DomainTools虹膜调查
概述
恶意的和可疑的在线活动造成的伤害和经济损失,而且很多演员都精通隐藏或威胁,至少,保持低调。然而,无论多么好的他们OpSec(操作安全),威胁演员留下的信息。分析师和调查员,负责保卫组织还是进攻威胁的演员,必须进行威胁评估决策,或推断能力,相关嫌疑人基础设施或身份,根据可获得的最佳信息。DomainTools虹膜联合全球最大的域配置文件数据存储与查询工具,补充和加强自然调查工作流程。
域/ DNS / IP相关调查可以采取许多不同的形式,在许多不同的方向追求相关和有用的信息。威胁猎人或分析师在SOC / NOC(安全/网络运营中心)可能是研读威胁指标以评估风险水平和实时定义适当的防御postures-often面临相当大的压力。在网络犯罪的调查中,attribution-knowing“谁真的是”背后观察活动域名或IP地址可以是一个关键的目标,是否起诉威胁演员的评估一个特定的实体构成的风险。在所有情况下,这些类型的调查常常涉及到许多不同的筛选数据连接这些点和追踪一个有用的身份或概要文件的主题。
虹膜的设计深受近距离工作的一些世界上最好的网络情报调查人员了解和建立他们的工作流,目标,和操作约束。
关键概念
有一些概念和隐喻在虹膜将成为核心的使用产品。它将有助于熟悉这些想法介绍产品本身。
- 搜索:大多数调查的入口点是一些数据,一个域名,一个IP地址,人的名字,等。虹膜的搜索框接受任何上述情况,和更多的,起点为您调查。搜索功能使一个聪明的猜测什么类型的数据输入(例如,domaintools.com是解释为一个域;4.2.2.2被解释为一个IP地址,等等),并给出了搜索结果,您就可以开始更深层次的探索。
- 调查:调查的组织“容器”的所有相关的查询操作你的努力。然而,您还可以执行特别的搜索没有命名的调查。
- 数据小组:各种类别的信息,或解释报告的数据,显示在窗格称为数据面板,您可以添加、删除和重新排列。示例数据面板表,主引擎生产,可视化,Whois历史和统计数据。
- 旋转:“主”的概念是许多调查的基础是,给定一个起点,发现连接到一个或多个相关项目。例如,如果出发点是一个域查找,一个常见的主是电子邮件地址的域名的注册人。这个主显示所有其他领域的DomainTools数据库连接的电子邮件地址。许多数据点作为pivots-IP地址,注册人姓名、名称服务器等。大多数数据类型虹膜可以作为枢轴点所示。
- 操作菜单:许多数据点使枢轴点或其他探索。您可以右键单击这些据点来调用一个操作菜单,为推进investigation-usually提供选项来执行一个主,启用一个过滤器,或看到的数据进一步详细信息。
开始
https://research.domaintools.com/iris/
DomainTools虹膜需要一个企业账户登录,您的帐户必须包括虹膜访问。一旦你登录到虹膜,最初的着陆页面显示一个搜索框,你可以开始你的调查从一些最常见的入口点:
- 域名(单个或列表中,逗号或空间分隔)
- IP地址(单个或列表中,逗号或空间分隔)或范围
- 注册人名称(个人或组织)
- 注册人邮件(单个或列表中,逗号或空间分隔)
- 名称服务器
- 注册人的电话号码
- SSL散列
进入其中一个查询类型带给你虹膜的主要接口,使用默认的数据面板显示搜索结果(或准备显示)。
您还可以打开一个现有的调查从登录页面,如果你有以前创建的一个。
虹膜API
自动化或自定义工具,可以利用虹膜数据规模符合互动调查(而不是高浓缩),一个API端点提供相同的数据集虹膜UI是可用的。点击这里获取更多信息的API。
虹膜接口
界面有四个主要部分:
- 搜索和筛选栏
- 搜索历史记录
- 导航栏
- 面板数据
1)搜索和筛选栏2)搜索历史3)导航栏4)面板数据
搜索和筛选栏:你在搜索框中输入查询的工具。你的搜索条件列为过滤器在绿色盒子顶部的显示,你可以修改查询通过移除过滤器(单击x在绿色盒子)直接从过滤器栏。您还可以通过点击“返回”重新审视之前的搜索按钮。
