Passivedns: investigar incidentes relacionados con ataques DNS

Los servidores de nombres de dominio (DNS) pueden contener varios tipos de vulnerabilidades que permiten a un usuario malintencionado redirigir a los visitantes de un sitio web a otro de terceros. Los ataques más comunes suelen ser envenenamiento de caché o ARP spoofing y suelen ser muy efectivos en caso de que el servidor DNS no esté parcheado o fortificado.

PassiveDNS es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

passivdns

PassiveDNS se puede utilizar como un sniffer de paquetes estándar de DNS para monitorizar el tráfico de red y para buscar en el historial y mostrar la primera vez que se ha consultado una URL y la IP contestada por el DNS.

Los logs se van a almacenar en passivedns.log. Esto será útil para el analista de seguridad y puede ser utilizado para crear el informe relacionado con el incidente.

FuenteHackplayers

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.