Passive DNS
Was ist Passive DNS?
Passive DNSHistorische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte.
Passive DNS (pDNS) wird von Sensoren an rekursiven Resolvern aufgebaut, die erfolgreiche DNS-Antworten mitschneiden, ohne autoritative Server abzufragen. Datensaetze von Anbietern wie Farsight DNSDB, VirusTotal oder SecurityTrails ermoeglichen es, von einer Domain zu historischen IPs, Nachbar-Domains, Nameservern und First-/Last-Seen-Zeitstempeln zu pivotieren. Es ist eine Schluesselressource fuer Threat Hunting, Mapping boesartiger Infrastruktur, Takedowns und das Verfolgen von Domain-Generation-Algorithms. Da pDNS nur tatsaechlich gestellte Anfragen aufzeichnet, ergaenzt es WHOIS, Certificate Transparency und aktives Scannen und bleibt fuer die Betreiber der Domains nicht-intrusiv.
● Beispiele
- 01
Pivotieren von einer verdaechtigen C2-Domain zu weiteren Domains, die historisch auf derselben IP lagen, ueber DNSDB.
- 02
Bestaetigen, dass eine Phishing-Domain erstmals 24 Stunden vor dem Kampagnenstart aufgeloest wurde.
● Häufige Fragen
Was ist Passive DNS?
Historische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Passive DNS?
Historische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte.
Wie funktioniert Passive DNS?
Passive DNS (pDNS) wird von Sensoren an rekursiven Resolvern aufgebaut, die erfolgreiche DNS-Antworten mitschneiden, ohne autoritative Server abzufragen. Datensaetze von Anbietern wie Farsight DNSDB, VirusTotal oder SecurityTrails ermoeglichen es, von einer Domain zu historischen IPs, Nachbar-Domains, Nameservern und First-/Last-Seen-Zeitstempeln zu pivotieren. Es ist eine Schluesselressource fuer Threat Hunting, Mapping boesartiger Infrastruktur, Takedowns und das Verfolgen von Domain-Generation-Algorithms. Da pDNS nur tatsaechlich gestellte Anfragen aufzeichnet, ergaenzt es WHOIS, Certificate Transparency und aktives Scannen und bleibt fuer die Betreiber der Domains nicht-intrusiv.
Wie schützt man sich gegen Passive DNS?
Schutzmaßnahmen gegen Passive DNS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Passive DNS?
Übliche alternative Bezeichnungen: pDNS, DNS-Beobachtungsdaten.
● Verwandte Begriffe
- defense-ops№ 1236
WHOIS-Abfrage
Abfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver.
- defense-ops№ 159
Certificate Transparency
Oekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- attacks№ 348
Domain Generation Algorithm (DGA)
Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen.
- defense-ops№ 266
Cyber Threat Intelligence (CTI)
Evidenzbasiertes Wissen über Angreifer, ihre Motivationen und Methoden, das defensive Entscheidungen unterstützt und Kontrollen priorisiert.