Comments | infowatch: Одноразовые домены

infowatch

Одноразовые домены

Dec 27, 2013 20:37

Вы когда-нибудь встречали такие? Доменные имена, предназначенные для единственного запроса. Типа вот такого:
http://w9gpo0vw4kgmbacfph.fnn.ru/counter.gifВ большинстве случаев они предназначаются для деанонимизации пользователей. Или для маркетингового анализа, что то же ( Read more... )

интернет-разведка, криминалистика, спам, НДВ, анонимность

Leave a comment

Back to all threads

arjlover December 27 2013, 15:55:24 UTC

Что-то я не понял. У половины мира уже давно стоит в качестве резолвера 8.8.8.8 - и чем мне помогут логи моего DNS когда в нем будет половина строчек от 8.8.8.8, а остальная половина от резолверов разных провайдеров? Клиент тут где вообще?

infowatch December 27 2013, 17:59:12 UTC

Половина мира? А вы с какой планеты?

Мне тут недавно человек с Земли показывал вот такую статистику.

arjlover December 27 2013, 19:36:51 UTC

Жуть какая. :) В любом случае что это даст? Если жертва пользуется VPN, то и резолвер будет от VPN? если прокси, то как фишка ляжет...

infowatch December 27 2013, 19:45:50 UTC

А ещё твой DNS - дополнительный идентифицирующий признак.

Например, мы с тобой вдвоём пришли в гости и подключились через один и тот же вайфайный роутер. Сервер нас различит, поскольку ты пользуешься гугловским резолвером, а я - провайдерским.

Если ты перейдёшь на провайдерский (т.е. примешь DNS, назначенный по DHCP), нас всё равно можно будет различить. Потому что у тебя он будет единственным, а у меня прописан ещё вторичный.

dil December 27 2013, 19:54:59 UTC

Если вы пошли на один и тот же уникальный URL, то сервер сможет определить, что с адреса этого роутера к нему приходили минимум два клиента, пользующихся разными DNS'ами, но не сможет точно определить, сколько их было всего, и кто из вас каким DNSом пользовался.

А вторичный DNS обычно используется очень редко, только если первичный не отработал, так что о нём вообще, скорее всего, никто не узнает.

infowatch December 27 2013, 23:54:21 UTC

Да, чтобы узнать о вторичном DNS'е, сервер должен проделать хитрый финт - выдать пользователю уникальный домен, не ответить на первый его запрос и ответить на второй.

dil December 28 2013, 07:47:15 UTC

А если у пользователя внезапно только один DNS-сервер настроен, он вообще ответа не получит..

infowatch December 28 2013, 09:43:48 UTC

...и таким образом будет установлено, что данный клиент имеет единственный ДНС-резолвер - ещё один отличительный признак. На одноразовом домене живёт не вся веб-страница, а один её элемент, какой-нибудь маленький рисуночек.

dil December 28 2013, 19:38:06 UTC

Либо у клиента стоит какой-нибудь адблок, который блокирует всякую непонятную фигню с левых доменов, даже не пытаясь отресолвить домен.

infowatch December 28 2013, 20:03:16 UTC

Вот в этом и заключалась мысль моего поста: системы защиты пока не умеют распознавать одноразовость.

Back to all threads