27 Декабря, 2013

Одноразовые домены

InfoWatch
Вы когда-нибудь встречали такие? Доменные имена, предназначенные для единственного запроса. Типа вот такого:
http://w9gpo0vw4kgmbacfph.fnn.ru/counter.gif
В большинстве случаев они предназначаются для деанонимизации пользователей. Или для маркетингового анализа, что то же самое.
       

Как вы знаете, перед тем как клиент (браузер) обратится по протоколу HTTP к серверу, со стороны клиента должен придти запрос по протоколу DNS. Запрос кешируется DNS-резолвером, но одноразовое доменное имя исключает кеширование. Запрос придёт обязательно. Пакеты по HTTP и DNS исходят от разных подсистем клиентского компьютера и поэтому могут идти различными путями. Их совокупность несёт гораздо больше информации о клиенте, чем каждый из них.

На этой разнице основаны некоторые методы деанонимизации. С этой разницей целенаправленно борются анонимайзеры.

Факт DNS-запроса может стать инструментом криминалиста. Например, для доказательства факта доступа клиента к серверу, если логи клиента не сохранились, можно проанализировать статистику провайдера. В этой статистике криминалист должен искать не только пакеты HTTP (tcp AND src-port>1024 AND dst-port=80) но также коррелированные с ними по времени пакеты DNS (udp AND (src-port>1024 OR src-port=53) AND dst-port=53). Если первые присутствуют, а вторые отсутствуют – надо искать объяснение. Если же первые отсутствуют, а вторые присутствуют – ситуация ещё интересней. Наличие одноразовых доменов в составе какого-либо веб-сайта делает упомянутую ситуацию намного более простой и прозрачной.

Со стороны владельца сервера или субъекта, прослушивающего трафик одноразовые домены – благо. Со стороны клиента – зло или, по меньшей мере, индикатор пристального внимания к посетителям сайта. Поэтому IDS, DLP, антиспамы, резалки рекламы и другие системы защиты должны блокировать, искажать или, как минимум, распознавать такие доменные имена.

Готовых технологий для этого распознавания ваш покорный слуга не нашёл. Но, очевидно, для установления факта, что доменное имя не придумано человеком, а сгенерировано компьютером на ходу, существует несколько методов. Например: анализ домена на "словарность", повторный запрос той же веб-страницы, запрос слегка изменённого домена, статистический анализ имени.

или введите имя

CAPTCHA
Шаробас
27 Декабря, 2013
А использовать Firefox + TOR + RefControl религия не позволяет?
0 |
Шаробас
27 Декабря, 2013
Оговорился, не RefControl, а RequestPolicy
0 |
svinslon
29 Декабря, 2013
dns запросы
Прямо таки должен прийти днс-запрос? Даже по адресу http://79.174.69.6 ?
0 |
резалка
30 Декабря, 2013
анализ домена на "словарность",статистический анализ имени.Марковские генераторы. повторный запрос той же веб-страницыИ что это даст? Счётчик уже получил IP адрес. запрос слегка изменённого доменаопять бредятина Нужно просто следить, чтобы днс-запросы прилетали от того же провайдера, от которого и HTTP. Если выходишь через ТОР, то и запросы через ТОР. Идёшь напрямую - и запросы будь добр слать напрямую.
0 |