搜索历史记录:这显示记录“breadcrumb trail”你的查询和轴心。它可以帮助你回想,探索不同分支机构的调查,并创建一个记录的步骤,让你到一个特定的结论。您还可以添加注释到搜索历史上每个节点。
导航栏:您可以创建或打开调查,启动一个特殊搜索,调整布局,或返回到主页导航栏。
数据面板:这就是你进行你的调查工作搜索,过滤和轴心。每个数据面板有一组特定的目的和它显示的信息。
安排数据面板
有几种预定义布局(数据面板的安排)。你可以选择你最喜欢的预定义布局,或者你可以通过点击“保存”保存自定义布局图标。默认情况下,所有数据面板是活跃在启动虹膜时,尽管一些通过标签被组合在一起。如果你正在与一个相对较小的屏幕区域,您可能希望隐藏这些数据面板使用很少为了给其他人更多的空间。
你可以控制个人数据面板在屏幕底部的标签。
酒吧顶部的标签告诉你每个选项卡是否包括(蓝色)、最小化(白色),或者最大化(绿色)。
一旦你已经确定您想要显示的数据板(或简单地使用默认值),可以灵活地安排它们以适合你的工作流和可用的显示区域通过拖拽面板的标题到所需的新职位。虹膜将显示在面板如何坐,和其他人如何重新排列,当你将它拖在空间。
您还可以执行以下操作的数据面板(或ctrl - click)单击右键选项卡:
- 劣质冲浪板在新的浏览器窗口中打开数据面板。然后您可以定位板无论你的愿望。
- 最大化给出了所选数据面板整个数据面板空间。(你也可以通过双击选项卡)。
- 关闭:你可以完全关闭数据面板。要重新打开它,单击选项卡或去右下角的布局控制调用一个包含布局面板。
最大化面板:你可以最大化一个面板使用整个空间通过双击选项卡。一旦面板最大化,可以使其重新融入空间通过双击选项卡。
调整布局:你总是可以恢复默认或任何预设的布局通过单击面板控制和选择你想要的布局。
搜索历史记录
搜索轨迹显示在搜索历史记录栏,与当前(或最近)搜索。历史上每个节点图代表一个特定的查询。默认情况下,搜索历史有一个紧凑的显示。你可以扩大显示分支通过单击按钮在最右边显示扩张。这将打开显示器显示任何分支在当前搜索。您也可以点击显示历史;看到前面的所有搜索的调查。
- 你可以点击左右箭头在搜索历史记录栏中向前和向后查询记录的历史痕迹。
- 点击查询节点历史回顾,填充所有的面板数据
- 悬停在节点调用一个工具显示各种关于查询的详细信息,并允许您突出显示或删除节点。
- 被动DNS(生产)查询是描绘成蓝色“文档”图标。其他查询被描绘成绿色圆圈。
调查指出
你可以添加笔记来搜索历史上任何节点。您可以使用notes搜索的提醒自己有趣的方面,或与其他用户共享的信息搜索在你的团队如果调查是共享的。在指出存在一个节点时,节点表示的数量多少笔记。
- 每个音符是300字符的限制。但是,您可以添加多个notes /搜索节点。如果调查是共享的,集团的任何成员可能造成笔记。
- 如果你输入一个IP地址、域名、电子邮件地址,或者名称服务器在你的笔记,虹膜使操作菜单,这样你就可以直接从notes搜索或筛选。
搜索历史记录的逻辑
- 通常,每一个新的查询添加一个节点前面右边的节点。
- 当你重新审视一个查询,然后做一个新的查询早些时候,与最新的节点路径分支,低于最初的一个分支。
- 绿色表示活动路径。查询,早些时候当你重新审视一个节点(s)右边的重新审视节点变黄是一个迹象表明,它们可能会丢弃路径。如果你重新审视一个黄色的节点,使一个新的查询,它变得活跃(绿色)。
- 在紧凑的视图中,在绿线代表一个分支。您可以扩大搜索历史的分支。
- 当你点击“删除”,您可以选择删除该节点,该节点和所有的孩子。
“突出显示”按钮的地方标记节点的搜索历史使它容易发现和讨论有趣的结果集。
您可以创建一个新的空历史分支通过单击+按钮。你的下一个查询将根节点的新分支。你也可以开始一个新的分支与当前节点作为根。为此,单击管理历史> >开始新的历史分支与当前搜索
注意:一旦你删除一个节点或一个分支,它不能被恢复。
主引擎
