DNS pasivo
¿Qué es DNS pasivo?
DNS pasivoBase de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo.
El DNS pasivo (pDNS) se construye con sensores en resolutores recursivos que registran las respuestas DNS exitosas sin consultar a los servidores autoritativos. Los conjuntos de datos de proveedores como Farsight DNSDB, VirusTotal o SecurityTrails permiten a los defensores pivotar de un dominio a IPs historicas, dominios hermanos, servidores de nombres y marcas de tiempo de primera y ultima vista. Es un recurso clave para caza de amenazas, mapeo de infraestructura maliciosa, takedowns y seguimiento de algoritmos de generacion de dominios. Como pDNS solo registra lo que realmente se consulto, complementa WHOIS, transparencia de certificados y escaneo activo, y no es intrusivo para los operadores de los dominios.
● Ejemplos
- 01
Pivotar desde un dominio C2 sospechoso a otros dominios alojados historicamente en la misma IP usando DNSDB.
- 02
Confirmar que un dominio de phishing se resolvio por primera vez 24 horas antes de iniciar la campana.
● Preguntas frecuentes
¿Qué es DNS pasivo?
Base de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa DNS pasivo?
Base de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo.
¿Cómo funciona DNS pasivo?
El DNS pasivo (pDNS) se construye con sensores en resolutores recursivos que registran las respuestas DNS exitosas sin consultar a los servidores autoritativos. Los conjuntos de datos de proveedores como Farsight DNSDB, VirusTotal o SecurityTrails permiten a los defensores pivotar de un dominio a IPs historicas, dominios hermanos, servidores de nombres y marcas de tiempo de primera y ultima vista. Es un recurso clave para caza de amenazas, mapeo de infraestructura maliciosa, takedowns y seguimiento de algoritmos de generacion de dominios. Como pDNS solo registra lo que realmente se consulto, complementa WHOIS, transparencia de certificados y escaneo activo, y no es intrusivo para los operadores de los dominios.
¿Cómo defenderse de DNS pasivo?
Las defensas contra DNS pasivo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DNS pasivo?
Nombres alternativos comunes: pDNS, Datos de observacion DNS.
● Términos relacionados
- defense-ops№ 1236
Consulta WHOIS
Consulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres.
- defense-ops№ 159
Transparencia de certificados
Ecosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- attacks№ 348
Algoritmo de generacion de dominios (DGA)
Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2.
- defense-ops№ 266
Inteligencia de Amenazas (CTI)
Conocimiento basado en evidencia sobre los adversarios, sus motivaciones y métodos, utilizado para guiar las decisiones defensivas y priorizar controles.