被动 DNS
被动 DNS 是什么?
被动 DNS记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。
被动 DNS(pDNS)由部署在递归解析器上的传感器构建,只记录成功的 DNS 响应,不会向权威服务器主动查询。Farsight DNSDB、VirusTotal、SecurityTrails 等数据集让防御者能从一个域名跳转到历史 IP、兄弟域名、域名服务器以及首次/末次出现的时间戳。它是威胁狩猎、恶意基础设施测绘、下架和跟踪域名生成算法的核心资源。由于 pDNS 只记录实际被查询过的内容,因此与 WHOIS、证书透明度和主动扫描互补,并且对被观测域名的运营者不具侵入性。
● 示例
- 01
通过 DNSDB 从可疑 C2 域名跳转到历史同 IP 上的其他域名。
- 02
确认一个钓鱼域名在恶意邮件开始投递前 24 小时才首次解析。
● 常见问题
被动 DNS 是什么?
记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。 它属于网络安全的 防御与运营 分类。
被动 DNS 是什么意思?
记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。
被动 DNS 是如何工作的?
被动 DNS(pDNS)由部署在递归解析器上的传感器构建,只记录成功的 DNS 响应,不会向权威服务器主动查询。Farsight DNSDB、VirusTotal、SecurityTrails 等数据集让防御者能从一个域名跳转到历史 IP、兄弟域名、域名服务器以及首次/末次出现的时间戳。它是威胁狩猎、恶意基础设施测绘、下架和跟踪域名生成算法的核心资源。由于 pDNS 只记录实际被查询过的内容,因此与 WHOIS、证书透明度和主动扫描互补,并且对被观测域名的运营者不具侵入性。
如何防御 被动 DNS?
针对 被动 DNS 的防御通常结合技术控制与运营实践,详见上方完整定义。
被动 DNS 还有哪些其他名称?
常见的别称包括: pDNS, DNS 观测数据。
● 相关术语
- defense-ops№ 1236
WHOIS 查询
对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。
- defense-ops№ 159
证书透明度
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- attacks№ 348
域名生成算法(DGA)
恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。
- defense-ops№ 266
网络威胁情报(CTI)
基于证据的对手知识体系,涵盖其动机和手法,用于支持防御决策并优先安排控制措施。