DNS 历史记录解决方案可提升互联网透明度和网络安全性

实际应用

• DNS 资产揭露

  通过发现用于特定 Web 应用程序和服务的关联或隐藏域名和子域名，从而保持资产清单的最新状态。

• 威胁监测

  识别不寻常的 DNS 解析模式，这些模式可能表明存在僵尸网络活动或用于托管或传播恶意软件的被攻陷的基础设施。

• 威胁行为者监测

  对已知威胁行为者相关的 DNS 解析、可能为恶意活动的模式或异常保持警惕。

• 品牌保护

  监测DNS记录变化，以检测域名劫持尝试，并评估相关域名如何影响品牌声誉。

• 第三方风险评分

  使用 DNS 数据来跟踪域名配置变化，识别相关联的基础设施，监测与供应商和其他第三方相关的可疑活动。

• 欺诈监测

  通过分析 DNS 模式、域名所有权变更以及与恶意服务器的先前关联来揭露欺诈行为。

常见问题

DNS 记录是什么？

DNS 记录是存储在域名系统 (DNS) 中的数据记录，可将域名映射到特定资源，例如 IP 地址、邮件服务器或其他服务。DNS 服务器解析这些记录可引导互联网流量并管理与域名相关的服务。常见的 DNS 记录类型包括：

• A 记录：将域映名射到 IPv4 地址。
• AAAA 记录：将域名映射到 IPv6 地址。
• MX 记录：指定用于电子邮件传递的邮件服务器。
• NS 记录：列出域名的权威名称服务器。
• TXT 记录：存储基于文本的信息，通常用于域名所有权验证（例如 SPF、DKIM 或 DMARC 设置）或其他元数据。例如，验证网站所有权使用谷歌搜索Console 需要将某个 TXT 记录添加到域名的主机记录列表中。
• CNAME 记录：将别名或子域名映射到另一个域名。例如，它可以将 blog.example.com 重新定向到 www.example.com。
• SOA 记录（开始授权机构）：包含有关域名的管理信息，例如主名称服务器、域名管理员的联系电子邮件以及 DNS 区域的版本号。
• PTR 记录（指针）：将 IP 地址解析为域名，常用于反向 DNS 查找。

如需获取有关域名的当前 DNS 记录的信息，可使用我们的DNS 查询工具或DNS 查询 API 。

域名的 DNS 历史是什么？

域名的 DNS 历史记录是过去的DNS配置列表，包括 IP 地址、域名服务器、邮件服务器和其他 DNS 记录随时间的变化。它能够洞悉域名基础设施的演变历程，并揭示所有权变更、迁移或潜在的滥用情况。

与大量 WHOIS 数据不同，DNS 数据不会因隐私而被编辑，因此历史 DNS 记录对于网络安全来讲是非常有用的。

域名系统并非为追踪历史记录而设计的，由于它们拥有巨大的价值，独立供应商自然而然就开始创建和维护 DNS 历史记录数据。

用户可从 DNS 历史记录中获取哪些数据？

域名的 DNS 历史记录通常包括以下详细信息：

• 历史 A 记录： IPv4 地址映射的变更。
• 历史 AAAA 记录： IPv6 地址映射的变更。
• 历史 MX 记录：邮件服务器配置的变更。
• 历史 NS 记录：权威名称服务器的更新。
• 历史 TXT 记录：过去基于文本的信息，通常与验证或安全有关。
• 历史 CNAME 记录：对子域名的别名或重新定向的更改。
• 历史 SOA 记录：管理详细信息的更新，例如主要名称服务器或区域版本。
• 历史 PTR 记录： IP 地址到域名的历史映射，用于反向 DNS 查询。
• 带时间戳的更改和更新：显示每条记录新增、删除或更新的时间线。

此信息提供了域名的 DNS 活跃的详细时间线，有助于发现模式、基础设施变化、与恶意行为者的潜在联系等。

以下是使用我们的历史 DNS 查询工具查找到的 example.com 的示例，该工具可提取历史 IP 到域名或域名到 IP 的信息：

历史 DNS 数据有哪些用途？

历史 DNS 数据在网络安全、威胁情报和资产管理领域有着广泛的实际应用，可用作：

• 将 DNS背景信息添加到 SIEM、SOAR 和 TIP 平台：使用 DNS 情报丰富安全系统，以便更好地做出决策。
• 加速威胁监测和响应：识别与恶意活动相关的异常 DNS 变化或模式。
• 扩大资产发现和漏洞管理：通过 DNS 记录定位未管理或被遗忘的域名、子域名和相关资产。
• 识别悬空的 DNS 记录和不安全的子域名：监测可能导致数据泄露或被利用的错误配置。
• 扩大威胁情报收集：分析历史 DNS 记录，发现域名与已知威胁行为者基础设施之间的关联性。
• 监测可疑或恶意域名的 DNS 基础设施的变化：随时了解可能预示新威胁的变化更新。
• 运行 SaaS 服务发现分析：使用DNS 记录和子域名的线索识别链接到域名的服务和平台。