主引擎是许多调查虹膜的核心。它是一个互动显示,使许多不同的调查功能,包括排序、过滤、检查(通过域名查询服务和其他工具),或许最重要的是,绕着各种各样的点。
表列(字段)
默认情况下,表包括所有字段:
- 域
- 标签
- 风险评分(专有域风险评分)*
- 电子邮件(注册人邮件)
- 电子邮件域
- 联系信息(注册人、管理、科技、计费、SOA等)
- 注册人
- 注册人组织
- 注册商
- 注册状态
- 活跃状态(或活动)
- 创建日期
- 截止日期
- 名称服务器
- IP(地址、ISP、ASN,国家)
- 广告联盟
- Alexa排名
- 谷歌分析
- 网站响应
- 重定向
- 重定向的域
- MX(邮件交换器)的信息
- 防晒指数(发送方政策框架)的规则
- SSL证书哈希
- SSL证书的组织
- SSL证书的国家
- TLD(启用排序/过滤TLD在大型结果集)
*注:风险评分是一个可选的附加虹膜。没有这个插件,本专栏的标签是“接近”,反映了只有域连接已知的恶意域名的水平。
你可以控制哪些字段/列显示在左上角,点击“设置”菜单的主引擎,然后选择的观点从菜单中。使用复选框来选择你希望看到哪些列。
你可以从中挑选几个预定义的视图,或者保存列选择一个自定义视图。您还可以通过单击重新订货主引擎列订购从相同的菜单按钮。
注意:并不是所有的域将所有字段的数据。DomainTools试图收集每一列所代表的信息,但在大多数情况下,至少有一些字段将是空的。域相差很大在如何注册和配置。
工作表
新调查总是首先搜索一些术语。如果找到这个词在DomainTools数据库中,表中的相关结果显示面板(和其他数据稍后讨论)。一旦你有了一些结果,有几种相互作用可以从主引擎表执行。
你可以填充其他数据面板(如域配置文件和Whois历史)与特定的域的详细信息表中通过单击域名。如果只有一个域匹配查询,默认显示这些细节。
操作菜单
虹膜的许多点都有一个关联的右击菜单操作。
操作菜单提供选择与你选择的数据。所有操作菜单包括过滤器控制(在下面描述),但一些点额外的选项,如IP与工具或与领域相关的工具。操作菜单也显示有多少域DomainTools数据库中匹配选择的数据。
标签域
虹膜允许您添加您自己的域标签,以添加上下文域你调查,并使搜索和筛选标记。您可以添加标签的主引擎,从域配置文件,或者检查视图。在主引擎,你可以选择添加多个标签通过复选框选择域的域列。“添加标签”出现在域名的操作菜单,以及在选择栏顶部的主引擎,当你通过复选框选择域。您使用类似的控件删除标记。如果你想添加或删除一个标签,开始输入标签名称和虹膜将显示任何匹配的标记。标签是在属性面板中也能看到。
你可以管理你的标签通过标签管理器,它可以从导航栏。在标签管理器中,您可以看到所有标签你或任何组织创建,也可以看到任何标签描述可能是添加用户。当您选择一个标签,你也看到任何域相关的标签,你可以发起一个新的搜索或主在这些领域。
此外,标签可在属性面板中,可以选择或者从主引擎没有出口到. csv。
注意:标签在集团层面共享。这有助于团队成员之间的协作。标签不是共享群组之外的,所以如果你出口一个虹膜调查散列用户群组之外,他们将不会看到你的标签。集团共享标签是独立于共享调查功能。
枢轴点:
大多数细胞表中允许你“主”,通过选择数据点,以提高你的调查“新搜索”在操作菜单上的项目。
例子:假设我们想了解更多关于背后的组织domaintools.com的网站:
- 首先搜索术语“domaintools.com”。这将返回表中的一行反映所有已知的点为domaintools.com。在邮件中列,您可以看到,与领域相关的电子邮件(电子邮件保护)
- 右键单击电子邮件地址,从操作菜单中,选择“新搜索。”这是一个“主”电子邮件地址。
- 每个域绑定到表现在显示了(电子邮件保护)
- “扩大”也促进了一个支点,通过包括原始域和添加任何其他选择相匹配的数据。
引导枢轴点:帮助你快速识别潜在有价值的轴心,虹膜强调任何连接到500或更少的域的主。500年这个阈值是可配置到一个较低的值,如果需要和导游可以完全关闭。您配置引导从设置菜单中枢轴点左上角的主引擎。突出的阈值可配置域或全球。对于每一个引导的轴心,相关联的域将显示平均风险作为一个快速严重程度的指标。
