Provide current and historical ownership information on domains / IPs. Identify all connections between domains, registrants, registrars, and DNS servers.
理解一个域名的基础架构始于了解它指向哪里,而其中需要检查的一项就是名称服务器——用于存储 DNS 记录并响应域名查询、将域名转换为 IP 地址的服务器。名称服务器是实现 DNS 解析的组成部分之一,由 NS 记录定义。
每个域名至少关联一个 NS 记录,因此,在调查与域名相关的问题时,NS 记录可以成为非常有价值的信息来源。例如,许多威胁行为者在其基于域名的攻击活动中倾向于使用相同的 DNS 配置。因此,在很多情况下,一组恶意域名会共享相同的 NS 记录。找到其中一个域名并查询其 NS 记录,就可以作为信号,用于识别同一威胁行为者使用的其他域名集群。
为了识别这些共享相同 DNS 委派模式的域名集群,你需要执行反向 NS 查询(reverse NS lookup)。本文将解释它是什么、如何工作以及如何执行。
WHOIS 与 DNS 名称服务器
在深入了解如何查找某个名称服务器上的所有域名之前,先区分名称服务器出现的两个位置:
WHOIS: 这是注册信息记录,显示域名在注册商处配置的名称服务器。
DNS: 这是实时配置,显示用于解析域名并引导流量的当前权威名称服务器。
本文将重点讨论 DNS 名称服务器。
什么是 Reverse NS?
反向 NS 查询允许你识别所有指向某个特定名称服务器的域名。
它与正向 NS 查询相反:正向查询是从域名出发查找其分配的名称服务器,而反向查询则是从名称服务器出发查找所有相关域名。
对于正向查询,你可以使用 DNS 查询工具或命令行工具(如 dig 或 nslookup)。但对于反向 NS 查询,你需要使用专门工具,例如 WhoisXML API 的 Reverse NS API,因为 DNS 本身并不提供查询某个名称服务器关联所有域名的原生方法。
如何查找某个名称服务器上的所有域名?
要查找与某个名称服务器相关联的所有域名,你需要通过接口(如 API 或查询工具)访问被动 DNS(pDNS)数据库。例如,使用 WhoisXML API 的 Reverse NS API,通过 curl 查询如下:
curl “https://reverse-ns.whoisxmlapi.com/api/v1?apiKey=YOUR_API_KEY&includeAdditionalChecks=1&ns=ns2.google.com”
该 API 会返回当前在数据库中使用该基础设施的域名。需要注意的是,返回的结果可能非常庞大。例如,上述查询中,ns2.google.com 关联着数千个域名。以下是返回结果的一部分示例:
{
“current_page”: “0”,
“size”: 300,
“result”: [
{
“name”: “0031300.com”,
“first_seen”: 1770752252,
“last_visit”: 1770845676,
“active”: true,
“wildcard”: false
},
{
“name”: “00hrf5vjtk.com”,
“first_seen”: 1696340706,
“last_visit”: 1772753141,
“active”: true,
“wildcard”: false
},
{
“name”: “01seifw7uv.com”,
“first_seen”: 1697545456,
“last_visit”: 1772399533,
“active”: true,
“wildcard”: false
}
]
}
Google 并不是特例。大型 DNS 提供商通常使用共享名称服务器,这可能返回数百万个域名,因此需要通过分页或筛选来管理结果。
Reverse NS API 提供哪些信息?
如上所示,Reverse NS API 查询结果可以提供多种技术细节:
- 关联域名(Associated domains):获取所有指向指定名称服务器的域名列表
- 首次发现时间(First seen timestamp):该 NS 记录首次出现在 pDNS 数据库中的时间(并不一定是其在名称服务器中实际添加的时间)
- 最近访问时间(Last visited timestamp):记录在 pDNS 数据库中的最近更新时间(通常会滞后于实际更新)
- 分页信息(Pagination metadata):用于处理大规模结果集
- 记录总数(Total records):查询返回的域名总数量
- DNS 记录存在性(Existence of DNS records):active 字段表示该域名是否存在 DNS 记录
- 通配符记录(Wildcard entry):wildcard 字段表示该记录是否属于通配符 DNS
可用于访问 Reverse NS 的工具
Reverse NS API(自动化)
适用于自动化工作流,可通过以下 GET 请求调用:
https://reverse-ns.whoisxmlapi.com/api/v1?apiKey=YOUR_API_KEY&ns=ns2.google.com
如果你已有 WhoisXML API 账户,可以在 “My Products” 页面获取 API key;否则可以注册并获得 500 个免费额度。详细使用方法可参考 Reverse NS API 文档。
Reverse NS Lookup(手动查询)
如果只需快速查询,可以使用可视化工具,输入名称服务器即可查看关联域名列表。
Domain Research Suite(DRS,用于调查)
适用于更高级的调查场景,支持在反向 NS 查询基础上继续进行 WHOIS、WHOIS 历史记录和 IP 记录等关联分析。
被动 DNS 数据库(大规模项目)
如果你正在构建安全解决方案并需要包括反向 NS 在内的全面 DNS 数据,可以使用 WhoisXML API 的 DNS 数据库下载服务,获取更完整的数据集。