為什么說被動 DNS 很重要

被動DNS（PassiveDNS）是一個存儲有公共DNS通信中涉及到的所有域名、服務器和IP地址相關的所有歷史記錄的安全數據庫，將實時DNS結果轉化為被動DNS數據，以供分析使用。若沒有被動DNS的引入，一旦DNS記錄發生變更，經過一段很短時間的傳播，原有DNS記錄將在網絡上消失的無影無蹤。

被動DNS重要是由于DNS是一個明文協議，故此在網絡犯罪調查期間，被動DNS的引用可以幫助安全團隊做必要的威脅檢測，這些數據點具有極高的價值。同樣，在威脅情報領域，被動DNS數據也被視作一類非常重要的數據來源，如對新注冊域名的關注，對DNS變更及DNS錯誤信息的監控與比對，另外，在一個域名被識別為惡意或可疑后，通過被動DNS歷史記錄，可以方便快速的幫助調查人員找到最初攻擊發生時的證據。

使用被動DNS的7大理由

• 檢測網絡釣魚域名、緩解垃圾郵件干擾

  被動DNS傳感器可以實時監測到最新出現的域名（NOD，Newly Observed Domain），這一特性至關重要，因為全新的域名通常與惡意活動的關聯程度非常高，在被短暫用于網絡釣魚或垃圾郵件發送后即被丟棄。所以，對新域名阻斷一段時間是被證實為有效且成本最低的方法。

• 識別惡意域名

  通常情況下，正常合法域名并不會經常變更其地址、名稱服務器等信息。而通過被動DNS數據庫，可以有效識別出企圖通過速變（fast-flux）等技術來隱藏其惡意活動的這些域名。

• 威脅情報

  當某IP地址、域名或名稱服務器被標記為惡意時，可以通過被動DNS輕松識別哪些域名映射到該IP地址、哪些域名托管在該名稱服務器或哪些IP曾經與該惡意域名相關聯，進而能夠找到入侵或攻擊最初發生時的有效證據。

• 檢測域名劫持

  被動DNS數據庫，可以幾乎實時的對類似緩存投毒等域名劫持行為進行發現。通過對被動DNS數據庫的定期查詢，能夠讓管理員了解主要域名所映射的地址信息，如果發現與常規映射有任何偏差，則極有可能表示一場針對您企業的攻擊行動已經發生。

• 品牌保護

  通過對某一品牌關鍵字進行模糊匹配查詢，可以找出與您企業名稱或注冊商標名稱類似而沒有經過任何授權的域名，特別是仿冒域名往往會出現在新注冊域名（NOD）中，通過及時發現，通報，關停未授權域名，可以及時消除由此產生的品牌負面影響，降低企業用戶數據被釣魚的安全風險。

• 域名DNS歷史記錄查詢

  利用被動DNS主要目的之一是讓分析人員有能力訪問DNS歷史記錄以供分析使用。比如，通過DNSDB API，您可以分析歷史DNS記錄，檢查新記錄，比較差異，洞察可能的攻擊向量等。另外，在管理員想要恢復DNS服務器中不管出于什么原因而被刪除、修改過的DNS記錄時，被動DNS數據庫也顯得尤為重要。

• 探索子域名

  你有沒有想過baidu.com或taobao.com有多少子域名？使用被動DNS數據庫，您可以瀏覽世界上任何域名的子域名。通過對每個子域名的探索，你可能會發現與網站開發、測試等相關內容，有些易受攻擊區域往往存于其中，不懷好意的惡意攻擊者可以利用這些信息對您發起攻擊，所以，這也是為什么一定要將子域納入DNS審計的一個重要原因。

回答所涉及的環境：聯想天逸510S、Windows 10。