主预览:当你打开操作从一个引导主菜单,您可以打开一个预览后面的域主之前做的主。当你点击放大镜图标,预览窗口打开屏幕的右边。这个预览显示域的名称和领域的风险分数域“后面”主。这个视图还显示有多少背后的域主已经和额外的环境你结果集的一部分。平均风险和年龄的域。
从内部过滤表:
操作菜单包含的命令缩小搜索,扩大搜索,新的搜索,排除。这些提供相同的功能,在高级搜索过滤器中,但允许您方便的探索从内部表本身而不必复制并粘贴到过滤器控制这个词。“缩小搜索”意味着新的搜索必须匹配原始搜索词和刚才点击的项目(它执行逻辑,两项)。“扩大搜索”意味着新的搜索可以匹配原始搜索或任何包含项目你只要点击(它执行逻辑或两项)。“排除”删除任何包含数据的领域你想排除。
显示在表上方显示这些过滤器的过滤器。绿框与一个单杠表示逻辑“或”查询,和盒子没有连接其他代表”和“语句。一些用户(这似乎违反直觉,但连接框代表一个扩展过滤器,而断开连接框代表一个缩小。)
点击旁边的“X”一个过滤器一项刷新结果与这一项消除。
列排序:
你可以在大多数表中的列。单击列标题切换升序/降序排序。
关于排序的电子邮件和电子邮件域列:给定域相关联的可能有几个不同的电子邮件地址。这有着重要的意义,可以让这些主引擎表中的列排序。那种逻辑看着字母数字混合最低/最高电子邮件地址,并将这个地址域包含在第一行(或最后,取决于升序和降序排序)。接下来是域与第二个最低/最高的电子邮件地址,等等。因此,表的第一行不一定包含所有排名最高/最低的电子邮件地址在整个基础将包含它的“拥有”电子邮件地址,其中一个将是一个匹配的排序规则。
例子:升序排序。域已经邮件”(电子邮件保护)”和“(电子邮件保护)“虽然域B电子邮件”(电子邮件保护)”和“(电子邮件保护)“域表的第一行,因为“01 abc”比“爱丽丝”作为最低的字母数字值。
降序排序,相同的域:B是顶部,因为“bob”是并列最高的,但从B是字母数字混合“爱丽丝”高于“01 abc”。
这个逻辑的“电子邮件”、“电子邮件域。”
注意:
- 你不能在名字服务器列进行排序。
- 主引擎表不支持嵌套的排序。
分页和结果集的大小
虹膜支持搜索会返回大量结果。当搜索返回表中的超过500行,结果是分页,每个页面能够支持到500行。
由于灵活的搜索过滤器的性质,也相对容易创建一个搜索过于宽泛。例如,搜索一个更大的隐私服务电子邮件地址,或部分电话号码,会太过宽泛。在这种情况下,虹膜问你缩小你的查询返回一个错误。一般来说,执行一个搜索初始结果集内(通过创建一个逻辑和过滤或旋转数据)会给好的结果。
历史逆转Whois查询
DomainTools一直在收集数据域自2000年代初。除了当前记录,虹膜匹配可以找到历史记录的电子邮件地址和注册人信息查询。具体来说,三种查询类型支持的电子邮件地址,注册人,“谁记录包含。”By default, historical search is enabled, but you can disable or modify it from the Pivot Engine Settings menu:
全球控制历史搜索:您可以禁用或启用历史搜索全球结算顶部的复选框。你也可以单独控制这三种支持的查询类型。
每次搜索覆盖:在单个搜索,您可以启用或禁用历史查询三个支持字段。覆盖,打开高级搜索控件,单击历史图标,重新运行查询。记住,只有上面列出的三种查询类型符合历史搜索。
注意:启用了历史搜索,你有时会看到域的主引擎,查询不匹配。这样做的原因是,在一段时间域的历史,它匹配查询。看到的记录(s)域匹配查询,单击“查看历史比赛。”这将打开Whois历史最近的搜索词匹配的记录。
活跃的和不活跃的领域:虹膜将与一个图标表示当一个域是不活跃的域名附近的主引擎,和状态栏。明显不活跃,域不能注册,不得委托在DNS中。因为可以有不寻常的情况下,注册域名不解决,或者未注册的域名做解决,两种情况下(不注册,不委托)必须对域是不活跃的。
