DNS科普系列 :被动DNS(Passive DNS)

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介: 在DNS领域有一些“专有技术名词(俗称行业”黑话“),不熟悉DNS和相关应用的人可能不容易接触和理解他们。从这篇开始,我们将帮助大家梳理一些DNS专有名词,本期的专有名词是:被动DNS(Passive DNS)。

如今,每个人的生活都离不开互联网,而互联网中又蕴含着很多小学问。就拿浏览网页来说,当我们输入某个网址后,屏幕背后究竟要经历怎样的过程,才能带我们精准到达那个网页呢?

我们把输入的网址称为域名,而在这背后,需要一台域名服务器将该域名解析为对应的IP地址,然后根据IP地址来对网站服务器进行访问。其中,通过域名获取对应IP地址的过程叫域名解析。域名解析需要使用到DNS。

DNS是互联网上存储域名与IP映射关系的一个分布式数据库。使用DNS,用户可以方便的用域名访问互联网,而不用关心复杂难记的IP地址。

然而,我们发现有一些问题,光靠DNS是很难解决的,例如:

  • 一个域名过去曾指向到何处?
  • 特定网络范围内的IP地址对应的所有域名有哪些?
  • 对于一个给定的名称服务器,它托管了哪些域名?
  • 有哪些域名指向给定的IP网络?
  • 一个域名下存在哪些子域名?

这些DNS很难解决的问题,利用被动DNS(Passive DNS)技术就可以迎刃而解。

被动DNS是什么?

被动DNS是Florian Weimer在2004年提出并发明的一项技术,与DNS查询的方式相反,被动DNS属于反向获取或查询DNS数据信息。

被动DNS,将全球域名系统中可用的DNS数据信息(包括)重建到中央数据库中,以便研究人员对其进行检索和查询。这些数据信息是从生产网络中获取到的,不仅包含了当前的DNS数据,也包括了历史记录中的一些DNS数据映射。

被动DNS的应用场景有哪些?

发明被动DNS技术的初衷,是为了防止网络攻击,事实上,它的确在这方面起到了突出的作用。除此之外,它还被用在其他的应用场景中,例如:

  • 检测网站钓鱼域名

  • 阻断垃圾邮件干扰

  • 识别恶意域名

  • 提供威胁情报

  • 检测域名劫持

  • 品牌保护

  • 域名DNS历史记录查询

  • 查询主域名下的所有子域名

被动DNS是如何工作的?

接下来,让我们通过一个实例,来了解被动DNS是怎么工作的?

以下实例,使用到的是美国Farsight Security公司推出的Passive DNS数据库----DNSDB,有关这一案例的更多信息,可参考该公司的Passive DNS白皮书:https://info.farsightsecurity.com/passive-dns-ebook

被动DNS基于被动观察的DNS查询和响应。例如,一个互联网用户可能会查询到www.popeyes.com,这是美国一家颇受欢迎的炸鸡餐厅的网站。根据查询发生的位置,被动DNS传感器可以收集到该DNS查询的相关信息,并收集到主机名解析的IP地址,例如13.52.38.70。

将该信息添加到DNSDB后,DNSDB用户可以在DNSDB中搜索该名称,从而了解该名称解析为哪个IP地址;用户还可以查询IP地址并收集指向该IP的域名。

这一过程,如下图所示:

1.png

例如,使用DNSDB命令行工具dnsdbq查看标准域名,我们看到:

$ dnsdbq -r www.popeyes.com -S -k last | more
;; record times: 2019-11-05 15:04:13 .. 2020-04-06 23:41:49
;; count: 179249; bailiwick: popeyes.com.
www.popeyes.com. CNAME rbi.netlifyglobalcdn.com.

;; record times: 2019-08-07 16:07:03 .. 2019-11-05 15:04:00
;; count: 96401; bailiwick: popeyes.com.
www.popeyes.com. CNAME popeyes.com.

;; record times: 2017-03-31 02:33:47 .. 2019-08-07 15:59:50
;; count: 369691; bailiwick: popeyes.com.
www.popeyes.com. CNAME popeyeswcag.wpengine.com.
[ etc ]

我们截取了一段时间www.popeyes.com是CNAME的记录(第一段部分)

该CNAME指向另一个域名:rbi.netlifyglobalcdn.com。

为了找出该域名的实际位置,我们需要再次通过被动DNS查看结果:

$ dnsdbq -r rbi.netlifyglobalcdn.com/A -S -k last | more
;; record times: 2020-03-19 16:34:11 .. 2020-04-07 00:41:42
;; count: 7912; bailiwick: netlifyglobalcdn.com.
rbi.netlifyglobalcdn.com. A 54.156.183.85

;; record times: 2019-11-05 15:10:24 .. 2020-04-07 00:35:09
;; count: 121708; bailiwick: netlifyglobalcdn.com.
rbi.netlifyglobalcdn.com. A 35.199.169.199
;; record times: 2020-03-19 16:43:14 .. 2020-04-07 00:32:07
;; count: 22756; bailiwick: netlifyglobalcdn.com.
rbi.netlifyglobalcdn.com. A 13.52.58.70

