Tool: Passive DNS

Was ist Passive DNS?

Passive DNS ist ein System, DNS Anfragen anonymisiert in einer Datenbank abzuspeichern, sodass man zu einem späterem Zeitpunkt nachschauen kann, welchen Wert (IP Adresse) eine Domaine gehabt hat (bzw. umgekehrt, welchen Namen/Domaine auf einer IP Adresse liegen).

Passive DNS stellt somit eine Art DNS-Historie dar.

Das Konzept wurde von Florian Weimer (BFK) 2005 erfunden und zum ersten Mal bei der FIRST Konferenz 2005 vorgestellt.
CERT.at hat gemeinsam mit der UniWien/Projekte eine Passive DNS Datenbank implementiert und stellt diese ab Juni 2011 dem ACOnet Portal zur Verfügung.

Passive DNS eignet sich hervorragend, um bei Security Vorfällen nachzusehen, wie sich eine Domain im Laufe der Zeit entwickelt hat bzw. "was noch so alles auf einer IP Adresse läuft".

Die Passive DNS Daten werden anonymisiert erfasst. Die Betreiber des Services wissen somit zu keinem Zeitpunkt, welcher PC wann eine Domaine aufgelöst ("resolved") hat.
Per se sind DNS Daten öffentlich zugängliche Daten, da sie im öffentlichen globalen DNS System von jederman/-frau abgefragt werden können.

Erfahrungsberichte

Malwarebefall: War das verdächtige PDF wirklich schuld?

Am ZID / Uni Wien wurde am PC eines Kollegen ein Fake-Antivirus-Programm entdeckt, eine PDF-Datei wurde als Infektionsvektor verdächtigt. Im Labor konnte der Verdacht jedoch nicht bestätigt werden. Tags darauf kamen die Untersuchungen ins Stocken, weil die Domain, von der die PDF-Datei kam, gesperrt war. Mit Passive DNS konnten die Fragen geklärt werden.

Welche Domain verwendet dieses Botnet heute?

Bei der Untersuchung einer Masseninfektion an einem Institut ist aufgefallen, daß die beteiligten Rechner eine bestimmte Reihe von Domainnamen abgefragt haben. Um weitere infizierte Rechner zu schützen, sollen die betreffenden Domains gesperrt werden bzw. einen Alarm auslösen. Aber die Domainnamen ändern sich täglich, Reverse-Lookup ist nicht hilfreich, welche Domains verwendet die Malware heute?