DNS 信息收集实战学习心得:从 whois 到子域名枚举完整踩坑记录
前言
近期在 Kali Linux 环境完成了zonetransfer.me域名的全维度信息收集实操,完整走完 WHOIS 信息查询、DNS 服务器解析、子域名爆破、第三方站点情报核验、内网连通性测试全流程。本次实操是渗透测试情报收集阶段的经典训练靶场,过程中踩了不少 DNS 查询、信息检索的坑,也沉淀了一套标准化域名侦察思路,本篇结合实操截图记录完整学习思路、工具运用技巧与项目实现流程。
一、项目整体实现思路:渗透测试情报收集阶段逻辑
域名信息收集是 Web 渗透测试的前置核心环节,目标是在不触碰目标业务系统的前提下,最大限度挖掘域名归属、DNS 记录、子域名、关联邮箱、服务器线索,为后续端口扫描、漏洞挖掘提供目标资产清单。本次实操遵循自上而下的侦察逻辑:
- 域名基础确权:通过
whois命令获取域名注册商、注册人、域名状态、备案代理信息; - DNS 核心服务器探测:使用
dig工具查询域名 NS 记录,锁定目标权威 DNS 服务器; - 子域名资产枚举:自动化工具爬取公开搜索引擎、DNS 缓存库,批量挖掘隐藏子域名;
- 第三方情报交叉核验:使用 Netcraft 等平台验证域名解析有效性,补充线上备案、服务器指纹信息;
- 网络连通性基础测试:ping 工具验证 IP 可达性,区分内网 / 公网资产。 整套流程遵循最小暴露原则,全部操作属于公开合法情报检索,无主动攻击行为,是安全从业者标准信息收集流程。
二、分步实操实现、工具运用与技巧总结
(一)Whois 域名确权查询:摸清域名底层注册信息
实操命令:whois zonetransfer.me

从第一张图的返回结果可以拆解关键情报:
- 域名基础生命周期:2011 年创建,2028 年到期,运营周期长,属于长期维护的测试靶站;
- 注册商与投诉渠道:Mesh Digital Limited, Abuse 投诉邮箱
abuse@domainbox.com,后续遇到域名滥用可溯源; - 隐私保护特征:Registrant Name、地址、邮编全部标红
REDACTED,使用Domains By Proxy, LLC代理隐私保护,无法直接获取注册人真实信息; - 域名锁定状态:四条 EPP 锁定规则(删除 / 续费 / 转移 / 更新全部禁止),说明域名做了完整安全防护,无法随意转移、修改域名配置。
实操技巧:
- Kali 内置 whois 工具无需额外安装,部分特殊后缀域名(.me/.io)需要指定对应 whois 服务器,命令可追加
-h指定服务器; - 若 whois 返回信息过少,可切换线上 whois 网站交叉查询,补充工具缺失的备案数据;
- 重点关注 abuse 邮箱、注册商信息,遇到靶场之外的真实站点,该信息用于合规上报。
(二)Dig 工具解析 NS 记录:锁定权威 DNS 服务器
实操命令:dig ns zonetransfer.me

第二张图为 dig 查询 NS 记录的标准输出,拆解核心知识点:
- 状态码
NOERROR代表查询正常无报错,ANSWER SECTION 返回两条权威 DNS:nsztm1.digi.ninja、nsztm2.digi.ninja; - 本地 DNS 服务器为
192.168.80.2,是 Kali 虚拟机自带的内网 DNS 网关,查询仅耗时 4ms,解析效率极高; - NS 记录是后续 DNS 区域传输漏洞测试的核心目标,zonetransfer.me 本身就是专门用来测试域传送漏洞的靶场,拿到 NS 服务器后可进一步执行
dig axfr尝试漏洞利用。
实操技巧:
- dig 是 Linux 下 DNS 查询最强工具,相比 nslookup 输出结构化更强,支持 A/AAAA/NS/MX/AXFR 全类型记录查询;
dig +cmd参数保留完整查询头,便于复盘记录,日常情报收集建议默认携带;- 区分递归 DNS(本机 192.168.80.2)和权威 DNS(nsztm1.digi.ninja),递归服务器仅缓存记录,权威服务器存储域名完整解析数据。
(三)自动化子域名枚举:批量挖掘隐藏业务资产
第三张截图为子域名扫描工具输出,本次扫描共挖掘 9 个子域名、3 条关联邮箱,是情报收集阶段价值最高的一环。

