web域名怎么收集

Web域名收集，通常被称为子域名枚举或资产发现，是渗透测试、安全评估、网络测绘和竞争对手分析中的一项基础且关键的技术。其核心目标是通过各种技术手段，尽可能全面地发现与目标主域名关联的所有子域名及其他相关域名，从而勾勒出目标的网络资产攻击面。

专业的域名收集方法主要分为以下几类，通常需要结合使用以达到最佳效果：

一、被动收集（OSINT）

被动收集不直接与目标服务器交互，而是通过查询第三方平台和公开数据源来获取信息。这种方式隐蔽性强，是初步信息收集的首选。

1. 公开DNS数据集查询：利用历史DNS记录数据库。这些数据库通过持续抓取全球DNS信息形成。

2. 证书透明度（CT）日志查询：根据CA机构公开的SSL/TLS证书日志，提取其中包含的域名和子域名信息。

3. 搜索引擎语法：利用搜索引擎的特定语法挖掘公开页面中提及的子域名。

示例：
`site:example.com` 搜索所有属于example.com的页面。
`-site:www.example.com site:*.example.com` 搜索非www的其他子域名。

4. 其他OSINT源：

• 网络空间测绘引擎：如 Shodan (`hostname:`)、Fofa (`domain=`)、ZoomEye (`site:`)、Censys，可通过主机名、证书等信息检索。
• 代码仓库：在GitHub、GitLab等平台搜索目标公司的代码，可能泄露内部域名、API端点。
• 域名备案/WHOIS信息：查询注册人、注册邮箱、电话等，可能关联出其他域名资产。

二、主动枚举

主动枚举会直接与目标的DNS服务器或网络进行交互，可能产生访问日志。

1. 字典爆破：使用预先准备的子域名字典（如 subdomains-top1million-110000.txt），尝试解析，根据DNS响应判断是否存在。

2. DNS区域传送攻击：尝试从主DNS服务器请求复制整个DNS区域数据。现代DNS服务器通常已禁用此功能，但旧系统或配置失误的目标仍可能存在。

3. DNS记录枚举：除了常见的A记录，还应查询CNAME、MX、NS、TXT等记录，这些记录可能指向其他相关的子域名或资产。

4. 泛解析检测与处理：如果目标配置了DNS泛解析（*.example.com 解析到某个IP），爆破会产生大量误报。需要先检测并过滤。

三、关联与扩展发现

不局限于单一域名，通过已发现的信息进行横向扩展。

1. 反向IP查询：查询一个IP地址上绑定了哪些其他域名。工具如：ViewDNS.info、网络空间测绘引擎。

2. ASN映射：先找到目标所属的自治系统号（ASN），然后枚举该ASN下的所有IP段，再反查这些IP上的域名。适用于大型企业。

3. 公司组织关联：通过企业名称、品牌、收购关系等，发现其可能拥有的其他主域名。

四、自动化工作流与最佳实践

专业的安全人员通常不会只使用单一工具，而是构建自动化工作流。

1. 工具链组合：例如，使用 subfinder、amass（被动模式）、assetfinder 进行多源收集，去重后使用 massdns/puredns 进行高速解析和泛解析过滤，最后用 httpx/nuclei 对存活的域名进行HTTP探测和指纹识别。

2. 持续监控：域名资产是动态变化的。通过定期（如每天）运行收集脚本，并与历史结果对比，可以及时发现新的资产，这对攻击面管理至关重要。

3. 合法性：务必在获得明确授权的前提下对目标进行主动枚举。未经授权的扫描可能违反《网络安全法》等相关法律法规。

总结：专业的Web域名收集是一个多层次、多源信息融合的过程。核心思路是：始于被动OSINT，辅以主动枚举，精于关联分析，成于自动化与持续监控。通过系统性地运用上述方法，可以最大限度地发现目标的数字资产，为后续的安全评估或研究奠定坚实的基础。