Пассивный DNS
Что такое Пассивный DNS?
Пассивный DNSИсторическая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени.
Пассивный DNS (pDNS) формируется датчиками на рекурсивных резолверах, которые фиксируют успешные DNS-ответы, не обращаясь к авторитативным серверам. Наборы данных от Farsight DNSDB, VirusTotal, SecurityTrails и других позволяют поворачивать расследование от домена к историческим IP, соседним доменам, NS-записям и меткам first-seen/last-seen. Это ключевой ресурс для охоты за угрозами, картографирования вредоносной инфраструктуры, takedown-операций и отслеживания DGA. Поскольку pDNS фиксирует только реально совершённые запросы, он дополняет WHOIS, Certificate Transparency и активное сканирование и неинтрузивен для владельцев наблюдаемых доменов.
● Примеры
- 01
Поворот от подозрительного C2-домена к другим доменам, исторически жившим на том же IP, через DNSDB.
- 02
Подтверждение, что фишинговый домен впервые разрешился за 24 часа до начала рассылки.
● Частые вопросы
Что такое Пассивный DNS?
Историческая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени. Относится к категории Защита и операции в кибербезопасности.
Что означает Пассивный DNS?
Историческая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени.
Как работает Пассивный DNS?
Пассивный DNS (pDNS) формируется датчиками на рекурсивных резолверах, которые фиксируют успешные DNS-ответы, не обращаясь к авторитативным серверам. Наборы данных от Farsight DNSDB, VirusTotal, SecurityTrails и других позволяют поворачивать расследование от домена к историческим IP, соседним доменам, NS-записям и меткам first-seen/last-seen. Это ключевой ресурс для охоты за угрозами, картографирования вредоносной инфраструктуры, takedown-операций и отслеживания DGA. Поскольку pDNS фиксирует только реально совершённые запросы, он дополняет WHOIS, Certificate Transparency и активное сканирование и неинтрузивен для владельцев наблюдаемых доменов.
Как защититься от Пассивный DNS?
Защита от Пассивный DNS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Пассивный DNS?
Распространённые альтернативные названия: pDNS, Данные наблюдения DNS.
● Связанные термины
- defense-ops№ 1236
WHOIS-запрос
Запрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён.
- defense-ops№ 159
Прозрачность сертификатов
Экосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- attacks№ 348
Алгоритм генерации доменов (DGA)
Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер.
- defense-ops№ 266
Киберразведка угроз (CTI)
Основанное на доказательствах знание о противниках, их мотивах и методах, используемое для принятия защитных решений и приоритизации мер контроля.