;; record times: 2020-03-19 16:52:23 .. 2020-04-07 00:27:17
;; count: 23076; bailiwick: netlifyglobalcdn.com.
rbi.netlifyglobalcdn.com. A 54.215.26.148
[etc]

值得注意的是,DNSDB报告了我们在“真实DNS”中找到的IP地址13.52.58.70,但被动DNS传感器也大致在同一时间看到了其他IP地址。 在这种情况下,由于Popeyes®是非常受欢迎的快餐连锁店,因此他们使用的内容分发网络可以在同一时间段内解析该站点的昵称(rbi.netlifyglobalcdn.com)到多个IP地址(CDN可能会将来自美国西海岸的查询发送到一台服务器,将来自东海岸的查询发送到另一台服务器,并将来自南海岸的查询发送到第三台服务器)。 这意味着我们现在可以轻松查看有关此域的详细信息,否则我们可能很难发现它们。

是否有使用相同CNAME的域? 我们可以通过搜索记录的“右侧”进行检查(例如通过使用-n而不是-r):

$ dnsdbq -n rbi.netlifyglobalcdn.com -S -k count
;; record times: 2019-11-05 15:04:13 .. 2020-04-07 02:43:57
;; count: 179517
www.popeyes.com. CNAME rbi.netlifyglobalcdn.com.

;; record times: 2019-11-20 23:49:36 .. 2020-04-07 03:35:15
;; count: 29883
www.timhortons.ca. CNAME rbi.netlifyglobalcdn.com.

;; record times: 2019-11-13 03:08:20 .. 2019-11-13 03:16:25
;; count: 28
www.bk.com. CNAME rbi.netlifyglobalcdn.com.
;; record times: 2019-11-13 03:11:20 .. 2019-11-13 03:13:24
;; count: 9
mobile.bk.com. CNAME rbi.netlifyglobalcdn.com.

通过这个实例,我们发现www.timhortons.ca、www.popeyes.com以及www.bk.com(汉堡王®)使用了相同的CNAME,那么他们之间有什么关系呢?

通过查阅相关资料,我们发现,这三个品牌其实同属于一家餐饮公司。

2.png

原本只是简单的一次检索,被动DNS却可帮助我们发现一个域名背后的三个快餐连锁品牌之间的关系。

而这只是被动DNS诸多应用场景中最为普通的一个,在预防网络攻击方面,它还会展示出更强有力的作用,这些都需要我们进一步学习与探索。

如需了解被动DNS更多的信息,请参考以下资料:

[2] https://www.farsightsecurity.com/technical/passive-dns/

相关文章
|
存储 网络协议 安全
DNS科普系列: DNS防火墙(DNS Firewall)
DNS防火墙是一种网络安全解决方案,可以防止网络用户和系统链接到已知的恶意网络位置,可以有效的预防威胁发生, 阻止访问受感染的站点,进而防止进一步的威胁。能够主动检测到已被感染的系统,并通过安全报告的形式将此类威胁通知用户。还能够保护用户的网络环境,提高网络安全性。
DNS科普系列: DNS防火墙(DNS Firewall)
|
7月前
|
负载均衡 监控 网络虚拟化
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
企业有三台FTP服务器Server1、Server2和Server3,且这三台服务器的硬件性能顺次降低,Server1性能是Server2的两倍、Server2性能是Server3的两倍。通过配置负载均衡,让这三台服务器联合对外提供FTP服务,且三台服务器承载业务的多少与服务器硬件性能的高低匹配。通过配置健康检测实时监控这三台服务器是否可达。
|
7月前
|
存储 缓存 网络协议
介绍一下什么是DNS,以及DNS基础原理
DNS(Domain Name System)是互联网中用于解析域名和IP地址的分布式数据库系统。它的作用是将人类易于记忆的域名(如www.example.com)转化为计算机能够理解的IP地址(如192.0.2.1)。
198 0
|
域名解析 Web App开发 缓存
一文搞懂常用的网络概念:域名、静态IP和动态IP、域名解析DNS、动态域名解析DDNS
在此之前,我对于网络通讯上的一些基础概念总是含糊其辞,感觉自己知道都又道不出个所以然,总之就是不成体系难以有个整体的把握。因此有了本文,目的是对一些平时颇为关注的网络概念进行总结,描绘出它们的关系,借此也希望能去扫清你的一些障碍,给小伙伴们分享一波。
4557 0
一文搞懂常用的网络概念:域名、静态IP和动态IP、域名解析DNS、动态域名解析DDNS
|
网络协议
DNS 配置单纯为转发的DNS服务器
cp /etc/named.conf /etc/name.conf.raw vim /etc/named.conf options { listen-on port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.
1082 0