在网络安全测试、资产梳理或业务调研中,查询网站的所有二级域名是一项基础且重要的工作,二级域名的全面掌握能够帮助安全人员发现潜在的安全漏洞、运维人员了解资产分布,或者企业梳理自身业务架构,本文将系统介绍查询网站二级域名的常用方法、技术原理及注意事项,为相关实践提供参考。
基于公开信息的被动查询方法
被动查询的核心思路是利用互联网上已公开的域名信息,通过第三方平台或公开数据源间接获取目标域名的二级域名列表,这种方法无需直接发起大量请求,隐蔽性较强且合规性较高。
DNS枚举与公共DNS服务器查询
公共DNS服务器(如Google Public DNS、Cloudflare DNS)会记录大量域名的解析记录,通过查询这些服务器,有时能获取到目标域名的NS、MX、TXT等记录中关联的二级域名,使用dig命令查询域名的NS记录,可能发现由子域名承载的权威服务器名称,进而推断出更多二级域名,一些公共DNS平台(如SecurityTrails、ViewDNS.info)提供历史DNS数据查询功能,能够展示目标域名在不同时间点的解析记录,包括已废弃的二级域名,这对于资产梳理具有重要价值。
证书透明度日志查询
SSL/TLS证书的签发过程会记录在证书透明度(Certificate Transparency, CT)日志中,其中包含证书绑定的域名信息,通过查询CT日志平台(如Censys、Shodan、Certificate Search),可以获取目标域名及其所有二级域名的历史证书记录,Censys支持通过域名搜索关联的所有证书,进而提取证书中的SAN(Subject Alternative Name)字段,该字段通常包含所有绑定的子域名,这种方法能够高效发现活跃的HTTPS二级域名,尤其适用于大型企业或复杂业务场景。
搜索引擎与网络空间搜索引擎
搜索引擎(如Google、Bing)通过爬虫抓取互联网页面,页面中可能包含目标域名的二级域名链接,通过特定的搜索语法(如site:example.com、inurl:sub.example.com),可以定位到公开的二级域名,网络空间搜索引擎(如Shodan、Fofa、ZoomEye)基于设备指纹和协议识别,能够扫描互联网上暴露的服务,进而关联到目标域名的二级域名,Shodan支持通过domain:"example.com"语法搜索关联的IP和服务,结合端口和协议信息,可推断出二级域名对应的具体业务系统。
主动探测的技术方法
主动探测通过向目标域名发起直接请求或扫描,主动发现可能存在的二级域名,这种方法能够发现未被公开记录的“隐藏”域名,但需要注意合规性,避免对目标服务器造成压力。
字典爆破与穷举攻击
字典爆破是最常见的主动探测方法,通过预先准备好的二级域名字典(如常见子名称、品牌词、技术术语等),结合目标域名进行组合,依次尝试解析是否存在对应的子域名,使用工具dnsenum、subfinder或Amass,可以指定字典文件或使用内置字典,批量查询test.example.com、dev.example.com等组合,字典的质量直接影响爆破效果,高质量的字典应包含目标企业的业务关键词、技术栈相关信息(如“api”“admin”“db”)以及常见子域名模式(如“www”“mail”“ftp”)。
拼写变异与算法生成
除了字典爆破,还可以通过拼写变异算法生成可能的二级域名,常见的拼写错误(如“googl.com”替代“google.com”)、字符替换(如“0”替代“o”)、长度变化(如“app”扩展为“application”)等,工具Sublist3r和DNSRecon支持自定义变异规则,能够生成更全面的候选子域名列表,基于目标域名的元数据(如公司名称、产品列表)进行算法生成,可以提高探测的精准度,避免盲目枚举。
协议层面的主动探测
除了DNS查询,还可以通过HTTP/HTTPS协议层面的特征发现二级域名,通过爬取目标网站的外部链接、JavaScript文件中的API路径、CSS资源引用等,可能发现未公开的子域名,工具Waybackurls(用于历史URL挖掘)和Corsy(用于跨域资源扫描)能够辅助提取这类信息,针对特定服务(如Git、SVN、Jenkins)的路径扫描,也可能暴露相关的二级域名或内部系统。
工具与平台推荐
高效的二级域名查询往往依赖专业工具和平台的支撑,以下是常用工具的分类及特点:
开源工具
- Subfinder:一款快速的子域名发现工具,支持多数据源(DNS、证书、搜索引擎)和字典爆破,适合自动化扫描。
- Amass:功能强大的网络空间测绘工具,集被动查询和主动探测于一体,支持数据关联和可视化输出。
- DNSRecon:专注于DNS枚举的工具,支持区域传输、记录枚举、DNS缓存查询等高级功能。
- Masscan:高速端口扫描器,结合端口扫描结果可间接推断二级域名对应的IP及服务。
商业平台
- SecurityTrails:提供历史DNS数据、WHOIS信息、网络关联分析,适合企业级资产梳理。
- Shodan:网络空间搜索引擎,支持协议、端口、地理位置等多维度筛选,可快速定位暴露的子域名服务。
- Censys:基于证书和协议的搜索平台,适合发现HTTPS子域名及相关证书信息。
- Fofa:国内流行的网络空间搜索引擎,支持语法灵活搜索,结合资产指纹识别子域名。
注意事项与合规性要求
在进行二级域名查询时,必须遵守法律法规和道德规范,避免引发法律风险或对目标系统造成影响:
合法授权原则
未经明确授权,禁止对非自有域名进行大规模主动探测,尤其是涉及敏感业务或政府机构的域名,建议在测试前获取目标方的书面授权,或在授权范围内开展工作。
避免过度请求
主动探测工具可能对目标DNS服务器造成压力,甚至触发防御机制(如IP封禁),建议控制请求频率,使用代理IP池,优先选择被动查询方法。
数据保护与隐私
查询到的二级域名可能包含敏感信息(如内部系统、测试环境),需妥善保管数据,避免泄露或滥用,对于非公开的子域名,不得用于非法用途。
持续更新与验证
域名资产是动态变化的,二级域名列表需定期更新,对查询结果进行验证(如DNS解析、HTTP响应检查),确保信息的准确性和时效性。
查询网站二级域名是一项综合性的技术工作,需要结合被动查询和主动探测的优势,借助专业工具和平台,同时严格遵守合规要求,无论是安全测试还是资产管理,全面、准确的二级域名信息都是后续工作的基础,随着网络空间测绘技术的发展,二级域名查询方法将更加智能化和自动化,但核心原则始终是合法、合规、负责任地使用技术,为网络安全和业务发展提供支持。
