Где используются случайно сгенерированные доменные имена?

Question

[Gudsaf]

Сегодня встретился с непонятными для меня доменными именами:

• www.kp262bbqfvl7.com
  
• www.txwi6k2od4yn42hur5jgwx.com
  
• www.ekrz5qcamx4kfc2eejk7y3svl.com
  
• .....
  

Сделать WHOIS или разрешить имя в IP у меня не вышло.
Складывается впечатление, что это "однозапросные имена" - запрос отработал по этому имени, имя сдохло.
У меня есть подозрение, что это - входные (не выходные) ноды TOR сети, но я могу ошибаться.

Объясните, пожалуйста, где подобные имена используются и с какой целью.

Comments

[Site Developer]

а где "встретился"?

Answer 1

[Gudsaf]

В моем варианте данные FQDN вылетали в связи с особенностями работы TOR, ссылка на ответ тут: ссылка на стэк

Answer 2

[cssman]

ещё как вариант для ip over dns атаки
для каких то открытых и легитимных вещей будут использовать какие то другие названия, как показывает практика :) всякие вотсапы и тем более тор здесь точно не причём

Comments

[Gudsaf]

Я по каким причинам начал с тора, тор обычно характеризуется 9001 портом, так вот коннекты на эти странные доменные адреса идут на 9001 порт:

www.yf3racy.com:9001/

Соответственно в логах FW, эти записи и всплывают.

[cssman]

ну порт всегда произвольный можно указать, так что не показатель :)
ещё по дефолту 9001 используют cisco-xremote router configuration и DBGp Proxy

[Gudsaf]

cssman: хорошо, тогда можно как-то обеспечить спокойный сон и убедиться в том, что грубо-говоря это соединение с TOR?

Из самых простых идей, которые я пробовал - постучать туда.
Проблема в том, что не по этому порту, не по какому другому тот же www.yf3racy.com не отвечает.
Хотя я наверное не тем чем надо стучусь.

[cssman]

Gudsaf: А то что это кто-то с выходной ноды с днс однодневки долбится Вас не пугает? Блокируйте сразу.
Проверить не получится, т.к. судя по Вашим словам днс имя одноразовое (no-ip какой нибудь). Есть мизерный шанс, что можно найти такой же линк name.onion , но не факт что это то самое, что ищете.

[Gudsaf]

cssman: нет, это не с выходной ноды к нам стучатся, а мы стучимся по этим именам с нашей подсети (машины легальных пользователей).

в подавляющем большинстве на машинах пользователей которые делают запросы по таким рандомным именам установлен тор-браузер, по этой причине и ролилась идея что тут как-то замешан тор.. да, тут бы книжку с хорошим описанием процесса установления связи с тор сетью. атаки овер-днс уже читаю.

[Gudsaf]

cssman:
Буквально минут 10 назад скачали тор-браузер на клиент и попытались подсоединиться к тор-сети.
На момент подсоединения сняли логи с FW.

Итог следующий: при соединении с тор-сетью появляются запросы на:
www.2s62bq1vl7.com
www.txalk22x.com
www.12esvl.com

по портам: 9001 и 443.

Видимо стоит почитать про тор.

Answer 3

[Максим Гришин]

Советую посмотреть, в какую сторону (на какой IP) ушел запрос. С большой вероятностью это CnC-сервер какого-то бота, и источник запроса использует DNS-запросы как канал обмена данными поверх DNS.

Answer 4

[vreitech]

в ботнетах, для контроля ботнетов.

Comments

[Gudsaf]

не, это-то понятно, вопрос в другом, кроме бот-сетей оно может где-то использоваться?

[Максим Гришин]

Gudsaf: Вообще любое ПО может пытаться передавать трафик таким образом. Это всего лишь канал связи, данные поверх DNS, а использовать его легитимным приложениям незачем - медленный и ненадежный.

Answer 5

[CityCat4]

Ботнеты, вирусяки, спаморассыльщики - темная сторона, короче :)

Comments

[Gudsaf]

а всякие вотс-аппы и прочее это может использовать?