第十课 收集威胁情报数据源——域名(二)

admin 2024年5月14日22:33:18评论4 views字数 780阅读2分36秒阅读模式
01
自治系统

自治系统AS是BGP协议使用的用于标识一级ISP的编号,BGP协议通过AS编号对ISP之间的流量进行路由。

当我们需要确定两个IP地址是否属于同一个组织时,就可以依据两个IP地址所属的AS号来判断。当然,这也要看AS号对应的组织具体是什么。例如两个IP都属于一个全球一级ISP运营商,那我们得到两个IP都属于这个AS系统也并不能说明什么。而如果两个IP都属于一个相对较小的组织,IP地址与AS号的关联就显得更有意义些。比起Whois信息,AS号不会经常变动,这让AS号带来的关联数据相比Whois信息更加准确。

Ieam Cymru 是一个免费提供将 IP 地址解析为其相应 ASN 的组织网站。https://asn.cymru.com/。如下图所示,我们可以查询到前文提到的Putter Panda 恶意软件使用的 IP 地址 184.168.221.96对应的AS系统号:

第十课 收集威胁情报数据源——域名(二)

第十课 收集威胁情报数据源——域名(二)
02
被动DNS

被动DNS是一个被动收集DNS请求和响应信息并存储数据的DNS记录数据库。在威胁情报领域常用于分析域名与IP地址的历史解析关系,以用于对情报进行关联分析。

对于威胁分析人员来说,常用的被动DNS数据库可以参考前文内容中的微步威胁情报社区,但是新用户查询次数和内容都受到限制,因此这里推荐一些免费的被动DNS数据库:

Mnemonic https://passivedns.mnemonic.no/

RiskIQ Community (已被微软收购)

https://ti.defender.microsoft.com/search

第十课 收集威胁情报数据源——域名(二)
03
结语

这一课主要介绍了威胁情报的最基本形态(IP、域名、HASH等),如何关联威胁情报,以及从哪里获取这些情报的关联数据。请多多阅读后文的相关入侵案例和参考链接,以扩展思路。

第十课 收集威胁情报数据源——域名(二)

原文始发于微信公众号(Desync InfoSec):第十课 收集威胁情报数据源——域名(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日22:33:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第十课 收集威胁情报数据源——域名(二)https://cn-sec.com/archives/2064855.html

发表评论

匿名网友 填写信息