【被动DNS】一个被忽视的安全利器

DNS自出现以来，一直被认为是最重要的互联网服务之一，几乎全部的网络服务都依托于DNS服务将域名解析为IP地址，广泛被其他协议使用，如HTTP，SMTP等，可以说，它是协议中的无名英雄。但相较于DNS服务的重要性，企业在对其基础架构举行安全加固时，却没有得到充分的重视，导致了DNS成为了一个关键的攻击前言，一旦发生针对DNS的恶意攻击，所造成的结果之严重，影响之广泛都让人难以接受，同时，基于被动DNS的安全检测，攻击溯源，反垃圾邮件，上网行为管理也是安全公司办理安全问题的重要手段。
什么是被动DNS（Passive DNS）？

被动DNS概念由Florian Weimer在2005年提出，简而言之，被动DNS（PassiveDNS）就是一个存储有公共DNS通信中涉及到的全部域名、服务器和IP地址相干的全部历史记录的安全数据库，将实时DNS效果转化为被动DNS数据，以供分析使用。若没有被动DNS的引入，一旦DNS记录发生变动，颠末一段很短时间的流传，原有DNS记录将在网络上消失的无影无踪。

为什么被动DNS很重要？

由于DNS是一个明文协议，故此在网络犯罪调查期间，被动DNS的引用可以帮助安全团队做必要的威胁检测，这些数据点具有极高的价值。同样，在威胁情报领域，被动DNS数据也被视作一类非常重要的数据来源，如对新注册域名（NOD，Newly Observed Domain）的关注，对DNS变动及DNS错误信息的监控与比对，别的，在一个域名被辨认为恶意或可疑后，通过被动DNS历史记录，可以方便快速的帮助调查职员找到最初攻击发生时的证据。总之，由于DNS几乎存在于任何网络通信互换中，无论接纳何种协议，从DNS历史数据着手，几乎都具有广泛的价值。
DNS相干常见攻击类型

域名劫持

域名劫持发生在用户在注册商处的账号被盗导致解析记录更改，也可能攻击者通过其他手段在DNS解析级别实现。无论是哪种，一旦您的域名被劫持，将会造成极大的影响，攻击者将会创建一个目标网站的副本用来盗取用户个人隐私信息。
缓存投毒

缓存投毒是几乎每天都可发生的DNS攻击之一。一般利用体系毛病，攻击者篡改DNS解析服务器的缓存，导致用户正常请求被重定向到攻击者指定服务器，用于非法获取流量或举行垂纶，盗取用户信息等。
DNS劫持

DNS劫持区别于域名劫持或缓存投毒，这类攻击一般通过恶意软件来更改终端用户TCP/IP设置，将用户指向恶意DNS服务器，该DNS服务器会对域名举行解析，并最终指向垂纶网站等被攻击者操控的服务器。
DNS DDoS攻击

针对DNS的DDoS攻击一般来讲就是攻击者通过操控多台傀儡机对目标DNS服务器发起大量请求，最终达到目标DNS服务器无法对正常请求举行解析的目的。由于DNS是互联网的核心基础服务，发生拒绝服务的效果，可导致大范围互联网瘫痪。
反射式拒绝服务攻击

由于目前大部门DNS使用的是UDP协议，而UDP无法通过握手过程来验证请求IP的真实性，因此攻击者通过所控僵尸主机，发送大量伪造成被攻击目标主机IP的请求到DNS服务器，DNS服务器将大量响应信息复兴给被攻击目标主机，从而达到对目标的拒绝服务攻击的目的。
使用被动DNS的7大来由

1、检测网络垂纶域名、缓解垃圾邮件干扰

被动DNS传感器可以实时监测到最新出现的域名（NOD，Newly Observed Domain），这一特性至关重要，因为全新的域名通常与恶意运动的关联程度非常高，在被短暂用于网络垂纶或垃圾邮件发送后即被丢弃。所以，对新域名阻断一段时间是被证明为有效且成本最低的方法。伏羲科技提供完全自动化、实时向用户推送NOD RPZ/DNSBL服务，大大降低企业维护成本。
2、辨认恶意域名

通常环境下，正常正当域名并不会经常变动其地址、名称服务器等信息。而通过被动DNS数据库，可以有效辨认出企图通过速变（fast-flux）等技能来匿伏其恶意运动的这些域名。
3、威胁情报

当某IP地址、域名或名称服务器被标记为恶意时，可以通过被动DNS轻松辨认哪些域名映射到该IP地址、哪些域名托管在该名称服务器或哪些IP曾经与该恶意域名相干联，进而可以或许找到入侵或攻击最初发生时的有效证据。
4、检测域名劫持

被动DNS数据库，可以几乎实时的对类似缓存投毒等域名劫持行为举行发现。通过对被动DNS数据库的定期查询，可以或许让管理员相识主要域名所映射的地址信息，如果发现与常规映射有任何毛病，则极有可能表示一场针对您企业的攻击行动已经发生。
5、品牌掩护

通过对某一品牌关键字举行暗昧匹配查询，可以找出与您企业名称或注册商标名称类似而没有颠末任何授权的域名，特别是仿冒域名往往会出现在新注册域名（NOD）中，通过及时发现，通报，关停未授权域名，可以及时消除由此产生的品牌负面影响，降低企业用户数据被垂纶的安全风险
6、域名DNS历史记录查询

利用被动DNS主要目的之一是让分析职员有本领访问DNS历史记录以供分析使用。比如，通过DNSDB API，您可以分析历史DNS记录，检查新记录，比较差异，洞察可能的攻击向量等。别的，在管理员想要规复DNS服务器中不管出于什么原因而被删除、修改过的DNS记录时，被动DNS数据库也显得尤为重要。我们的DNSDB中保存了全部类型的DNS记录信息，如：
A
AAAA
MX
NS
TXT
7、探索子域名

你有没有想过baidu.com或taobao.com有多少子域名？使用被动DNS数据库，您可以浏览世界上任何域名的子域名。通过对每个子域名的探索，你可能会发现与网站开辟、测试等相干内容，有些易受攻击地区往往存于此中，不怀好意的恶意攻击者可以利用这些信息对您发起攻击，所以，这也是为什么肯定要将子域纳入DNS审计的一个重要原因。
(澳洲某网站部门解析记录)
被动DNS数据是极具价值的互联网基础数据之一，它可以帮助您的IT团队和安全研究职员对您的域和IP记录举行深入的分析研究，成为现代安全团队做好安全防护和事后分析、调查取证必不可少的一种手段。我们的数据库内保存有超过1000亿条非重复的DNS解析记录，时间可以追溯到2010年6月，每秒超过20万次的查询监测，日处明白析数据近5TB，并可提供分钟级环球范围内的新域名推送服务。
如果你是准备学习网络安全或者正在学习，下面这些你应该能用得上：

   ①网络安全学习门路
②20份渗透测试电子书
③安全攻防357页条记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备册本
⑦100个毛病实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析