什么是被动DNS复制？

Question

我在恶意软件研究中使用Virus Total，我看到它有一个名为“被动DNS复制”的字段，但我不太明白这意味着什么。我在VT博客上搜索，他们说这就像一个特定时刻将域名解析到给定IP地址的历史视图。我不确定的是，如果"www.domainname.com“在2019-04-20的日期决定为1.2.3.4，这是否意味着在那个特定的日期，该IP承载了该域名？我的意思是，不可能在"2019-04-20“之前的某一天，IP已被解析为该域名。我指的是病毒的全部信息，如果有人可以解释我如果我错了，我会感激它。

Answer 1

..。这是否意味着在那个特定的日期，IP承载了那个域名？

这意味着域的DNS查找返回给定的地址。

这并不意味着在此主机上存在一些HTTP服务器，该服务器被配置为响应此域名，也不意味着IP地址上的其他服务知道它们是通过此域名到达的。

..。不可能在"2019-04-20“之前的某个日期内将IP解析为该域名。

首先，这不是关于解析到域名的IP地址，而是解析到IP地址的域名。实际上，可以将多个域名解析为单个IP地址，但也可以将一个域名解析为多个IP地址。解析从IP到域名将是DNS PTR记录-但这不是这个特性的意义。

此外，被动DNS复制基于监视DNS通信量。引用来自病毒-总的博客文章：“.基于捕获的名称服务器响应构建区域副本而不需要区域管理员合作的技术.”。这意味着它们只能为主动查询的域复制DNS配置，在这些域中，它们控制的DNS服务器或流量节点可以看到查询。因此，该域以前仍然有此IP地址，只是在此之前看不到对该域的访问，因此无法确定先前的配置。