神兵利器

dnstwist - 用于检测网络钓鱼、间谍活动的域名排列引擎

字号+ 作者:黑白之道 来源:转载 2018-07-25 15:07 我要评论( )

dnstwist 是一款基于Python的工具,可以帮助您了解用户尝试键入域名时可能遇到的问题。它可以找到对手可以用来攻击你的类似外观的域名。它还可以检测域名仿冒,网......

dnstwist - 用于检测网络钓鱼、间谍活动的域名排列引擎
  dnstwist是一款基于Python的工具,可以帮助您了解用户尝试键入域名时可能遇到的问题。它可以找到对手可以用来攻击你的类似外观的域名。它还可以检测域名仿冒,网络钓鱼攻击,欺诈和企业间谍活动。
 
  它作为目标威胁情报的额外来源非常有用。
 
  这个想法非常简单:dnstwist将您的域名作为种子,生成一个潜在的钓鱼域列表,然后检查它们是否被注册。此外,它还可以测试MX记录中的邮件服务器是否可用于拦截错误的公司电子邮件,并且可以生成网页的模糊散列,以查看它们是否为活钓鱼网站。
 
  注意:随着域的长度,算法生成的变体数量也大大增加,因此需要验证DNS查询的次数。例如,要检查google.com的所有变体,您必须发送超过30万个查询。对于域名facebook.com,该数字增加到超过500万。猜测它有多容易需要大量资源,最重要的是需要更多时间。对于更长的域来检查所有是不可能的。出于这个原因,这个工具生成和检查非常接近原始域。从理论上讲,这些是攻击者的观点中最有吸引力的领域。但是,请注意,侵略者的想象力是无限的。
 
  特征:
 
  广泛的高效域模糊算法
 
  Unicode域名(IDN)
 
  多线程工作分配
 
  查询A,AAAA,NS和MX记录
 
  使用模糊散列来评估网页相似性,以查找活钓鱼网站
 
  测试MX主机(邮件服务器)是否可用于拦截错误的电子邮件
 
  使用字典文件的其他域变体
 
  GeoIP位置信息
 
  抓取HTTP和SMTP服务横幅
 
  WHOIS查找创建和修改日期
 
  以CSV和JSON格式输出
 
  要求:
 
  Linux
 
  UbuntuLinux是主要的开发平台。如果运行Ubuntu15.04或更新版本,可以像这样安装依赖项:
 
  $sudoapt-getinstallpython-dnspythonpython-geoippython-whois\python-requestspython-ssdeeppython-cffi或者,您可以使用Python工具。这可以在虚拟环境中完成,以避免与其他安装冲突。但是,您仍然需要在系统级安装一对库。
 
  $sudoapt-getinstalllibgeoip-devlibffi-dev$BUILD_LIB=1pipinstall-rrequirements.txt
 
  OSX
 
  如果你在Mac上,你可以像这样通过Homebrew安装dnstwist:
 
  $brewinstalldnstwist
 
  这将仅将dnstwist.py安装为dnstwist,以及上述所有要求。用法相同您可以省略文件扩展名,并将二进制文件添加到PATH中。
 
  搬运工人
 
  如果您使用Docker,则可以从DockerHub中提取正式映像并运行它:
 
  $dockerpullelceef/dnstwist$dockerrunelceef/dnstwistexample.com
 
  如何使用dnstwist首先,只输入域名作为参数是一个好主意。该工具将通过其模糊算法运行该工具,并使用以下DNS记录生成潜在网页仿冒域列表:A,AAAA,NS和MX。
 
  $dnstwist.pyexample.com
 
  通常生成的域列表有超过一百行-尤其是对于较长的域名。在这种情况下,使用--registered参数仅显示已注册的(可解析的)可能是可行的
 
  $dnstwist.py-注册example.com
 
  根据提供钓鱼网站手动检查每个域名可能非常耗时。为了解决这个问题,dnstwist利用了所谓的模糊哈希(上下文触发的分段哈希)。模糊哈希是一个概念,它涉及比较两个输入(在本例中为HTML代码)并确定基本相似度的能力。可以使用--ssdeep参数启用dnstwist的这一独特功能。对于每个生成的域,dnstwist将从响应的HTTP服务器获取内容(在可能的重定向之后),并将其模糊散列与原始(初始)域的模糊散列进行比较。相似度将以百分比表示。请记住,动态生成的网页不太可能100%匹配,但应仔细检查每个通知,而不管百分比级别如何。
 
  $dnstwist.py--ssdeepexample.com
 
  在某些情况下,钓鱼网站是从特定网址提供的。如果您提供全部或部分URL地址作为参数,则dnstwist将解析该地址并申请每个生成的域名变体。这种能力显然仅在与模糊散列特性结合时才有用。
 
  $dnstwist.py--ssdeephttps://example.com/owa/$dnstwist.py--ssdeepexample.com/crm/login
 
  攻击者经常在钓鱼网站上设置电子邮件蜜罐,并等待错误的电子邮件到达。在这种情况下,攻击者会配置他们的服务器来清空发往该域的所有电子邮件,而不管其发送给哪个用户。另一个dnstwist功能允许在每个邮件服务器上执行一个简单的测试(通过DNSMX记录进行广告),以便检查哪一个可用于这种敌对意图。可疑服务器将标有SPYING-MX字符串。
 
  请注意可能的误报。某些邮件服务器只会假装接受错误处理的电子邮件,但会丢弃这些邮件。该技术用于防止目录收集攻击。
 
  $dnstwist.py--mxcheckexample.com
 
  并非总是由模糊算法生成的域名就足够了。要生成更多的域名变体,请用dnstwist提供一个字典文件。其中包括一些词典样本,其中包含用于目标网上诱骗活动的最常用词汇列表。随意适应它,以满足您的需求。
 
  $dnstwist.py-词典词典/english.dictexample.com
 
  除了默认的漂亮而丰富多彩的文本终端输出之外,该工具还提供了两种众所周知且易于解析的输出格式:CSV和JSON。用它来进行数据交换。
 
  $dnstwist.py--csvexample.com>out.csv$dnstwist.py--jsonexample.com>out.json
 
  该工具随附内置的GeoIP数据库。使用--geoip参数来显示每个IPv4地址的地理位置(国家/地区名称)。
 
  $dnstwist.py--geoipexample.com
 
  当然,dnstwist提供的所有功能以及简要说明始终可用于您的指尖:
 
  $dnstwist.py-help
 
  下载地址:https://github.com/elceef/dnstwist/archive/master.zip
 
  仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担
 
  蜗蜗侠s’Blog是一只致力专注于黑客技术的小屌丝(蜗蜗侠)创建而成,本站主要以无线安全/内网渗透/渗透测试/代码审计/客户端安全等等一些网络安全技术,以及分享最新的黑客教程渗透测试工具.为网络安全爱好者提供一个能学习的黑客技术网站.

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Tools/686.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~