PASSIVE DNS ou l’art de logger le DNS

Comment retrouver quel était l’ip utilisée par le record www.badbadserver.com le 24 décembre d’il y a 2 ans, cet IP correspond t’elle au point d’exfiltration www.re-badserver.com vu ce matin ? Une seule réponse; le DNS Passif, alias PDNS.

Passive DNS c’est juste un logging des records DNS ainsi que leur réponses associée, le tout mis en base et consultables. Certaines implémentations vont jusqu’a logger le whois complet, c’est toujours plus rigolo pour retrouver avec leur IP toute une liste de domaines de margoulins.

Pour les plus curieux sur les uses cases, je vous conseille le PDF de Rod Rasmussen.

http://conferences.npl.co.uk/satin/presentations/satin2011slides-Rasmussen.pdf

Malheureusement, il faut bien avouer que chacun y va de son implémentation et que c’est assez la foire pour l’instant. (Et ca fait une paire d’année que cela dure.)

Coté tools, il y avait avant le tools pdns.rb qui était même disponible dans les repository Debian. Ce tools avait l’avantage de pouvoir consulter plusieurs base de données (Uniquement deux db étaient libres). Malheureusement celui ci à disparu. Il ne reste donc plus que deux sources exploitable pour les quidams que nous sommes.

L’interface Web de bfk.de

http://www.bfk.de/bfk_dnslogger.html

et surtout le whois du cert.ee (Merci l’estonie !)

Petit tuto pour l’Estonie… Quels ont été les ips de www.perdu.com

Et maintentant quels sont les hosts qui on partagé cette même IP et quand.

Et encore plus fort, quels sont les hosts qui partagent le range /29 de cette IP.

Pour ceux qui veulent mettre en place un pdns chez eux , je vous conseille l’implementation du Cert Luxembourgeois, une des plus complète sur le marché :)

https://github.com/GOVCERT-LU/gclu_pdns

A+

This entry was posted in Malware, Network and tagged , . Bookmark the permalink.

2 Responses to PASSIVE DNS ou l’art de logger le DNS

  1. mcel says:

    hello,

    il est mort le whois du cert estonien ?

  2. gaetan says:

    Super article monsieur Thanatos et numero 2 dans ma recherché google. Bien joue.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code