DNS passif
Qu'est-ce que DNS passif ?
DNS passifBase historique des resolutions DNS observees permettant aux enqueteurs de retrouver quelles IP un domaine a pointe et quels domaines ont partage une IP dans le temps.
Le DNS passif (pDNS) est construit par des capteurs sur des resolveurs recursifs qui enregistrent les reponses DNS reussies sans jamais interroger les serveurs autoritatifs. Les jeux de donnees de fournisseurs comme Farsight DNSDB, VirusTotal ou SecurityTrails permettent de pivoter d'un domaine vers ses IP historiques, ses domaines voisins, ses serveurs de noms et ses dates de premiere/derniere observation. C'est une ressource cle pour le threat hunting, la cartographie d'infrastructures malveillantes, les takedowns et le suivi des algorithmes de generation de domaines. Comme le pDNS n'enregistre que ce qui a ete reellement interroge, il complete WHOIS, la transparence des certificats et le scan actif, sans intrusion pour les domaines observes.
● Exemples
- 01
Pivoter depuis un domaine C2 suspect vers d'autres domaines historiquement heberges sur la meme IP via DNSDB.
- 02
Confirmer qu'un domaine de phishing a resolu pour la premiere fois 24 heures avant le lancement de la campagne.
● Questions fréquentes
Qu'est-ce que DNS passif ?
Base historique des resolutions DNS observees permettant aux enqueteurs de retrouver quelles IP un domaine a pointe et quels domaines ont partage une IP dans le temps. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie DNS passif ?
Base historique des resolutions DNS observees permettant aux enqueteurs de retrouver quelles IP un domaine a pointe et quels domaines ont partage une IP dans le temps.
Comment fonctionne DNS passif ?
Le DNS passif (pDNS) est construit par des capteurs sur des resolveurs recursifs qui enregistrent les reponses DNS reussies sans jamais interroger les serveurs autoritatifs. Les jeux de donnees de fournisseurs comme Farsight DNSDB, VirusTotal ou SecurityTrails permettent de pivoter d'un domaine vers ses IP historiques, ses domaines voisins, ses serveurs de noms et ses dates de premiere/derniere observation. C'est une ressource cle pour le threat hunting, la cartographie d'infrastructures malveillantes, les takedowns et le suivi des algorithmes de generation de domaines. Comme le pDNS n'enregistre que ce qui a ete reellement interroge, il complete WHOIS, la transparence des certificats et le scan actif, sans intrusion pour les domaines observes.
Comment se défendre contre DNS passif ?
Les défenses contre DNS passif combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DNS passif ?
Noms alternatifs courants : pDNS, Donnees d'observation DNS.
● Termes liés
- defense-ops№ 1236
Recherche WHOIS
Requete sur la base WHOIS ou RDAP qui retourne les details d'enregistrement d'un domaine ou d'une IP : registrar, registrant, dates et serveurs de noms.
- defense-ops№ 159
Transparence des certificats
Ecosysteme de journaux publics append-only de certificats TLS, defini par les RFC 6962 et 9162, permettant a quiconque d'auditer les certificats existants pour un domaine.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- attacks№ 348
Domain Generation Algorithm (DGA)
Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2.
- defense-ops№ 266
Renseignement sur les Menaces (CTI)
Connaissance fondée sur des preuves au sujet des adversaires, de leurs motivations et de leurs méthodes, utilisée pour orienter les décisions défensives et prioriser les contrôles.