挖掘到的资产清单:
子域名:castle、deadbeef、sqli、sshock、staging、tcp、testing、intns1、alltcpportsopen.firewall.test 关联邮箱:@zonetransfer.me、customer-service@zonetransfer.me、pippa@zonetransfer.me
思路与技巧:
- 工具检索逻辑:工具自动调用百度、Bing 搜索引擎爬虫,抓取公开页面暴露的子域名,同时检索 DNS 历史缓存库,挖掘未备案、不对外宣传的测试站点;
- 资产分类思路:从子域名命名可预判业务用途:
sqli大概率 SQL 注入测试页面、sshock为 SSH 漏洞靶场、staging/testing是预发布 / 测试环境,测试环境通常漏洞防护更薄弱,是渗透优先目标; - 信息拓展:收集到的邮箱可用于后续暴力破解、社工库查询,作为账号爆破的基础字典。
避坑技巧:
- 纯搜索引擎枚举存在局限,很多内网子域名不会被爬虫收录,实战中需结合 DNS 字典爆破、证书透明日志(crt.sh)多渠道补充;
- 扫描提示 “No IPs found” 代表部分子域名仅做 DNS 记录、未绑定公网 IP,无法直接访问,需单独标记区分活跃 / 休眠资产。
(四)第三方平台交叉核验:Netcraft 站点情报校验
第四张截图访问 Netcraft 站点报告,返回提示does not resolve to an IP address,验证了子域名扫描中 “无解析 IP” 的结论。

学习心得:
- 单一工具信息存在偏差,必须第三方平台交叉验证:本地工具查到子域名不代表公网可访问,Netcraft 会从全球节点发起解析,判断域名真实公网可用性;
- Netcraft 额外可获取 Web 服务器版本、站点上线时间、域名历史解析记录、备案企业信息,是情报收集的补充手段;
- 报错场景应对:遇到域名无解析时,无需继续针对该子域名做端口扫描,节约侦察时间,将精力转移至存活资产。
(五)Ping 连通性测试:区分内网存活资产
第五张图执行ping 192.168.150.129,0% 丢包、往返延迟低于 1ms,证明该内网主机完全可达。

运用场景与技巧:
- 区分资产环境:192.168 段是私网 IP,说明该资产是虚拟机内网靶机,而非公网服务器,公网渗透无需针对该 IP 发起操作;
- Ping 工具作用:快速 ICMP 存活探测,批量判断主机是否开机,TTL=64 是 Linux 系统典型特征,可初步判断操作系统;
- 限制场景:若目标防火墙屏蔽 ICMP 报文,ping 会全部超时,此时需切换端口扫描工具判断存活。
三、实操中遇到的问题与解决方案
- Whois 大量信息 REDACTED,无法获取注册人信息 解决思路:放弃 whois,转向子域名、备案平台、证书日志多维度收集,真实场景中隐私保护是常态,不能依赖域名注册信息作为唯一线索。
- 部分子域名无法解析公网 IP,Netcraft 校验失败 解决思路:区分测试环境 / 内网资产,单独归档,优先扫描带公网解析的子域名,减少无效探测。
- 初次使用 dig 查询 AXFR 域传送漏洞无返回 解决思路:必须指定目标 NS 服务器执行查询
dig axfr zonetransfer.me @nsztm1.digi.ninja,不指定 NS 会使用本地递归 DNS,无法触发域传送漏洞。
四、整体学习总结与后续拓展方向
本次以 zonetransfer.me 为靶场的 DNS 信息收集实操,让我建立起标准化域名侦察工作流:whois 确权→dig 提取 NS 服务器→子域名枚举→第三方平台交叉核验→连通性存活测试。过去我做情报收集只会单一使用子域名爆破工具,忽略 whois、DNS 记录、第三方平台的联动价值,实操后明白情报收集是多工具交叉印证的过程,单一工具会遗漏大量关键资产。
工具运用层面,不再只会图形化扫描工具,熟练掌握 dig、whois、ping 等 Linux 原生命令,底层 DNS 查询逻辑理解更透彻,能区分递归 DNS 与权威 DNS、识别 EPP 域名锁定、通过子域名命名预判业务风险点。
后续拓展学习计划:
- 学习 crt.sh 证书透明日志挖掘子域名,弥补搜索引擎爬虫的局限;
- 深入测试 DNS 域传送(AXFR)漏洞,掌握 zonetransfer.me 靶场核心漏洞利用;
- 整合所有工具编写自动化信息收集 Shell 脚本,一键完成域名全情报输出;
- 学习 Nmap 结合 DNS 资产清单做批量端口扫描,完成情报收集到漏洞探测的流程衔接。
信息收集是渗透测试的地基,地基打得越完整,后续漏洞挖掘效率越高。本次实操虽只是基础靶场训练,但建立的规范化侦察思路,能直接复用到真实企业站点安全评估工作中,是安全学习路上非常有价值的一次实战沉淀。
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐


所有评论(0)