被动DNS，一个被忽视的安全利器

DNS自出现以来，一直被认为是最重要的互联网服务之一，几乎所有的网络服务都依托于DNS服务将域名解析为IP地址，普遍被其他协议使用，如HTTP，SMTP等，可以说，它是协议中的无名英雄。但相较于DNS服务的重要性，企业在对其基础架构进行安全加固时，却没有得到充分的重视，导致了DNS成为了一个关键的攻击媒介，一旦发生针对DNS的恶意攻击，所造成的后果之严重，影响之广泛都让人难以接受，同时，基于被动DNS的安全检测，攻击溯源，反垃圾邮件，上网行为管理也是安全公司解决安全问题的重要手段。

什么是被动DNS（Passive DNS）？

被动DNS概念由Florian Weimer在2005年提出，简而言之，被动DNS（PassiveDNS）就是一个存储有公共DNS通信中涉及到的所有域名、服务器和IP地址相关的所有历史记录的安全数据库，将实时DNS结果转化为被动DNS数据，以供分析使用。若没有被动DNS的引入，一旦DNS记录发生变更，经过一段很短时间的传播，原有DNS记录将在网络上消失的无影无踪。

为什么被动DNS很重要？

由于DNS是一个明文协议，故此在网络犯罪调查期间，被动DNS的引用可以帮助安全团队做必要的威胁检测，这些数据点具有极高的价值。同样，在威胁情报领域，被动DNS数据也被视作一类非常重要的数据来源，如对新注册域名（NOD，Newly Observed Domain）的关注，对DNS变更及DNS错误信息的监控与比对，另外，在一个域名被识别为恶意或可疑后，通过被动DNS历史记录，可以方便快速的帮助调查人员找到最初攻击发生时的证据。总之，由于DNS几乎存在于任何网络通信交换中，无论采用何种协议，从DNS历史数据着手，几乎都具有普遍的价值。

DNS相关常见攻击类型

域名劫持

域名劫持发生在用户在注册商处的账号被盗导致解析记录更改，也可能攻击者通过其他手段在DNS解析级别实现。无论是哪种，一旦您的域名被劫持，将会造成极大的影响，攻击者将会创建一个目标网站的副本用来窃取用户个人隐私信息。

缓存投毒

缓存投毒是几乎每天都可发生的DNS攻击之一。一般利用系统漏洞，攻击者篡改DNS解析服务器的缓存，导致用户正常请求被重定向到攻击者指定服务器，用于非法获取流量或进行钓鱼，窃取用户信息等。

DNS劫持

DNS劫持区别于域名劫持或缓存投毒，这类攻击一般通过恶意软件来更改终端用户TCP/IP设置，将用户指向恶意DNS服务器，该DNS服务器会对域名进行解析，并最终指向钓鱼网站等被攻击者操控的服务器。

DNS DDoS攻击

针对DNS的DDoS攻击一般来讲就是攻击者通过操控多台傀儡机对目标DNS服务器发起大量请求，最终达到目标DNS服务器无法对正常请求进行解析的目的。由于DNS是互联网的核心基础服务，发生拒绝服务的结果，可导致大范围互联网瘫痪。

反射式拒绝服务攻击

由于目前大部分DNS使用的是UDP协议，而UDP无法通过握手过程来验证请求IP的真实性，因此攻击者通过所控僵尸主机，发送大量伪造成被攻击目标主机IP的请求到DNS服务器，DNS服务器将大量响应信息回复给被攻击目标主机，从而达到对目标的拒绝服务攻击的目的。

 

使用被动DNS的7大理由

1、检测网络钓鱼域名、缓解垃圾邮件干扰

被动DNS传感器可以实时监测到最新出现的域名（NOD，Newly Observed Domain），这一特性至关重要，因为全新的域名通常与恶意活动的关联程度非常高，在被短暂用于网络钓鱼或垃圾邮件发送后即被丢弃。所以，对新域名阻断一段时间是被证实为有效且成本最低的方法。德因科技（公众号：德因科技）提供完全自动化、实时向用户推送NOD RPZ/DNSBL服务，大大降低企业维护成本。

2、识别恶意域名

通常情况下，正常合法域名并不会经常变更其地址、名称服务器等信息。而通过被动DNS数据库，可以有效识别出企图通过速变（fast-flux）等技术来隐藏其恶意活动的这些域名。

3、威胁情报

当某IP地址、域名或名称服务器被标记为恶意时，可以通过被动DNS轻松识别哪些域名映射到该IP地址、哪些域名托管在该名称服务器或哪些IP曾经与该恶意域名相关联，进而能够找到入侵或攻击最初发生时的有效证据。

4、检测域名劫持

被动DNS数据库，可以几乎实时的对类似缓存投毒等域名劫持行为进行发现。通过对被动DNS数据库的定期查询，能够让管理员了解主要域名所映射的地址信息，如果发现与常规映射有任何偏差，则极有可能表示一场针对您企业的攻击行动已经发生。

5、品牌保护

通过对某一品牌关键字进行模糊匹配查询，可以找出与您企业名称或注册商标名称类似而没有经过任何授权的域名，特别是仿冒域名往往会出现在新注册域名（NOD）中，通过及时发现，通报，关停未授权域名，可以及时消除由此产生的品牌负面影响，降低企业用户数据被钓鱼的安全风险

6、域名DNS历史记录查询

利用被动DNS主要目的之一是让分析人员有能力访问DNS历史记录以供分析使用。比如，通过DNSDB API，您可以分析历史DNS记录，检查新记录，比较差异，洞察可能的攻击向量等。另外，在管理员想要恢复DNS服务器中不管出于什么原因而被删除、修改过的DNS记录时，被动DNS数据库也显得尤为重要。我们的DNSDB中保存了所有类型的DNS记录信息，如：

A

AAAA

MX

NS

TXT

7、探索子域名

你有没有想过baidu.com或taobao.com有多少子域名？使用被动DNS数据库，您可以浏览世界上任何域名的子域名。通过对每个子域名的探索，你可能会发现与网站开发、测试等相关内容，有些易受攻击区域往往存于其中，不怀好意的恶意攻击者可以利用这些信息对您发起攻击，所以，这也是为什么一定要将子域纳入DNS审计的一个重要原因。

 

被动DNS数据是极具价值的互联网基础数据之一，它可以帮助您的IT团队和安全研究人员对您的域和IP记录进行深入的分析研究，成为现代安全团队做好安全防护和事后分析、调查取证必不可少的一种手段。我们的数据库内保存有超过1000亿条非重复的DNS解析记录，时间可以追溯到2010年6月，每秒超过20万次的查询监测，日处理解析数据近5TB，并可提供分钟级全球范围内的新域名推送服务。

德因科技与Farsight Security、中科院、清华大学共同合作，构建了世界上最先进的被动DNS数据库，实时跟踪域名变化情况，可为第三方威胁情报平台提供数据或与企业现有管理平台集成，是反钓鱼、缓解垃圾邮件干扰、数字取证、探查僵尸网络及其他从未想过的潜在网络威胁的一种最简单、经济、有效的方法。