Одноразовые домены

интернет-разведка криминалистика спам НДВ анонимность
Одноразовые домены
Вы когда-нибудь встречали такие? Доменные имена, предназначенные для единственного запроса. Типа вот такого:
http://w9gpo0vw4kgmbacfph.fnn.ru/counter.gif
В большинстве случаев они предназначаются для деанонимизации пользователей. Или для маркетингового анализа, что то же самое.
       

Как вы знаете, перед тем как клиент (браузер) обратится по протоколу HTTP к серверу, со стороны клиента должен придти запрос по протоколу DNS. Запрос кешируется DNS-резолвером, но одноразовое доменное имя исключает кеширование. Запрос придёт обязательно. Пакеты по HTTP и DNS исходят от разных подсистем клиентского компьютера и поэтому могут идти различными путями. Их совокупность несёт гораздо больше информации о клиенте, чем каждый из них.

На этой разнице основаны некоторые методы деанонимизации. С этой разницей целенаправленно борются анонимайзеры.

Факт DNS-запроса может стать инструментом криминалиста. Например, для доказательства факта доступа клиента к серверу, если логи клиента не сохранились, можно проанализировать статистику провайдера. В этой статистике криминалист должен искать не только пакеты HTTP (tcp AND src-port>1024 AND dst-port=80) но также коррелированные с ними по времени пакеты DNS (udp AND (src-port>1024 OR src-port=53) AND dst-port=53). Если первые присутствуют, а вторые отсутствуют – надо искать объяснение. Если же первые отсутствуют, а вторые присутствуют – ситуация ещё интересней. Наличие одноразовых доменов в составе какого-либо веб-сайта делает упомянутую ситуацию намного более простой и прозрачной.

Со стороны владельца сервера или субъекта, прослушивающего трафик одноразовые домены – благо. Со стороны клиента – зло или, по меньшей мере, индикатор пристального внимания к посетителям сайта. Поэтому IDS, DLP, антиспамы, резалки рекламы и другие системы защиты должны блокировать, искажать или, как минимум, распознавать такие доменные имена.

Готовых технологий для этого распознавания ваш покорный слуга не нашёл. Но, очевидно, для установления факта, что доменное имя не придумано человеком, а сгенерировано компьютером на ходу, существует несколько методов. Например: анализ домена на "словарность", повторный запрос той же веб-страницы, запрос слегка изменённого домена, статистический анализ имени.

интернет-разведка криминалистика спам НДВ анонимность
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887

article-title

InfoWatch

Блог компании infowatch infowatch.livejournal.com