为什么说被动DNS很重要
被动DNS(PassiveDNS)是一个存储有公共DNS通信中涉及到的所有域名、服务器和IP地址相关的所有历史记录的安全数据库,将实时DNS结果转化为被动DNS数据,以供分析使用。若没有被动DNS的引入,一旦DNS记录发生变更,经过一段很短时间的传播,原有DNS记录将在网络上消失的无影无踪。
被动DNS重要是由于DNS是一个明文协议,故此在网络犯罪调查期间,被动DNS的引用可以帮助安全团队做必要的威胁检测,这些数据点具有极高的价值。同样,在威胁情报领域,被动DNS数据也被视作一类非常重要的数据来源,如对新注册域名的关注,对DNS变更及DNS错误信息的监控与比对,另外,在一个域名被识别为恶意或可疑后,通过被动DNS历史记录,可以方便快速的帮助调查人员找到最初攻击发生时的证据。
使用被动DNS的7大理由
检测网络钓鱼域名、缓解垃圾邮件干扰
被动DNS传感器可以实时监测到最新出现的域名(NOD,Newly Observed Domain),这一特性至关重要,因为全新的域名通常与恶意活动的关联程度非常高,在被短暂用于网络钓鱼或垃圾邮件发送后即被丢弃。所以,对新域名阻断一段时间是被证实为有效且成本最低的方法。
识别恶意域名
通常情况下,正常合法域名并不会经常变更其地址、名称服务器等信息。而通过被动DNS数据库,可以有效识别出企图通过速变(fast-flux)等技术来隐藏其恶意活动的这些域名。
威胁情报
当某IP地址、域名或名称服务器被标记为恶意时,可以通过被动DNS轻松识别哪些域名映射到该IP地址、哪些域名托管在该名称服务器或哪些IP曾经与该恶意域名相关联,进而能够找到入侵或攻击最初发生时的有效证据。
检测域名劫持
被动DNS数据库,可以几乎实时的对类似缓存投毒等域名劫持行为进行发现。通过对被动DNS数据库的定期查询,能够让管理员了解主要域名所映射的地址信息,如果发现与常规映射有任何偏差,则极有可能表示一场针对您企业的攻击行动已经发生。
品牌保护
通过对某一品牌关键字进行模糊匹配查询,可以找出与您企业名称或注册商标名称类似而没有经过任何授权的域名,特别是仿冒域名往往会出现在新注册域名(NOD)中,通过及时发现,通报,关停未授权域名,可以及时消除由此产生的品牌负面影响,降低企业用户数据被钓鱼的安全风险。
域名DNS历史记录查询
利用被动DNS主要目的之一是让分析人员有能力访问DNS历史记录以供分析使用。比如,通过DNSDB API,您可以分析历史DNS记录,检查新记录,比较差异,洞察可能的攻击向量等。另外,在管理员想要恢复DNS服务器中不管出于什么原因而被删除、修改过的DNS记录时,被动DNS数据库也显得尤为重要。
探索子域名
你有没有想过baidu.com或taobao.com有多少子域名?使用被动DNS数据库,您可以浏览世界上任何域名的子域名。通过对每个子域名的探索,你可能会发现与网站开发、测试等相关内容,有些易受攻击区域往往存于其中,不怀好意的恶意攻击者可以利用这些信息对您发起攻击,所以,这也是为什么一定要将子域纳入DNS审计的一个重要原因。