探索网络安全的新工具:PassiveDNS

最新推荐文章于 2024-06-17 15:49:30 发布
最新推荐文章于 2024-06-17 15:49:30 发布
阅读量320 收藏 7
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00064/article/details/138600021
版权

探索网络安全的新工具:PassiveDNS

项目简介

PassiveDNS 是一个强大的工具,它能够被动地收集网络上的DNS记录,用于安全事件响应、网络安全监控以及一般的数字取证工作。通过监听接口或读取pcap文件,PassiveDNS将DNS服务器的回答记录到日志文件中,帮助分析师快速洞察网络活动的细节。

项目技术分析

PassiveDNS 支持IPv4和IPv6环境,解析TCP和UDP协议上的DNS流量。它的核心功能包括:

  • 数据收集:在不干扰网络正常运行的情况下,从网络接口捕获DNS查询和响应。
  • 数据聚合:在内存中缓存和汇总重复的DNS答案,减少日志文件的大小而不丢失关键信息。
  • 高效记录:输出的记录格式简洁明了,便于分析,包括时间戳、客户端IP、服务器IP、资源记录类、查询类型、回答、生存时间和出现次数等。

应用场景

PassiveDNS 可以广泛应用于以下几个方面:

  1. 事件响应:当面临恶意活动时,可以通过查询特定域名或IP的历史记录,追溯感染源,识别早期被感染的设备。
  2. 误报排查:如果发现可疑IP上的异常流量,PassiveDNS可以帮助确定该IP是否托管了许多合法网站,从而避免因误报而引起的过度警觉。
  3. 威胁情报:持续监控动态变化的恶意域名子集,及时发出预警,并对新出现的顶级域进行whois分析,找出潜在风险。

项目特点

PassiveDNS 的亮点在于:

  1. 实时监控:无论是在线监听还是离线分析pcap文件,都能提供实时的DNS解析记录。
  2. 节省资源:通过内存中的数据聚合,降低存储需求,提高效率。
  3. 直观结果:输出的数据结构清晰,方便用脚本或工具进一步处理和分析。
  4. 多协议支持:全面覆盖IPv4和IPv6的TCP与UDP DNS流量,确保全面监控。

PassiveDNS 不仅仅是一个工具,更是一种方法,它可以成为你应对网络安全挑战的得力助手。无论你是经验丰富的安全专家,还是初涉此领域的学习者,PassiveDNS都值得你尝试并加入你的工具箱。让我们一起,用PassiveDNS揭示网络世界的隐藏面,提升我们的防御策略。

