Что такое пассивный DNS?

Что такое пассивный DNS?

Служба DNS, реализованная для всего Интернета, очень эффективна. Используя распределенные базы данных и многоуровневые системы кэширования, он может обрабатывать очень большое количество доменов, клиентов и запросов. Надежность и простота протокола DNS очевидна.
DNS — это сервис реального времени, вам нужно преобразовать доменное имя в IP-адрес, чтобы добраться до веб-сайта, вы выполняете запрос и очень быстро получаете ответ либо непосредственно из кэша, либо по принципу полного разрешения. Так как же вы можете вернуться в прошлое? Как увидеть вариации? Как отслеживать свежесть домена?
По соображениям безопасности вам может быть интересно получить информацию о DNS по временным рамкам, чтобы увидеть энтропию, деформацию, оценить риск, выполнить криминалистический анализ и, возможно, своевременно принять контрмеры.
Решение пассивного DNS позволяет просматривать прошлые события и проводить тщательный анализ. Даже если это не совсем точное решение со 100% охватом, оно позволяет провести ценные исследования.

Как это работает?

Пассивный DNS собирает достаточную информацию о DNS для построения временной шкалы. Он может быть реализован непосредственно на рекурсивном DNS сервере или анализировать необработанный сетевой трафик с помощью анализатора трафика для извлечения только значимой информации DNS. Как правило, трафик фильтруется и сохраняется только необходимая информацию из запроса и ответа:
• дата
• полное доменное имя
• тип записи (можно ограничить только A/AAAA, но в идеале сохранить все типы записей)
• содержимое ответа

Это не важно, чтобы отслеживать адрес клиента и может занять большой объем памяти. В конкретной задаче это может помочь провести полноценное forensic расследование: кто, что и когда запросил.
Имея только одну точку захвата трафика, представление является довольно частичным, поэтому анализ может быть ограничен. Если увеличить количество точек захвата трафика, то можно получить более точную картину, благодаря захвату большего объема трафика. Информация может храниться в централизованной базе данных после ее сбора и фильтрации, чтобы обеспечить более высокую точность.

Как использовать данные?

Чем больше информации у вас есть в базе данных, тем тоньше и богаче анализ, который вы можете выполнить. Он может предоставить ценные сведения для ответа на следующие вопросы:

Используется ли доменное имя в сети?: если вы нашли запись для домена или полного доменного имени, значит, оно существует или существовало. Собранная временная метка важна для отображения свежести информации, например, впервые увиденной и последней увиденной. Если вы не найдете информацию в базе данных, она может не существовать или просто никогда не запрашивалась. Здесь количество увиденного DNS-трафика важно для точности.

Какова свежесть домена/полного доменного имени?: когда был первый запрос DNS на это полное доменное имя. У вас не будет отметки времени его появления, но будет информация когда был сделан первый запрос.

Какое полное доменное имя стоит за IP-адресом?: поскольку пассивный DNS сохранил ответ на запросы A/AAAA, он может предоставить эту информацию обратного поиска. Это может отличаться от записи PTR, связанной с IP-адресом. Это может помочь в проведении экспертизы адреса назначения трафика, отображаемого в журнале брандмауэра, или если источник атаки исходит от сервера, на котором размещены определенные общедоступные службы. На некоторых IP — адресах размещается много полных доменных имен, поэтому существуют возможности для хостинговых компаний, предоставляющих услугу PaaS по очень низкой цене, а также некоторые хакерские действия, хостинг спама или SEO фермы связанных сайтов.

Домен изменился с официального местонахождения?: анализируя записи NS для конкретного домена, вы можете увидеть, перемещается ли он между авторитетными серверами DNS. Если сервер NS принадлежит регистратору, то, вероятно, свойство домена изменилось. В этом случае может быть интересна перекрестная проверка с базой данных WHOIS.

Переносится ли полное доменное имя между IP-адресами?: это может быть связано с определенным хостингом в службе CDN или использованием службы GSLB. Но это также может быть связано с быстрым потоком, одним и тем же доменом, который очень быстро меняет хостинг-ресурс, чтобы, например, не фильтроваться брандмауэрами.

Существуют ли домены, подобные моему бренду?: для проведения фишинговой кампании или получения незаконного трафика может быть полезно использовать доменное имя, близкое к атакуемому бренду, изменив только одну букву, перевернув 2 буквы или используя некоторую близость букв на клавиатуре. Используя нечеткий поиск по реальному доменному имени бренда, можно найти некоторые похожие домены, которые явно нацелены на такие атаки или мошеннические действия, и попросить регистратора о подавлении атаки.

Аудит записей CNAME: при автоматизации процессов может случиться так, что CNAME, созданный для определенного использования и указывающий на облачный ресурс, больше не является согласованным. Чтобы избежать захвата ресурса хостинга и воспользоваться преимуществами CNAME, пассивная служба DNS может использоваться для регулярного аудита всех полных доменных имен с использованием определенного доменного имени, которое могло использоваться для события, рекламной акции или любой эфемерной деятельности.

passive_dns

Для реализации Passive DNS EfficientIP предлагает централизованное управление серверами DNS, доменным адресным пространством, включающее:

  • добавление/удаление зон DNS;
  • добавление/удаление/редактирование записей зон;
  • управление DNS активностью;
  • аудит изменений;
  • сбор и хранение логов, статистики использования DNS пространства.

С помощью дополнительного решения по безопасности DNS Guardian есть возможность выявлять подозрительную активность, используя более детализированные методы анализа DNS транзакций.

Используя механизмы интеграции, данные зафиксированные в DDI инфраструктуре могут быть переданы в смежные системы информационной безопасности или SIEM системы. Полученные данные могут быть использованы при проведении ретроспективного анализа сетевой активности.