高级搜索控件
先进控制允许您堆叠多个过滤器来完善一个特定的搜索的结果,并允许您设置偏好的显示数据保存在搜索
过滤器:过滤器顶部是原始的搜索词;然后您可以精炼你的搜索通过添加更多的过滤器。对于每一个过滤器,你选择字段,该字段的匹配规则。例如,你的领域可能会是“注册人”和你的匹配规则可能是“匹配”或“不匹配”。
一种强大的方法来获得的见解是把过滤器,它允许您定制搜索你寻求的确切信息。有两种方法,过滤器可以组合:
- 扩大你的搜索是一个逻辑”或“新过滤器和一个上面。例如,您可以使用“扩大搜索”找到任何域名的注册人是“(电子邮件保护)”或“(电子邮件保护)”
- 缩小你的搜索范围是一个逻辑”和“新过滤器和一个上面。例如,您可以搜索域名的注册人是”(电子邮件保护)”和创建或之后的7月4日,2002年。
一些字段/列,如风险评分或日期字段,支持定量匹配规则,如“大于”,“等于”,等等。
比赛规则因领域不同而有很大差异,但总的来说,以下是可用的:
- 始于
- 匹配
- 完全匹配(区分大小写)
- 不匹配
- 不完全匹配(不分大小写)
- (包含匹配如果发现任何术语查询中)
- 包含所有
- 不包含
- 不包含所有
- 结尾
- 大于
- 大于或等于
- 匹配(量化“等于”字段)
- 等于或小于
- 不到
- 完全
另一个有用的搜索方法在先进控制允许您找到一组域包含一个特定的字符串或关键字。例如,通过选择字段”领域,“规则”,“和字符串“domaintools”,你可以看到所有域包含该字符串在他们的名字。您可以指定是否关键字出现在一开始,结束,在域名或任何地方。
下载主引擎结果
主引擎的数据可能对你有价值的使用在其他系统中,共享托管组,或进行进一步分析。下载控制是略高于左上角主引擎的表。您可以下载的内容主引擎的三种格式:
- 作为一个. csv文件
- 作为斯蒂克斯1.2文档
- 作为斯蒂克斯2.0文档
请注意:一些字段在主引擎包含多个值。例子是IP地址和名称服务器。为了适应多个值,您可能会看到一些列重复. csv导出。维护一个值在每个单元的桌子. csv。
关于斯蒂克斯的更多信息,请参阅https://stixproject.github.io/
被动DNS(生产)数据面板
一些最有价值的信息基础设施通常来自被动DNS数据。通过展示当前和过去的域IP决议和日期戳托架给定分辨率观察时,生产基础设施可以帮助研究人乐动体育网址员构建地图的威胁,和描述单个或多个域或IP地址。对于一个IP地址,知道域托管在它(和之前)可以帮助评估的IP地址的威胁程度,和在一个域的情况下,了解IP域或主机名已经决心能够帮助研究者了解更多的领域。生产数据小组作品交互与其他数据面板等主引擎或可视化。
虹膜中的生产数据包括以下记录类型:
- 答:IPv4决议域和乐动体育网址子域/主机名(默认情况下,生产面板显示了记录)
- AAAA级:IPv6域和子乐动体育网址域的决议
- NS:名称服务器
- SOA:开始权威的电子邮件地址和名称服务器
- MX:邮件服务器主机名和IP地址
- 一个主机名映射到另一个CNAME:别名记录
- TXT:可选全方位记录可能包含任意的描述性信息
查询生产数据主要有两种途径:直接从在虹膜或主。
- 直接:在主虹膜的搜索框,或在生产数据面板中,您可以输入一个词在搜索框中,并使用生成的数据集。
- 作为一个主:你可以调用一个操作菜单上域名或IP地址在虹膜和查询域名或IP解析数据的生产。数据出现在生产数据面板。
查询和响应
一般来说,当你感兴趣的一个域名,最有趣的记录是记录给该域名的IP地址(es)。同样地,当你感兴趣的一个IP地址,最有趣的记录通常是记录所有领域,解决IP地址(或解决)。每一种情况下从不同方向看了一个记录。”In the pDNS panel, this is handled by the query/response toggle next to the search box.
