本节书摘来自异步社区《Nmap渗透测试指南》一书中的第7章7.6节DNS信息搜集,作者 商广明,更多章节内容可以访问云栖社区“异步社区”公众号查看。
7.6 DNS信息搜集
表7.6所示为本章节所需Nmap命令表,
表中加粗命令为本小节所需命令——DNS信息搜集。
域名系统(Domain Name System,DNS)是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
DNS系统中,常见的资源记录类型包括以下几种。
① 主机记录(A记录):RFC 1035定义,A记录是用于名称解析的重要记录,它将特定的主机名映射到对应主机的IP地址上。
② 别名记录(CNAME记录):RFC 1035定义,CNAME记录用于将某个别名指向到某个A记录上,这样就不需要再为某个新名字另外创建一条新的A记录。
③ IPv6主机记录(AAAA记录):RFC 3596定义,与A记录对应,用于将特定的主机名映射到一个主机的IPv6地址。
④ 服务位置记录(SRV记录):RFC 2782定义,用于定义提供特定服务的服务器的位置,如主机(hostname)、端口(port number)等。
⑤ NAPTR记录:RFC 3403定义,它提供了正则表达式方式去映射一个域名。NAPTR记录非常著名的一个应用是用于ENUM查询。
DNS通过允许一个名称服务器把它的一部分名称服务(众所周知的zone)“委托”给子服务器,从而实现了一种层次结构的名称空间。此外,DNS还提供了一些额外的信息,例如系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。
任何一个使用IP的计算机网络可以使用DNS来实现自己的私有名称系统。尽管如此,当提到在公共的Internet DNS系统上实现的域名时,术语“域名”是最常使用的。
这是基于504个全球范围的“根域名服务器”(分成13组,分别编号为A至M)。从这504个根服务器开始,余下的Internet DNS命名空间被委托给其他的DNS服务器,这些服务器提供DNS名称空间中的特定部分。
操作步骤
使用命令“nmap --script dns-brute目标”进行DNS信息搜集。
root@Wing:~# nmap --script dns-brute www.xxxx.com
Starting Nmap 6.40 ( http://nmap.org ) at 2014-06-12 17:30 CST
Nmap scan report for nmap (221.192.153.46)
Host is up (0.00017s latency).
All 1000 scanned ports on nmap (221.192.153.46) are filtered
Host script results:
|_dns-brute: Can't guess domain of "nmap"; use dns-brute.domain script argument.
Nmap scan report for www.xxxx.com (xxx.237.1.160)
Host is up (0.024s latency).
Other addresses for www.xxxx.com (not scanned): xxx.10.91.49
rDNS record for xxx.237.1.160: hkhdc.laws.ms
Not shown: 994 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
5900/tcp open vnc
8080/tcp open http-proxy
10082/tcp closed amandaidx
Host script results:
| dns-brute:
| DNS Brute-force hostnames
| www.xxxx.com - xxx.237.1.160
| corp.xxxx.com - xxx.10.91.49
| corp.xxxx.com - xxx.237.1.160
| whois.xxxx.com - xxx.237.1.160
| whois.xxxx.com - xxx.10.91.49
| ldap.xxxx.com - xxx.10.91.49
| ldap.xxxx.com - xxx.237.1.160
| mx0.xxxx.com - xxx.237.1.160
| mx0.xxxx.com - xxx.10.91.49
| linux.xxxx.com - xxx.10.91.49
| linux.xxxx.com - xxx.237.1.160
| mx1.xxxx.com - xxx.10.91.49
| mx1.xxxx.com - xxx.237.1.160
| mail.xxxx.com - xxx.237.1.160
| mail.xxxx.com - xxx.10.91.49
| server.xxxx.com - xxx.10.91.49
| server.xxxx.com - xxx.237.1.160
| citrix.xxxx.com - xxx.237.1.160
| citrix.xxxx.com - xxx.10.91.49
| ftp0.xxxx.com - xxx.237.1.160
| ftp0.xxxx.com - xxx.10.91.49
| cms.xxxx.com - xxx.10.91.49
| cms.xxxx.com - xxx.237.1.160
| erp.xxxx.com - xxx.10.91.49
| erp.xxxx.com - xxx.237.1.160
| ops.xxxx.com - xxx.237.1.160
| ops.xxxx.com - xxx.10.91.49
| host.xxxx.com - xxx.237.1.160
| host.xxxx.com - xxx.10.91.49
| pbx.xxxx.com - xxx.10.91.49
| pbx.xxxx.com - xxx.237.1.160
| log.xxxx.com - xxx.10.91.49
| images.xxxx.com - xxx.10.91.49
| images.xxxx.com - xxx.237.1.160
| internal.xxxx.com - xxx.237.1.160
| internal.xxxx.com - xxx.10.91.49
| internet.xxxx.com - xxx.237.1.160
|_ internet.xxxx.com - xxx.10.91.49
Nmap done: 2 IP addresses (2 hosts up) scanned in 193.31 seconds
root@Wing:~#
分析
同过对脚本dns-brute的调用可以查询到目标域名所有地址,当然这是基于暴力破解的,并不是所有的域名都可以被暴力破解出来。
该脚本的默认线程是5,如果是扫描一个大型的网站,速度可能会较慢,可以设置一下扫描线程,nmap--script dns-brute dns-brute.threads=10 www.xxx.com,设置10个线程时相应的扫描速度会增加很多。如果需要查询多个域名我们也可以指定一个列表:nmap --script dns-brute dns-brute. threads=10,dns-brute.hostlist www.badu.com。
