Security Lab

Одноразовые домены

Одноразовые домены
Вы когда-нибудь встречали такие? Доменные имена, предназначенные для единственного запроса. Типа вот такого:
http://w9gpo0vw4kgmbacfph.fnn.ru/counter.gif
В большинстве случаев они предназначаются для деанонимизации пользователей. Или для маркетингового анализа, что то же самое.
       

Как вы знаете, перед тем как клиент (браузер) обратится по протоколу HTTP к серверу, со стороны клиента должен придти запрос по протоколу DNS. Запрос кешируется DNS-резолвером, но одноразовое доменное имя исключает кеширование. Запрос придёт обязательно. Пакеты по HTTP и DNS исходят от разных подсистем клиентского компьютера и поэтому могут идти различными путями. Их совокупность несёт гораздо больше информации о клиенте, чем каждый из них.

На этой разнице основаны некоторые методы деанонимизации. С этой разницей целенаправленно борются анонимайзеры.

Факт DNS-запроса может стать инструментом криминалиста. Например, для доказательства факта доступа клиента к серверу, если логи клиента не сохранились, можно проанализировать статистику провайдера. В этой статистике криминалист должен искать не только пакеты HTTP (tcp AND src-port>1024 AND dst-port=80) но также коррелированные с ними по времени пакеты DNS (udp AND (src-port>1024 OR src-port=53) AND dst-port=53). Если первые присутствуют, а вторые отсутствуют – надо искать объяснение. Если же первые отсутствуют, а вторые присутствуют – ситуация ещё интересней. Наличие одноразовых доменов в составе какого-либо веб-сайта делает упомянутую ситуацию намного более простой и прозрачной.

Со стороны владельца сервера или субъекта, прослушивающего трафик одноразовые домены – благо. Со стороны клиента – зло или, по меньшей мере, индикатор пристального внимания к посетителям сайта. Поэтому IDS, DLP, антиспамы, резалки рекламы и другие системы защиты должны блокировать, искажать или, как минимум, распознавать такие доменные имена.

Готовых технологий для этого распознавания ваш покорный слуга не нашёл. Но, очевидно, для установления факта, что доменное имя не придумано человеком, а сгенерировано компьютером на ходу, существует несколько методов. Например: анализ домена на "словарность", повторный запрос той же веб-страницы, запрос слегка изменённого домена, статистический анализ имени.

интернет-разведка криминалистика спам НДВ анонимность
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

InfoWatch

Блог компании infowatch infowatch.livejournal.com