例子:
- 域(或主机名)为起点:查询设置给你相对应的IP地址域。相同的领域出现在每一行,因为域名查询,IP地址(es)的响应。
- IP地址为起点:响应设置给你所有的域这个IP地址是对策的必要性——换句话说,所有的域承载在IP。
扭转这些通常不产生许多记录常常没有。这是因为在DNS记录,域是IP地址的查询和响应。如果你输入域切换设置为响应,或与开关设置为一个IP地址查询结果,如果没有出现,尝试翻转开关并重新运行搜索。
注意:在技术方面,查询是rrname, rtype的记录类型,rdata响应。
排序和过滤
你可以在生产表的列将最相关的项目表的顶部。您还可以使用过滤器控制表上面缩小数据向你寻求的答案。
发送到主引擎
当你在生产开发的一组结果,想知道更多关于域的结果集,您可以单击“主引擎”查找域。有三个选项:
- 新的查询:这仅仅执行一个主引擎搜索域从生产面板
- 逻辑或现有的查询:这扩展现有的主引擎查询包括任何从生产领域,不属于现有的查询
- 逻辑和现有查询:这种缩小现有的主引擎查询,查询现有主引擎的交集过滤器和域(s)从生产
注意:而命令贴上“主引擎,”产生的查询也将在可视化观察,统计数据等
SSL配置文件数据面板
SSL证书是一个很好的描述域和发现连接相关基础设施。SSL配置文件数据面板允许您详细检查证书,在某些情况下,找到额外的枢轴点,其他地方不可能得到的。
当DomainTools发现不止一个证书在一个域名,虹膜在单独的选项卡显示了证书。
额外的轴心的SSL / TLS证书在主题选择名称部分。从这一节中,您可以右键单击任何领域打开一个操作菜单。如果你想要检查所有的域这一节中,您可以单击按钮如下图所示将所有域主引擎。通过这种方式,您可以找到更多关于注册,基础设施和网络领域的元数据。
可视化数据面板
识别和解释之间的关系往往是很重要的领域,注册者,其他IP地址,点。而主引擎表通常包含的数据定义了这些关系,很难快速洞察当单纯依赖表。可视化数据面板图形描述了关系和连接,并允许您修改您的查询从视觉上的节点图。
力布局和蜂巢布局
有两种不同的可视化类型:力和蜂巢。力布局显示实体之间的关系,安排“引力”域或数据点。力布局是一个很好的方法来看看各种数据点连接到域或彼此。蜂巢布局安排域顶部,和其他数据点(“焦点”)和边。这是特别有用,它让我们看到了许多域共享一个给定的数据点,或看到的光谱定量数据点(如创建日期或风险/接近分数)反映在你检查域的集合。
从图形旋转和过滤
您可以右键单击图表中的一个节点来调用一个操作菜单,它允许您主,过滤器等。
操作图
双击一个域名或IP地址节点将物品到各自的配置文件数据面板。当你徘徊在图上的一个节点,该节点和直接连接到它突出显示。你可以放大和缩小图,也可以拖力布局中的一个条目以将最有趣的数据中心。在蜂巢的布局,你可以使用滑动条来过滤程度的链接设置根据有多少个节点共享一个给定的数据点。
例子:如果三个域共享一个创建日期,和四个领域分享另一个创建日期,通过移动的联系程度最低四,你过滤掉三个域共享首先创建日期。
你可以看到一个完整的图形控件通过单击列表吗?按钮。
数据统计/ IP工具面板
统计数据
当一个查询生成一个结果集的两个或两个以上的领域,它可以有助于在某些关键据点,看到总统计识别集群的相关对象或发现模式。
面板显示统计数据出现的次数越来越多在显示结果集。在某些情况下,例如日期字段和风险评分,在结果集分组域集,而不是单个值。
每个数据类型的图形化表示(IP国家地图和饼图),并在一个表。悬停在一个项目图中突出了相应的数据表中,反之亦然。图和表也描绘了相对(图)和绝对(表)中的每个值出现的次数的结果集。
右键单击任何数据调用相应的操作菜单。你可以选择任意的操作继续调查。
注意:数据聚合数据2500条记录(域)。为结果集超过2500域,数据仅覆盖第一个2500域。
IP工具和IP配置文件数据面板
IP配置文件类似于域配置文件面板。它提供了关键的据点,以及原始名目项记录,为IP地址。你可以在IP本身主为了修改或开始搜索地址。
有三个工具中可用IP数据工具面板。
