如何使用TvypoDetect检测相似域名
关于TypoDetect
TypoDetect是一款功能强大的域名检测工具,可以帮助广大蓝队研究人员、安全运维人员和企业安全部门检测跟自己域名相似的主动变异型域名,以防止网络犯罪分子利用这些域名进行网络欺诈活动,比如说网络钓鱼攻击或短信欺诈活动。
TypoDetect支持使用IANA网站最新发布的可用版本顶级域名(TLD),区块链DNS中验证的去中心化域名以及DoH服务中报告的恶意软件相关域名等。
为方便用户使用,TypoDetect默认以JSON格式或TXT格式提供分析报告,具体报告的生成格式以及显示类似域名的方法取决于用户的选择。
工具安装
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Telefonica/typodetect接下来,执行工具安装并安装相关的依赖组件:
python3 pip install -r requirements.txtTypoDetect运行
首先,我们需要在命令行终端中切换到项目所在根目录,然后运行下列命令:
python3 typodetect.py -husage: typodetect.py [-h] [-u UPDATE] [-t N_THREADS] [-d DOH_SERVER] [-o OUTPUT] domain
positional arguments:
domain 指定需要处理的域名
optional arguments:
-h, --help 显示帮助信息并退出
-u UPDATE, --update UPDATE
(Y/N) 是否更新TLD数据库 (默认:N)
-t N_THREADS, --threads N_THREADS
所要使用的线程数量 (默认:5)
-d DOH_SERVER, --doh DOH_SERVER
要使用的DoH: [1] ElevenPaths (默认) [2] Cloudfare
-o OUTPUT, --output OUTPUT
JSON或TXT, 报告文件类型选项 (默认:JSON)执行简单的分析:
python3 typodetect.py <domain>更新IANA数据库并执行分析:python3 typodetect.py -u y <domain>多线程分析:
python3 typodetect.py -t <number of threads> <domain>使用不同的DoH(默认使用ElevenPahts或CloudFare):
python3 typodetect.py -d 2 <domain>创建TXT格式报告:python3 typodetect.py -o TXT <domain>检测报告
在本项目的reports目录下,会保存每次执行后的扫描报告,默认格式为JSON,存储名称为扫描的域名以及日期,样例如下:
elevenpaths.com2021-01-26T18:20:10.34568.jsonJSON格式报告的数据结构如下所示,其中包含检测到的主动变异域名:
{ id:
"report_DoH" : <string>
"domain": <string>
"A": [ip1, ip2, ...]
"MX": [mx1, mx2, ...]
}每个字段包含下列信息:
id: 变异整型ID
"report_DoH": "" - 去中心化DNS域名
"Malware" - 报告的危险域名
"Good" - 报告的良性域名
"domain": 检测到的主动域名变异Mutation detected as active.
"A": 变异域名DNS中的IP地址和A记录
"MX": 变异域名DNS中的IP地址或CNAME记录项目地址
TypoDetect:【点击底部阅读原文获取】
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-06-29,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
短信
腾讯云短信(Short Message Service,SMS)可为广大企业级用户提供稳定可靠,安全合规的短信触达服务。用户可快速接入,调用 API / SDK 或者通过控制台即可发送,支持发送验证码、通知类短信和营销短信。国内验证短信秒级触达,99%到达率;国际/港澳台短信覆盖全球200+国家/地区,全球多服务站点,稳定可靠。