无糖浏览器 | IP反查及域名解析使用指南
01
无糖浏览器的介绍
01
无糖浏览器是面向公安民警开发的专用浏览器。
在完备的网页浏览/搜索功能基础上,整合了每日网络犯罪情报推送,网站及IP线索挖掘,手机应用分析及抓包,互联网公司调证指南查询,案件支撑服务等各类方便民警办案的应用;无糖浏览器不仅为网络犯罪初侦配置丰富多样的办案工具,还搭载了网络犯罪对抗模拟仿真环境的实战实训环境,为反网络犯罪提供了健全完善的学习训练平台。
02
IP绑定域名反查应用可以查询IPV4地址所绑定的域名数量,并得到域名的首次获取时间和最后获取时间。
域名解析记录查询应用支持批量输入网址/域名进行解析查询,获得子域名及历史解析记录。
03
什么是IP反查域名?一般来说域名可以查到解析的IP,因为域名需要解析到IP上,才能通过域名打开网站,一个域名指向一个网络空间IP,反过来,IP也是可以查找到响应的域名。
如果你的渗透目标网站是一台虚拟主机,那么通过IP反查到的域名信息往往很有价值,因为一台物理服务器上面可能运行多个虚拟主机,那么这些虚拟主机具有不同的域名,但通常共用一个IP地址。
IP绑定域名反查的使用场景
判定真实IP
通过该应用我们可以初步判定该IP是否为真实IP地址,例如:在反查网站IP时,如果此网站有1000多个不同域名,那么这个IP多半不是真实IP。若IP定位在常见的CDN服务器上,这个IP也不是真实IP地址;
资产梳理
近年来电信网络诈骗犯罪组织出现职业化倾向,一些大的诈骗团伙以公司化企业化运作管理,拥有严密的组织结构;通过查询到的域名分析梳理犯罪分子的业务部门,例如OA、业务、管理后台等;
访问限制
有一些非法网站无法直接通过IP进行访问,通常打开后会显示400,500等错误,但是通过域名却可以正常访问到该网站。在实战过程中,我们通过调证或其它手段得到目标服务器IP后,往往无法知道该IP上绑定的域名是什么,此时我们可以通过【IP反查域名】工具,找到该IP所绑定的域名,进而访问到目标网站,进行后续侦查操作;
域名更换
有一些钓鱼网站,由于钓鱼网站域名往往由于被封禁,生命周期短,诈骗分子会频繁的进行域名更换,案发后,当我们拿到涉案网站域名和IP时,涉案域名可能已经被弃用,无法进行后续侦查操作。此时,我们可以通过【IP反查域名】工具,查找涉案IP所绑定的新域名,进而访问到目标网站,进行后续侦查操作;
线索扩充
使用查询的域名反查IP地址,进一步扩充线索。
界面展示
界面展示
登录无糖浏览器,在应用中心搜索【IP绑定域名反查】,进入主界面。 探测界面主要展示有添加IP地址区、条件搜索区、查询结果列表、剩余次数展示及导出功能。
操作演示
添加IP地址
目前仅支持IPv4绑定域名反查,如果获取到的是IPV6的地址,需要先自行转换至IPV4地址,再添加进行查询。
每个账号每天仅限于50个IP绑定域名反查,超过50个的IP地址不做查询; 用户最多可一次性查询10个不相同IP地址的IP绑定域名反查,超过10个IP地址,超过部分不进行查询。 在添加IP地址过程中,用户点击“提交”后,对IP地址进行去重处理,展示有效查询个数;
统计当前用户录入IP个数,当录入IP地址数超过用户当前剩余查询个数时,则用红色进行表示,如:“11/10”。
条件搜索区
您可以设置条件搜索您当前查询的数据,例如输入已查询的网址或者选择任务的状态,包括:查询中、已完成、查询失败。当当前查询IP数量过多,难以分辨,就可以通过历史记录直接搜索IP地址。
查询结果列表
查询结果列表界面展示的数据包括查询IP地址、绑定域名数、状态、其他操作(详情/导出)。
详情展示界面
图示【记录值】为IPV4地址; 图示【记录类型】为A类型; 【最后获取时间】为该绑定域名信息的最新获取时间; 【首次获取时间】可以简单理解为首次网络检测到该域名的时间。
可以通过域名及记录值搜索结果列表,因为IP反查域名的添加的条件为IPV4地址,为同一个记录值。
导 出
导 出
应用内无【删除】功能,当前查询列表界面仅保留上一个查询期间的查询记录,下一次查询将覆盖以前的记录,所以每次查询结果请及时导出,方便后续进一步研究判断。
界面右上角【导出】功能为全局导出;
每条任务的操作选项中的导出为单项结果导出;
全局导出和单项导出的格式均为excel表格。
03
界面展示
登录无糖浏览器,在应用中心搜索【域名解析记录查询】,进入主界面。
探测界面主要展示有添加IP地区、条件搜索区、查询结果列表、剩余次数展示及导出功能。
操作注意事项
【域名解析记录查询】与【IP绑定域名反查】的操作大差不差,文章就不再重复描述,主要注意事项如下:
每个账号每天仅限于50个域名解析记录查询,超过50个的域名不做查询; 用户最多可一次性查询10个不相同的域名解析记录查询,超过10个查询域名解析,超过部分不进行查询。在添加域名过程中,用户点击“提交”后,对域名进行去重处理,展示有效查询个数; 本应用界面无删除功能,但数据查询结果仅保留一天,建议查询后及时导出。
域名解析简单讲解
记录值
|
记录值类型 |
释义 |
|
A记录(地址记录) |
用来指定主机名(或域名)对应的IP地址记录,IPV4地址 |
|
AAAA记录(地址记录) |
用来指定主机名(或域名)对应的IP地址记录,IPV6地址 |
|
NS记录(域名服务器记录) |
用来指定该域名由哪个DNS服务器来进行解析 |
|
MX记录(邮件交换记录) |
用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器 |
|
CNAME记录(别名记录) |
允许您将多个名字映射到同一台计算机,最常用到 CNAME 的场景包括做 CDN、企业邮箱、全局流量管理等。 |
|
TXT记录 |
一般指某个主机名或域名的说明,TXT 记录多用来做 SPF 记录(反垃圾邮件) |
|
TTL值 |
一条域名解析记录在DNS服务器中的存留时间 |
域 名
很早之前的互联网,所有的地址都是IP地址,但是IP地址都是太难记了,所以就有了域名。
什么是主域名?什么是子域名?