- 萍:它可以有用ping IP地址从源除了自己的位置。这通常会告诉你是否可获得的IP地址,并且由于ping源自DomainTools而不是从自己的电脑,目标IP地址没有记录你在联系。
- 路由跟踪:萍,你可以看到从DomainTools traceroute执行的结果(而不是从自己的电脑)。这能够让你了解托管、路由和IP地址的可达性。
- PTR:DNS记录指针(PTR)是常用的一种反向DNS查找。它显示了IP地址的CNAME,告诉你地址的实际所有者(通常是一个托管提供商)但不一定的域可能驻留在这个地址。
域名查询服务历史数据面板
调查谁拥有或控制一个域可以受到私人或伪造数据域的域名查询服务记录。然而,在许多情况下,早期Whois记录显示有用的所有权信息。当找到这些信息,然后您可以采取其他措施来帮助确定所有权信息历史记录对应的当前所有者域。
Whois历史数据面板显示,默认情况下,当前的域名查询服务领域,记录与垂直轴的日期早些时候DomainTools历史名目项记录。您可以单击一个日期在垂直时间名目项记录的数据,或者您可以使用以前的和下一个按钮来浏览的历史记录。
视图的变化:有三个不同的视图,描述当前显示之间的变化,立即之前的域名查询服务记录。并排和内联视图名目项记录中突出显示的行两个记录之间的不同。原始记录只显示了两个记录并排,没有亮点。
独特的电子邮件:注册人邮件地址从名目项记录也显示出来。您可以右键单击电子邮件地址来调用基本的主操作菜单(缩小搜索,扩大搜索,新的搜索电子邮件地址)。
承载历史数据面板
域的过去常常可以提供有价值的线索域本身以及控制的实体,当前或历史。有时这些记录提供了一个“缺失的环节”寻找难以捉摸的细节或所有权确认连接到其他域名或IP地址。承载历史数据面板巩固三类DomainTools历史信息的数据库:
- IP地址历史提供当前和以前的IP地址的域名托管。你可以点击任何一个IP地址搜索域承载。注意:结果你看到当点击域名的IP地址将主持目前,而不是历史。
- 名称服务器历史提供当前和以前的域名服务器,提供域名的DNS解析。你可以点击任何名称服务器的域服务。注意:结果你看到当单击名称服务器的域目前服务于他们,而不是历史。
- 注册的历史提供当前和先前的注册,域名的登记记录。你可以点击任何注册查看域目前注册它。注意:结果你看到当点击注册将域目前服务,而不是之前。要知道,对于很多注册(如GoDaddy NameCheap上1 -等),这个数字将是非常大的,不得作为实际的搜索查询。
截图历史数据面板
通常可以获得洞察一个域通过查看当前或历史领域主要的Web页面的截图。截图历史数据面板提供了一个索引的日期为域DomainTools已存档的截图。如果截图历史是空的,你也可以截图队列域,将一般可在24小时内(通常更早)。注意:许多领域在调查中不安全的访问,但它可以是有价值的,看看他们的主要页面的样子。您可以使用截图域配置文件数据面板上看到当前截图,而不必访问这个网站。当多个历史截图都是可用的,你可以浏览使用<或>按钮。您还可以看到所有历史截图在滚动栏中点击“看到所有”。
域配置文件数据面板
虽然主引擎表的列显示大量的信息域进行审查,可以方便的查看单个域信息一目了然。域配置文件数据面板提供了这样一个观点。调用它通过单击域名主引擎表中的细胞,或通过双击域节点在可视化。与其他数据面板,您可以把它在其默认位置,重新定位它,或者关闭它。
域配置文件面板显示以下信息:
- 域名
- 电子邮件地址(es)
- 注册人组织
- 注册商
- 注册状态
- 域名服务器
- IP地址
- IP位置
- ASN
- 域名查询服务历史的总结
- IP地址历史总结
- 注册的历史总结
- 名称服务器历史总结
- “原始”名目项记录
- 风险/接近得分
- 截图
您可以右键单击的点菜单调用context-appropriate操作。对于总结历史,您可以单击总结提出相应的数据面板。
IP配置文件数据面板
就像域配置面板中,IP配置文件数据面板提供简要信息的IP地址来帮助指导你的调查。您可以右键单击该IP地址来调用一个操作菜单来推进你的调查。
固定板
