PASSIVE DNS ou l’art de logger le DNS

Comment retrouver quel était l’ip utilisée par le record www.badbadserver.com le 24 décembre d’il y a 2 ans, cet IP correspond t’elle au point d’exfiltration www.re-badserver.com vu ce matin ? Une seule réponse; le DNS Passif, alias PDNS.

Passive DNS c’est juste un logging des records DNS ainsi que leur réponses associée, le tout mis en base et consultables. Certaines implémentations vont jusqu’a logger le whois complet, c’est toujours plus rigolo pour retrouver avec leur IP toute une liste de domaines de margoulins.

Pour les plus curieux sur les uses cases, je vous conseille le PDF de Rod Rasmussen.

http://conferences.npl.co.uk/satin/presentations/satin2011slides-Rasmussen.pdf

Malheureusement, il faut bien avouer que chacun y va de son implémentation et que c’est assez la foire pour l’instant. (Et ca fait une paire d’année que cela dure.)

Coté tools, il y avait avant le tools pdns.rb qui était même disponible dans les repository Debian. Ce tools avait l’avantage de pouvoir consulter plusieurs base de données (Uniquement deux db étaient libres). Malheureusement celui ci à disparu. Il ne reste donc plus que deux sources exploitable pour les quidams que nous sommes.

L’interface Web de bfk.de

http://www.bfk.de/bfk_dnslogger.html

et surtout le whois du cert.ee (Merci l’estonie !)

Petit tuto pour l’Estonie… Quels ont été les ips de www.perdu.com

thanatos@cyanide:~/tools/passive-dns-query-tool-1.0.0$ whois -h sim.cert.ee www.perdu.com
www.perdu.com   173.236.190.252 2010-12-19 15:49:33     2010-12-19 15:49:33
www.perdu.com   208.97.189.107  2010-07-30 11:39:41     2010-08-10 11:51:16
www.perdu.com   82.165.176.145  2009-12-14 16:07:44     2009-12-14 16:07:44

Et maintentant quels sont les hosts qui on partagé cette même IP et quand.

thanatos@cyanide:~/tools/passive-dns-query-tool-1.0.0$ whois -h sim.cert.ee 173.236.190.252
www.perdu.com   173.236.190.252 2010-12-19 15:49:33     2010-12-19 15:49:33
www.hacker.org  173.236.190.252 2011-01-06 14:13:46     2012-07-18 16:02:07
perdu.com       173.236.190.252 2011-03-25 09:25:39     2011-03-25 09:25:39
cadgeek.com     173.236.190.252 2012-07-20 11:04:33     2012-07-20 11:04:33

Et encore plus fort, quels sont les hosts qui partagent le range /29 de cette IP.

thanatos@cyanide:~/tools/passive-dns-query-tool-1.0.0$ whois -h sim.cert.ee 173.236.190.248/29
www.welie.com   173.236.190.249 2010-12-02 10:23:34     2012-08-23 12:56:37
www.uncoltuitatdelume.net       173.236.190.253 2011-02-23 14:53:39     2011-02-28 13:06:27
www.perdu.com   173.236.190.252 2010-12-19 15:49:33     2010-12-19 15:49:33
www.networkfoo.org      173.236.190.254 2010-11-17 18:35:09     2012-08-27 10:31:46
www.luchafemeninaymixta.com     173.236.190.251 2011-03-11 14:10:45     2011-03-11 14:10:45
www.indiecater.com      173.236.190.251 2010-11-17 09:47:22     2012-08-16 15:33:26
www.hacker.org  173.236.190.252 2011-01-06 14:13:46     2012-07-18 16:02:07
www.allods.gipat.ru     173.236.190.255 2011-02-18 09:19:37     2011-03-15 15:31:07
www.akcentonline.com    173.236.190.255 2010-11-27 11:41:04     2011-05-03 10:08:15
www.adriansina.com      173.236.190.255 2011-01-31 23:19:12     2012-08-22 14:35:50
welie.com       173.236.190.249 2011-01-04 12:45:31     2012-06-11 11:16:32
uznaykak.info   173.236.190.254 2012-06-15 13:48:04     2012-06-15 13:48:04
perdu.com       173.236.190.252 2011-03-25 09:25:39     2011-03-25 09:25:39
networkfoo.org  173.236.190.254 2011-03-25 17:10:26     2011-04-07 15:17:34
macournoyer.com 173.236.190.249 2011-01-22 17:43:54     2012-06-12 12:51:35
images.carthain.com     173.236.190.250 2012-06-14 09:46:32     2012-06-14 09:46:32
ieatgrains.com  173.236.190.251 2011-02-16 15:14:49     2011-02-16 15:14:49
eightbar.co.uk  173.236.190.251 2010-12-14 17:08:13     2012-06-25 15:39:12
createyourproglang.com  173.236.190.249 2010-12-22 12:22:58     2011-01-22 17:43:52
courtenaybrown.com      173.236.190.253 2011-01-04 14:51:26     2011-01-04 14:51:26
code.macournoyer.com    173.236.190.249 2011-03-29 11:35:37     2012-08-16 10:41:53
codedinc.com    173.236.190.250 2012-06-20 12:29:43     2012-06-20 12:29:43
codedinc.com    173.236.190.249 2012-06-20 12:29:43     2012-06-20 12:29:43
cadgeek.com     173.236.190.252 2012-07-20 11:04:33     2012-07-20 11:04:33
bencollins.org  173.236.190.253 2010-11-17 16:11:03     2011-03-11 15:53:04
akcentonline.com        173.236.190.255 2011-03-01 16:57:24     2011-03-01 17:00:25

Pour ceux qui veulent mettre en place un pdns chez eux , je vous conseille l’implementation du Cert Luxembourgeois, une des plus complète sur le marché :)

https://github.com/GOVCERT-LU/gclu_pdns

A+

This entry was posted in Malware, Network and tagged , . Bookmark the permalink.

2 Responses to PASSIVE DNS ou l’art de logger le DNS

  1. mcel says:

    hello,

    il est mort le whois du cert estonien ?

  2. gaetan says:

    Super article monsieur Thanatos et numero 2 dans ma recherché google. Bien joue.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code