Le
D'abord, un avertissement : DNSDB n'est pas ouvert
publiquement. Les données que ce service contient peuvent être
sensibles, et intéresser des
Une fois que votre candidature est approuvée, vous pouvez accéder au service, en
parler publiquement (cet article dans mon blog ne viole donc pas les
conditions d'utilisation) et même citer des exemples de données. Mais,
évidemment, pas question de copier la base et de l'emporter (un
avertissement technique au passage : la base est
Bien, une fois qu'on a un accès, essayons d'abord avec l'interface
Web :
Mais d'où est-ce que DNSDB tire ces informations ? Il s'appuie sur plusieurs sources, notamment le SIE, un réseau de sondes DNS installées en divers endroits, qui capturent passivement le trafic DNS et l'envoient à DNSDB.
Naturellement, on n'est pas forcé d'utiliser le cliquodrome Web. Il
existe une
% curl --header "X-API-Key: 1234" \
https://api.dnsdb.info/lookup/rrset/name/meteofrance.com/NS
...
;; bailiwick: com.
;; count: 29
;; first seen: 2012-11-20 12:32:48 -0000
;; last seen: 2012-11-20 15:38:22 -0000
meteofrance.com. IN NS ns1.pendingrenewaldeletion.com.
meteofrance.com. IN NS ns2.pendingrenewaldeletion.com.
...
;;; Returned 6 RRsets in 0.06 seconds
;;; ISC DNSDB
Ah, le problème est clair. Le 20 novembre, le domaine
Si on n'aime pas faire du curl directement, Farsight fournit des
scripts qui permettent d'interroger l'API plus facilement. On met le
mot de passe dans
% isc-dnsdb-query rrset ovh.com/AAAA
;; bailiwick: ovh.com.
;; count: 10519
;; first seen: 2011-06-08 10:20:48 -0000
;; last seen: 2011-08-19 16:40:23 -0000
ovh.com. IN AAAA 2001:41d0:1:1b00:213:186:33:34
;;; Returned 1 RRsets in 0.01 seconds
;;; ISC DNSDB
On peut voir qu'
Attention au passage, si vous faites des analyses historiques, DNSD
est un service récent. Essayons avec un domaine ancien et connu :
% isc-dnsdb-query rrset www.ripe.net
;; bailiwick: ripe.net.
;; count: 207148
;; first seen: 2010-06-24 06:30:27 -0000
...
Le
DNSDB accepte aussi les jokers à l'extrémité d'un nom. Imaginons
qu'on cherche tous les enregistrements DANE existants (
% isc-dnsdb-query rrset '_443._tcp.*/type52'
;; bailiwick: torproject.org.
;; count: 3
;; first seen: 2013-02-08 07:54:42 -0000
;; last seen: 2013-02-10 07:29:16 -0000
_443._tcp.www.torproject.org. IN TYPE52 \# 67 03 01 02 4d f6 66 72 94 fc 1d fd 6a 95 da 7b d8 95 9b 71 7b 68 21 3e 25 39 dd ec ae b0 9d e0 b7 55 a1 b9 72 70 7e e4 5f aa 4d 48 91 cc f2 2b 11 03 c7 29 10 56 95 e2 8a e8 91 33 1e 0c 56 e6 35 fc ff 57
...
;; bailiwick: os3sec.org.
;; count: 9
;; first seen: 2013-01-19 22:57:17 -0000
;; last seen: 2013-02-06 02:52:42 -0000
_443._tcp.os3sec.org. IN TYPE52 \# 35 03 00 01 18 e3 71 b8 ad 85 a1 7c ba a1 17 a8 af 44 10 1e 57 b8 8d 7a 99 44 4f df 4b 4f 90 c0 a7 3a 8f db
...
Toutes les recherches ci-dessus ont été faites à partir du
% isc-dnsdb-query rdata ip 193.17.19.153
vae.gouv.fr. IN A 193.17.19.153
www.kezeco.economie.gouv.fr. IN A 193.17.19.153
taxepro.economie.gouv.fr. IN A 193.17.19.153
www.dpa.finances.gouv.fr. IN A 193.17.19.153
semaine.industrie.gouv.fr. IN A 193.17.19.153
www.semaine-industrie.gouv.fr. IN A 193.17.19.153
;;; Returned 6 RRs in 0.05 seconds
;;; ISC DNSDB
En pratique, cette option est très utile pour mesurer le degré de
corruption d'une adresse IP. Si on prend une adresse IP citée dans un
% isc-dnsdb-query rdata ip 83.206.207.181
tracking.cofidis.be. IN A 83.206.207.181
tr.service-mail.carrefour.fr. IN A 83.206.207.181
tr.denplan.co.uk. IN A 83.206.207.181
mp-dhrd.com. IN A 83.206.207.181
mail.dailyreduc.com. IN A 83.206.207.181
affiliates-solution.com. IN A 83.206.207.181
tr.affiliates-solution.com. IN A 83.206.207.181
www.affiliates-solution.com. IN A 83.206.207.181
tracking.bp01.net. IN A 83.206.207.181
trpreviews.bp01.net. IN A 83.206.207.181
tr1.bp06.net. IN A 83.206.207.181
bp08.net. IN A 83.206.207.181
bp09.net. IN A 83.206.207.181
bp10.net. IN A 83.206.207.181
bp11.net. IN A 83.206.207.181
...
(La liste continue pendant longtemps... Le spammeur avait
manifestement enregistré une longue liste de domaines pour éviter les
Un service ressemblant à DNSDB (en moins riche) est .