这些功能让历史 DNS 数据成为改善安全态势和深入了解域名活动及相关风险的非常价值的资源。

如何查看DNS历史记录？

查看 DNS 历史记录：

• 使用历史 DNS 查询工具，例如我们的DNS 大事记查询。
• 输入您想调查的域名。
• 查看 DNS 记录的历史数据，包括随时间推移的更改和更新。

或者，您可以参考 WhoisXMLAPI 的DNS 数据库下载服务，或使用DNS大事记 API 。这些数据传输模型提供详细且带有时间戳的 DNS 记录，当您需要自动请求获取历史 DNS 记录时非常有用。

如何使用 DNS 历史记录进行安全威胁监测？

DNS 历史记录可以帮助识别可疑活动或模式，例如：

• 名称服务器或 IP 地址的突然改变可能表明域名被重新用于网络钓鱼或恶意软件活动。
• A 或 AAAA DNS 记录的快速变化——一种称为快速通量的技术，有助于逃避传统的监测方法，这通常是恶意活动的一种指标。
• 具有指向已知恶意基础设施的记录的域名（基于威胁情报提供的 IoC）。

通过分析 DNS 历史记录，安全团队可以主动监测并应对潜在威胁。

如何使用 DNS 历史记录进行威胁行为者监测？

DNS 历史记录可以通过以下方式揭示域名和威胁行为者之间的联系：

• 跟踪特定 IP 地址或名称服务器的重复使用以及与已知攻击者相关的 DNS 记录更改中的其他模式。
• 通过 DNS 模式揭示更多威胁行为者的基础设施，并了解有关方法和活动的新细节。
• 监测威胁行为者基础设施迁移并主动识别尚未使用的基础设施。

这有助于网络安全提供商密切关注威胁行为者的不断变化的策略和基础设施。

如何使用 DNS 历史记录进行欺诈监测？

DNS 历史记录可通过以下方式监测欺诈行为：

• 与网络钓鱼或诈骗活动一致的记录变化，例如 IP 地址（A 和 AAAA 记录）或名称服务器的快速切换。
• 使用具有较低 TTL 值的一次性或可疑 DNS 记录，或缺少通常应该存在的合法 MX 记录。
• 将欺诈域名与已知恶意网络（例如通用名称服务器、IP 地址和注册商）联系起来的历史数据。

这些将有助于调查人员追踪和减轻欺诈计划。

如何使用 DNS 历史记录进行资产发现？

DNS 历史记录提供了域名活动的全面视图，可以：

• 识别与机构相关的域名或子域名，如果域名到期或转移后无人监管或被他人恶意使用，可能会带来风险。
• 重点关注被遗忘或未监控的数字资产，例如旧的子域名或备份域名，这些资产可能仍然可以公开访问，如果没有得到适当的保护，它们可以成为攻击者的切入点。
• 发现 DNS 问题，例如配置错误的 DNS 记录，这些问题可能会暴露敏感数据，例如内部服务、敏感 IP 地址或云资源。

利用 DNS 历史记录，机构可以提高其数字资产的可见性和安全性。

如何使用 DNS 历史记录进行品牌保护？

DNS 历史记录可监测以下内容，支持品牌保护：

• 冒充机构品牌的域名抢注行为，其 IP 地址发生可疑变化，或反复使用与钓鱼活动相关的域名服务器。此类变化可能表明域名所有者存在恶意。
• 潜在的恶意流量可能预示着网站篡改企图。网站应用防火墙 (WAF) 可以阻止来自已知恶意 IP 地址且正在请求访问网站的此类流量。
• 与机构自身基础设施相关联的可疑子域名可能预示着子域名接管。

我们建议将 DNS 历史记录与预测性威胁情报源结合使用，可在品牌保护工作中取得更佳效果并增强关联性。阅读我们的博客，了解更多关于如何利用 DNS 历史记录预防品牌攻击的信息。