dnstwist – टाइपो स्क्वाटिंग, फ़िशिंग का पता लगाने के लिए डोमेन नाम क्रमपरिवर्तन इंजन

यह dnstwist.py केवल dnstwist के रूप में स्थापित करने जा रहा है, साथ ही ऊपर उल्लिखित सभी आवश्यकताओं के साथ। उपयोग समान है, आप फ़ाइल एक्सटेंशन को छोड़ सकते हैं, और बाइनरी को पाथ में जोड़ा जाएगा।

Dnstwist का उपयोग कैसे करें

शुरू करने के लिए, एक तर्क के रूप में केवल डोमेन नाम दर्ज करना एक अच्छा विचार है। उपकरण इसे अपने फ़ज़िंग एल्गोरिदम के माध्यम से चलाएगा और निम्नलिखित DNS रिकॉर्ड के साथ संभावित फ़िशिंग डोमेन की एक सूची उत्पन्न करेगा: ए, एएएए, एनएस और एमएक्स।

$ dnstwist.py example.com

आमतौर पर उत्पन्न डोमेन की सूची में सौ से अधिक पंक्तियाँ हैं – विशेष रूप से लंबे डोमेन नाम के लिए। ऐसे मामलों में, केवल पंजीकृत (रिज़ॉल्वेबल) प्रदर्शित करने के लिए व्यावहारिक हो सकता है – अपंजीकृत तर्क का उपयोग करना।

$ dnstwist.py --registered example.com

फ़िशिंग साइट की सेवा के संदर्भ में प्रत्येक डोमेन नाम को मैन्युअल रूप से जाँचना समय लेने वाली हो सकती है। इसे संबोधित करने के लिए, dnstwist तथाकथित फजी हैश का उपयोग करता है (संदर्भ ट्रिगर वाइजवाइज़ हैश)। फ़ज़ी हैशिंग एक अवधारणा है जिसमें दो इनपुटों की तुलना करने की क्षमता शामिल है (इस मामले में HTML कोड) और समानता का एक मौलिक स्तर निर्धारित करता है। Dnstwist की यह अनूठी विशेषता –ssdeep तर्क के साथ सक्षम की जा सकती है। प्रत्येक जेनरेट किए गए डोमेन के लिए, dnstwist HTTP सर्वर (संभावित रीडायरेक्ट का अनुसरण) का जवाब देने से सामग्री प्राप्त करेगा और मूल (प्रारंभिक) डोमेन के लिए उसके फ़ज़ी हैश की तुलना करेगा। समानता के स्तर को प्रतिशत के रूप में व्यक्त किया जाएगा। कृपया ध्यान रखें कि यह गतिशील रूप से उत्पन्न वेब पेज के लिए 100% मैच पाने की संभावना नहीं है, लेकिन प्रतिशत स्तर की परवाह किए बिना प्रत्येक अधिसूचना का सावधानीपूर्वक निरीक्षण किया जाना चाहिए।

$ dnstwist.py --ssdeep example.com

कुछ मामलों में, फ़िशिंग साइटों को एक विशिष्ट URL से परोसा जाता है। यदि आप तर्क के रूप में पूर्ण या आंशिक URL पता प्रदान करते हैं, तो dnstwist इसे पार्स करेगा और प्रत्येक उत्पन्न डोमेन नाम संस्करण के लिए आवेदन करेगा। यह क्षमता स्पष्ट रूप से केवल फजी हैशिंग सुविधा के संयोजन में उपयोगी है।

$ dnstwist.py --ssdeep https://example.com/owa/
$ dnstwist.py --ssdeep example.com/crm/login

बहुत बार हमलावर फ़िशिंग डोमेन पर ई-मेल हनीपॉट सेट करते हैं और गलत ई-मेल आने का इंतज़ार करते हैं। इस परिदृश्य में, हमलावर अपने सर्वर को उस डोमेन से संबोधित सभी ई-मेल को वैक्यूम करने के लिए कॉन्फ़िगर करेंगे, भले ही उपयोगकर्ता उस ओर भेजा गया हो। एक और dnstwist सुविधा प्रत्येक मेल सर्वर (DNS MX रिकॉर्ड के माध्यम से विज्ञापित) पर एक साधारण परीक्षण करने की अनुमति देती है ताकि यह पता लगाया जा सके कि किसी का उपयोग ऐसे शत्रुतापूर्ण इरादे के लिए किया जा सकता है। संदिग्ध सर्वरों को SPYING-MX स्ट्रिंग के साथ चिह्नित किया जाएगा।

कृपया संभावित झूठी सकारात्मकता से अवगत रहें। कुछ मेल सर्वर केवल गलत तरीके से संबोधित ई-मेल को स्वीकार करने का दिखावा करते हैं, लेकिन फिर उन संदेशों को छोड़ देते हैं। इस तकनीक का उपयोग निर्देशिका फसल के हमले को रोकने के लिए किया जाता है।

$ dnstwist.py --mxcheck example.com

हमेशा फ़ॉज़िंग एल्गोरिदम द्वारा उत्पन्न डोमेन नाम पर्याप्त नहीं होते हैं। और भी अधिक डोमेन नेम वेरिएंट जेनरेट करने के लिए डिक्शनरीविस्ट को डिक्शनरी फाइल से फीड करें। लक्षित फ़िशिंग अभियानों में उपयोग किए जाने वाले सबसे आम शब्दों की सूची के साथ कुछ शब्दकोश के नमूने शामिल हैं। इसे अपनी आवश्यकताओं के अनुकूल बनाने के लिए स्वतंत्र महसूस करें।

$ dnstwist.py --dictionary dictionaries/english.dict example.com

डिफ़ॉल्ट अच्छा और रंगीन टेक्स्ट टर्मिनल आउटपुट के अलावा, टूल आउटपुट फॉर्मेट करने के लिए दो अच्छी तरह से ज्ञात और आसान प्रदान करता है: CSV और JSON। डेटा इंटरचेंज के लिए इसका इस्तेमाल करें।

$ dnstwist.py --csv example.com > out.csv
$ dnstwist.py --json example.com > out.json

टूल को बिल्ट-इन जियोआईपी डेटाबेस के साथ शिप किया गया है। प्रत्येक IPv4 पते के लिए भौगोलिक स्थान (देश का नाम) प्रदर्शित करने के लिए –geoip तर्क का उपयोग करें।

$ dnstwist.py --geoip example.com

बेशक, संक्षिप्त विवरण के साथ dnstwist द्वारा पेश की जाने वाली सभी सुविधाएँ हमेशा आपकी उंगलियों पर उपलब्ध हैं:

$ dnstwist.py --help