網絡掃描:Maltego之域名分析
在廣域網中,很多IP地址都和域名進行關聯。通過分析對應的域名,可以獲取更多的主機信息。本文介紹使用Maltego工具對域名進行分析。
1. 使用域名實體Domain
在Maltego中提供了一個域名實體Domain,可以用來對域名進行分析。使用時,首先需要從實體列表中拖放一個域名實體到圖表中,顯示結果如圖1所示。
圖1 域名實體
從圖1中可以看到,在圖表中已經添加了域名實體,默認的域名為paterva.com。此時需要將其修改為我們要分析的域名。例如,這里將選擇分析百度網站的域名baidu.com。所以,修改默認的域名實體名稱為baidu.com,如圖2所示。
圖2 指定要分析的域名
從圖2中可以看到,成功修改了域名實體名稱為baidu.com。接下來我們就可以使用Maltego工具提供的Transform來獲取域名相關信息了,如域名的所有者、子域名等。
2. 獲取域名注冊商信息
每個域名都有對應的WHOIS信息。通過查詢WHOIS信息,即可獲取到域名的注冊商信息。下面介紹獲取域名所有者信息的方法。
(1)在New Graph(1)圖表中選擇域名實體(baidu.com)并右擊,將彈出所有可以使用的Transform列表,如圖3所示。
圖3 選擇Transform
(2)在其中選擇名為To Entities from WHOIS[IBM Watson]的Transform,即可獲取到該域名的注冊商信息,如圖4所示。
圖4 獲取的結果
(3)從圖4中可以看到,成功獲取到了域名baidu.com關聯的注冊商信息,包括組織名稱、注冊商的郵件地址、注冊人及注冊的電話號碼。例如,該域名注冊商公司為VeriSign;注冊者為Register.com、注冊者的電話號碼為+1 800333xxxx。
3. 獲取子域名及相關信息
每個域名都至少有一個子域名。通過獲取域名的子域名,可以發現目標關聯的其他主機信息。下面介紹獲取子域名信息的方法。
(1)在New Graph(1)圖表中選擇域名實體并右擊,將彈出所有可以使用的Transform列表,如圖5所示。
圖5 選擇Transform
(2)選擇名為[Z]Domain to Subdomains的Transform,即可獲取相關的子域名,如圖6所示。
圖6 獲取的結果
(3)從圖6中可以看到,成功獲取到了域名baidu.com的相關子域名,如pqdiox.www.baidu.com和cxrw.baidu.com等。從顯示的結果中可以看到,這里僅獲取到了幾個子域名,一些經常訪問的子域名沒有獲取到,如www.baidu.com、mp3.baidu.com等。如果想要獲取這些子域名信息的話,則可以把它們整理出來并手動添加進去,然后使用連接線建立實體之間的關系。例如,這里添加一個子域名www.baidu.com。首先在實體列表中選擇域名實體Domain并拖放到New Graph(1)圖表中,修改域名為www.baidu.com。然后使用連接線與域名baidu.com關聯起來。添加成功后,顯示界面如圖7所示。
圖7 添加了一個子域名
當我們獲取到子域名后,還可以通過該子域名來獲取相關的主機地址、歷史IP地址、關聯的惡意軟件的哈希值和對應的URL等。下面以子域名www.baidu.com為例,介紹獲取子域名相關信息的方法。
(1)在New Graph(1)圖表中選擇子域名實體www.baidu.com并右擊,將彈出所有可用的Transform列表,如圖8所示。
圖8 選擇Transform
(2)在其中選擇名為[Threat Miner]Domain to IP(pDNS)的Transform,即可獲取對相關的主機IP地址,如圖9所示。
圖9 獲取的結果
(3)從圖9中即可以看到獲取到子域名www.baidu.com的相關主機地址。我們還可以通過選擇[DNSDB]To records with this hostname的Transform,來獲取子域名相關的主機記錄,結果如圖10所示。
圖10 獲取的結果
(4)從圖10中可以看到子域名的相關主機記錄信息。其中,該子域名對應的IP地址有120.52.73.120、120.52.73.121等;別名為www.a.shifen.com。另外,如果想要獲取該子域名的URL、關聯的惡意軟件的哈希值、IP地址的話,可以通過選擇[Threat Miner]Domain to Samples和[Threat Miner]Domain to URI的Transform來獲取,具體步驟與前面操作類似,不再贅述。獲取結果如圖11所示。
圖11 獲取的結果
(5)從圖11中可以看到,成功獲取到了子域名(www.baidu.com)相關的惡意程序哈希值及對應的URL地址。