它可以是有用的能够比较域名或IP地址是一个更大的结果集的一部分,或者是不同的结果集的一部分。从主引擎、可视化和其他地方,有一个操作菜单项叫做“销这个域”(或IP)。导航栏中的固定面板控制切换显示开启和关闭。显示打开,您可以检查和比较固定的剖面视图对象在一个新的面板中,可以从导航栏访问。这个视图还强调差异域/ IPs让他们容易发现。
注意:固定板是全球性的,而不是per-investigation。这允许您比较域名或ip从不同的调查,你认为可能共享共性。
反向MX(虹膜调查)
您可以轻松地搜索MX记录直接从虹膜的顶部的搜索框,也可以在MX主数据找到相关基础设施,只需滚动到邮件服务器数据类型中的每一个域主引擎。
分享调查
如果你是一个成员的一群DomainTools用户在你的组织,你可以选择与他人分享调查小组。你也可以接受调查,其他人与你共享。共享集团;也就是说,您不能选择个体成员与谁分享集团展开调查。
默认情况下,调查是私有的。如果你想分享一项调查,可以通过单击分享按钮。
你可以分享或共享调查在任何时候通过编辑共享设置。有三个级别的控制可以给别人:
- 与我分享这次调查DomainTools组:其他群组可以看到调查作为一个只读工件;他们可能不执行轴心、删除等。然而,他们仍然可以探索各种数据面板数据的不同方面。
- 允许其他人编辑这个调查:可以做轴心集团任何其他成员,新搜索过滤器,等。不过,他们可能不删除任何节点搜索历史。
- 允许其他人删除搜索:组内的所有成员有同等的特权的调查,包括搜索历史记录中删除节点。只有原始所有者可以删除调查本身或编辑它的名称和描述,但在其他方面所有的小组成员都具有相同的权限。
看到其他成员采取行动
当一个调查与你共享,你浏览器收到通知,如果允许他们您的浏览器设置。调查还将出现在你的调查名单。
当其他用户执行搜索或枢轴点,这些节点出现在搜索历史分享图标,并触发浏览器通知。节点添加其他最初将黄色,和将有一个微妙的蓝色动画“光环”,直到你承认变化通过点击其中的一个节点。如果你点击另一个用户创建的一个节点,该节点就会变成绿色(或白色,如果空的结果)因为它是那么你的当前节点。
如果你共享一个调查,所有其他调查的成员开放获得注意,调查已非共享,虹膜,重定向到主页时解雇通知。调查也从调查列表消失。
请注意:共享不影响其他用户的数据小组组织。如果爱丽丝与她的团队共享调查,注意到一些有趣的事情在可视化,其他组员不会自动指向可视化。如果她希望指出她的发现鲍勃,鲍勃将需要确保虹膜实例可视化是开放的。
调查报告
您可能希望与他人分享你的调查的结果你的内部或外部组织。您可以创建一个可打印报告,导出为PDF文档,使用以下信息从你的调查:
- 检查视图:从检查来看,你会有能力从每个下面的打印或导出为PDF选项卡;域配置文件,截图历史,Whois历史,承载历史,SSL配置。
- 标题和摘要:这些是来自名称和描述(如果有的话),你给调查。
- 调查路径以表格方式:搜索历史,表明什么行动导致每组结果。如果记录被添加到任何节点的搜索历史,都包含在报告中指出。
- 统计数据:统计的内容面板中列出的数据部分。
- 可视化:可视化图是描述。(注:对于大型搜索结果可视化图可能不是实际阅读打印页面。在这种情况下,您可以下载. svg文件直接从可视化数据面板为了有一个缩放,图像的高分辨率图像)。
- 主引擎:主引擎的数据以表格格式给出。报告对应的列在本节中列你看到在你的主引擎的观点。
有几个事情要知道如何生成报告:
- 该报告是基于当前的搜索。如果你有重新审视早先一步的调查但想报告的最后一步,一定要点击搜索历史上这一步之前,生成报告。
- 数据、可视化和主引擎数据面板必须活跃为了使其内容被包含在报告中。统计数据和主引擎不需要关注,但他们不能完全封闭。
- 可视化面板必须关注(即呈现在你的屏幕上)以被包含在报告中。该报告将显示可视化。这意味着你应该中心图形和调整缩放级别根据你希望看到在打印页面。
- 搜索结果500多个域,报告将反映结果的页面主引擎,您目前观看。例如,如果您已经主引擎第2页,报告将打印域的域和可视化显示在主引擎页面。
进行虹膜用户指南——第2部分
