都可以综合使用以丰富数据,特别是像现在有很多公司对外提供DNS解析服务(同时应该也就记录下了使用该DNS解析功能的DNS查询数据)。但因为我不是具体做这块的,大致的数据来源我也只能是看论文说明以及根据自己其它方面的经验来猜测,准确性就不做保证了。。。

Passive DNS有什么作用?

发明 Passive DNS 技术的初衷,是为了防止网络攻击,事实上,它的确在这方面起到了突出的作用。除此之外,它还被用在其他的应用场景中,例如:

  • 检测网站钓鱼域名(Detect phishing domains)
  • 阻断垃圾邮件干扰(Improve your email reputation)
  • 识别恶意域名(Identify malicious domains, associated domains)
  • 提供威胁情报(Support threat intelligence)
  • 检测域名劫持(Detect domain hijack)
  • 品牌保护(Protect your brand)
  • 域名DNS历史记录查询(Query domain dns log history)
  • 查询主域名下的所有子域名(Explore subdomains)

在安全分析上Passive DNS的重要性也日益凸显,通过结合一些其他维度的数据,可能会产生一些意想不到的效果,这方面可以参考一下360的Netlab实验室的相关文章还有近几年DataCon中关于DNS数据分析题目的writeup。

更多的内容待以后不断进行补充和更新。

参考链接:

What is Passive DNS? And Why Should You Use a Passive DNS API? (多且全)
https://securitytrails.com/blog/passive-dns

WHAT IS PASSIVE DNS? (不错)
http://techgenix.com/what-passive-dns/

DNS科普系列 :被动DNS(Passive DNS) (中文,且有图示说明)
https://developer.aliyun.com/article/764940

Farsight Security Passive DNS project introduction
https://www.farsightsecurity.com/technical/passive-dns/

Navigating the Internet’s Phone Book: An Introduction to Passive DNS
https://info.farsightsecurity.com/passive-dns-ebook

Passive DNS
https://blog.csdn.net/cnbird2008/article/details/17250707

PassiveDNS
https://blog.netlab.360.com/tag/pdns/

DNS攻防皮毛(一)
https://mp.weixin.qq.com/s/qnhIalmIu1bz7D6828wldg

Passive DNS Replication
https://www.first.org/conference/2005/papers/florian-weimer-paper-1.pdf

What is Passive DNS? A beginner’s guide
https://www.spamhaus.com/resource-center/what-is-passive-dns-a-beginners-guide/

Passive DNS
https://docs.umbrella.com/investigate-ui/docs/passive-dns

Building Your Own Passive DNS Collection System
https://nullsecure.org/building-your-own-passivedns-feed/
https://www.freebuf.com/articles/network/103815.html

在事件响应中使用被动DNS
https://www.anquanke.com/post/id/83543
https://www.vanimpe.eu/2016/02/27/passive-dns-for-incident-response/

PassiveDNS sniffs traffic from an interface or reads a pcap-file and outputs the DNS-server answers to a log file.
https://github.com/gamelinux/passivedns

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/5034.html

《Passive DNS 是什么?有什么作用?》上的一个想法

  1. DNSMon: 用DNS数据进行威胁发现(2)
    https://blog.netlab.360.com/use-dns-data-produce-threat-intelligence-2/
    `
    # 背景
    本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。

    为了对抗安全人员的分析,钓鱼域名是恶意样本经常采用的一种技术手段。从字符组成和结构上看,钓鱼域名确实具有混淆视听的功效,但对于DNSMon这种具备多维度关联分析的系统来说,模仿知名公司域名的效果则适得其反,因为这样的域名一旦告警,反而更容易引起分析人员的注意。

    本案例从一组疑似钓鱼域名出发,逐步介绍DNSMon是如何利用whois,ICP备案,域名解析内容和图关联等信息,让一组干瘪的域名逐渐一点点丰富起来直至最后恶意定性的。

    意料之外的是,随着线索的展开,我们发现这是一起失陷设备数量巨大的安全事件,从我们的数据测算,感染规模远超100w设备。为此,我们进行了较为细致的逆向分析和回溯,但限于篇幅,样本分析细节及其家族演变,将在后续再另起一篇介绍。

    通常威胁分析普遍的惯例是先知道样本恶意再逆向, 有时根据DNS数据估算感染规模。这次DNSMon系列文章里揭示的,更多是先根据DNS数据发现异常并定性,再进一步探寻还原事件真相。即从先逆向再统计,变成了先统计再逆向。
    这个顺序的变动,是DNSMon的一小步,却是整个威胁分析分支的一大步。

    # 结论
    1. 得益于DNS的基础性,DNSMon具备及时发现不同行业安全威胁的能力 ,尤其在现有安全软件无检出,或者是用户没有使用安全安全软件的场景下,这种新维度可以和现有安全产品组成有效的交叉火力。

    2. 网吧运维工具由于安装范围广,应该具备较为专业的安全能力为维护通道保驾护航,防止下发通道被恶意利用。

    3. 为躲避各类安全产品的检测,恶意样本的传播借助了大公司的基础服务,比如本次事件用到了wx1.sinaimg[.]cn,tiebapic.baidu[.]com和note.youdao[.]com提供的图片下载服务。
    `

发表评论

邮箱地址不会被公开。 必填项已用*标注