主域名由两个或两个以上的字母构成,中间由点号隔开,整个域名通常只有1个点号。
百度的主域名是baidu.com
子域名一般会根据站点不同性质在主域名前面加上不同的前缀构成,通常比主域名多一个点或两个点。
百度的二级域名(子域名):www.baidu.com 百度的三级域名(子域名):xxx.www.baidu.com,同样也是www.baidu.com和baidu.com的子域名。
一些业务比较多的企业可能会用到很多子域名,这样才能够便于管理网站的各种功能。查询网站所有的子域名是有必要的,原因首先是子域名的数量如果是多个,那么很可能会存在漏洞,无法保障安全,所以搜集子域名的信息就需要被重视了。
域名解析是什么?
域名解析就是将域名转换成IP地址去访问输入的网址的一种行为。
举个例子:
域名相当于现实生活中的城市名:成都市
IP地址相当于成都市对应的邮政编码:610000 如果别人问你是哪个地方的,很少有人会记610000,大家都会记成都。
域名解析记录查询
我们知道查找使用CDN加速服务的域名的真实IP的方法之一是DNS历史解析记录:查询域名的历史解析记录,可能会找到网站使用CDN前的解析记录,从而获取真实ip域名解析网址。
以无糖浏览器【知更实战训练】中的题目为例来讲讲域名解析的作用:
这道题需要查询https://www.smzdm.com/的真实IP地址,使用【网址及IP探测】无法探测到真实IP,因为访问探测到的IP地址:120.53.69.147显示访问异常。
理解了上面的概念,我们就知道题干中的https://www.smzdm.com/网站的主域名为smzdm.com,所以接下来的操作步骤:
第一步:使用【域名解析记录查询】工具查询主域名:smzdm.com,获取到该主域名有1422条子域名
第二步:详情中搜索www.smzdm.com子域名,因为大部分网站的首页都是www.域名.com这种形式
第三步:遍历访问IP地址,解析出来的所有IP地址只有真实IP才能正常访问原网站;因此我们确定了123.59.70.172为真实IP
一般来说,域名解析历史记录中最新的IP地址无法打开,比如最新IP指向了1.1.1.1,明显无效IP,那就按照时间往前找到第一个有效的,这种情况往往出现在当一个受害人提供的钓鱼网站,他的域名废弃了,把域名指向一个无用的,或者指向大家熟悉网站的IP;
第二种一个域名指向很多IP地址,这种一般说明对方用了CDN,不同地区的DNS对域名解析所指向的IP不一样,那就通过时间段去判定。比如某个域名2020年用过,然后中间没有检测记录了,2022年又重新启用了,被检测到,那么一般就先看最后一个时间段的第一个IP,因为新启用一个域名的时候,一开始指向的可能是测试服务器,或者真实服务器IP(用于测试),然后才会开启CDN;
如果没有这些规律可以用的话,比如一开始就都是虚假的IP,就没有技巧可言 ,只有通过访问IP,看看能不能访问到其网站主页,从而,确定是否为真实IP。
05
无糖浏览器下载方式
05
无糖浏览器-您身边的办案助手。你可以根据操作系统的不同,从下面的地址下载最新的安装包程序
http://browser.nosugar.tech
下载成功后,点击无糖浏览器的程序即可启动,双击后点击“接受”按钮,再点击“安装”即可成功安装。
注册时可使用邀请码【YZZAIJG4NP9J】快速开通完整权限哟。
之后我们会陆续介绍其他应用的操作方法,欢迎继续关注我们哟!
本文中的产品信息如有更改,请以实际应用信息为准。如有疑问,可以扫描下方二维码进入无糖反网络犯罪研究中心。