施刚爽
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络安全方向相关课题和材料
学-> 思->用
10-30 1150
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更这个项目,欢迎Star。
DNS记录收集工具PassiveDNS.zip
07-17
PassiveDNS 能够以被动方式收集DNS记录,从而实现事故处理辅助、网络安全监控以及数字取证等功能。该软件能够通过配置读取pcap(即数据包捕捉)文件并将DNS数据输出为日志文件或者提取来自特定接口的数据流量。 这款工具能够作用于IPv4与IPv6流量、在TCP与UDP基础上实现流量解析并通过缓存内存内DNS数据副本的方式在限制记录数据量的同时避免给取证工作带来任何负面影响。 标签:PassiveDNS
Passive DNS
weixin_34306446的博客
06-24 407
http://blog.csdn.net/cnbird2008/article/details/17250707 http://netsecurity.51cto.com/art/201510/494453.htm http://www.2cto.com/Article/201605/507727.html http://os.51cto.com/art/201409/450682.htm
如何利用被动DNSPassive DNS)加强网络安全
最新发布
2401_84466223的博客
06-17 1324
被动DNS是由Florian Weimer于2004年发明的,用于对抗恶意软件。基本上,递归名称服务器将它们从其他名称服务器接收到的响应记录下来,并将记录的数据复制到一个中央数据库。那么记录的数据会是什么样子呢?好吧,回想一下递归名称服务器的运作方式。在被查询时,它们会检查它们的缓存和权威数据以获取答案,如果答案不存在,它们会从一个根名称服务器查询并遵循引荐,直到找到知道答案的权威名称服务器,然后查询其中一个权威名称服务器以检索答案。它看起来像这样:递归名称服务器。
Passive DNS 被动DNS
FY_2018的博客
12-14 1028
https://archive.farsightsecurity.com/Passive_DNS_Sensor/ https://archive.farsightsecurity.com/Passive_DNS/passive_dns_hardening_handout.pdf https://api.dnsdb.info/ http://www.iseclab.org/papers/bilge-ndss11.pdf https://kb.isc.org/article/AA-00535/119/O
被动DNS
cnbird's blog
09-04 1922
dnstap.info dnsdb.info api.dnsdb.info github.com/farsightsec dnsrpz.info
网络安全网络安全工具大合集_remnux部署
2301_79985178的博客
05-04 644
Google开发的内存分析框架.– 提取易失性内存(RAM)中的样本.– 允许你从安卓手机中提取短信记录,通话记录,照片,浏览历史,以及密码。–一个网络取证分析框架.–一个网络嗅探工具能够记录所有的DNS响应和被动DNS– 十六进制编辑工具, 能够修改任意大小的硬盘二进制数据,内存,文件句柄– 一个已知漏洞数据库的集合支持CVEs的扩展信息。– 提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。
网络安全学习中的工具
gugonggugong的博客
12-06 3140
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
网络安全工具大合集
dengliang7440的博客
03-29 2977
导语:这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更。这里有一份很棒的黑客工具列表可以提供给黑客,渗透测试人员,安全研究人员。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更。你可以通过以下命令检查所有的工具:git clone --recursi...
探索Linux:从零开始,成为Linux大神的终极指南(四)
凛鼕将至的博客
05-06 844
Linux已经成为了世界上最广泛使用的操作系统之一,被用于各种设备和应用场景,从个人电脑到服务器、超级计算机、嵌入式系统和物联网设备等。其开源的精神和强大的性能使得Linux在技术社区中持续发展,并成为了创和进步的推动力。本文将跟随《探索Linux:从零开始,成为Linux大神的终极指南(三)》的进度,继续介绍Linux。
PassiveDNS:一个实现被动DNS的简单python脚本
05-19
被动DNS 一个实现被动DNS的简单python脚本
balboa:用于索引和查询被动DNS观察的服务器
02-02
:bookmark_tabs: 巴尔博亚 balboa是基本的小答案书。 它使用收集中的观察并为其建立索引,并提供接口来访问观察数据库的聚合内容。 我们构建了balboa来处理从收集的元数据中聚合的被动DNS数据。 该API应该适合集成到现有的多源可观察的集成框架中。 使用GraphQL API(请参见下文)或与兼容的REST API,可以在与兼容的模式中产生结果。 balboa软件... 快速查询和输入/更 使用可插入后端(可能在单独的计算机上)实现存储 支持跟踪并专门查询多个传感器 利用多个核心进行查询和提取 同时接受来自多个来源的输入 HTTP(开机自检) AMQP Unix套接字 网络套接字(仅NMSG格式) 可以根据各种属性标记和过滤观察结果 可以基于匹配的选择器将观察结果存储到一个或多个后端 接受各种输入格式 基于JSON (通过Logstash) 平面文字档EdwardFjellskål的表格格式(默认顺序-f SMcsCQTAtn ) 二元通过网络套接字的 Security 建筑与安装 $ go get github.com/DCSO/balbo
被动dns客户端:被动dns客户端提供了一个库和一个查询工具,用于查询几个被动DNS提供程序
02-01
被动DNS ::客户端 该rubygem查询以下被动DNS数据库: 循环 DNSDB(远景) 被动总 RiskIQ 病毒总数 被动DNS是一种通过记录其他人的查询答案来进行IP到主机名映射的技术。 其中包含一个工具pdnstool,它包装了您需要的许多功能。 请注意,任何被动DNS数据库的使用均受该被动DNS数据库使用条款的约束。 强烈建议不要使用违反其规定的脚本。 另外,请不要添加任何混淆以尝试解决他们的服务条款。 如果您需要特殊服务,请向提供者寻求帮助/许可。 记住,这些被动DNS运营商是我的朋友。 我不想和他们吵架,因为有些混蛋使用了这个库来滥用他们。 如果您喜欢此库,请购买一瓶啤酒。 安装 将此行添加到您的应用程序的Gemfile中: gem 'passivedns-client' 然后执行: $ bundle 或自己安装为: $ gem install passivedns-client 组态 从2.0.0版开始,被动DNS提供程序的所有配置密钥都在一个配置文件中。 默认情况下,文件的位置为$ HOME / .passivedns-client。 该文件的语
passivedns 安装指南
weixin_30457551的博客
05-11 282
install passivedns on ubuntu Passive DNS对安全研究非常重要,因为它可以在前期帮助我们构建出目标的基础设施结构,并且可以得到以下三方面的答案:该域名曾经绑定过哪些IP这个IP有没有其他的域名该域名最早/最晚什么时候出现Passive DNS同时也在SOC的时候起到很大的帮助。通过识别的恶意域名,可以找到其他被恶意破坏的机器。目前有很多网站允许我们访问它的 P...
被动DNS与主动DNS结合的安全利器IPBUF
SONBYN
06-19 2286
被动DNS与主动DNS结合的安全利器IPBUF
网络渗透资料大全单——工具篇(上)
Y525698136的博客
06-16 233
网络渗透资料大全单——工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

施刚爽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值