子域名挖掘在线工具

以下是一些常用的子域名挖掘在线工具及相关技术细节：

1. VirusTotal

- 通过聚合多个数据源（如DNS记录、证书透明度日志）提供子域名查询功能，支持批量搜索和API调用。

- 基于证书透明度的特性可发现边缘子域名，尤其适合渗透测试中的信息收集阶段。

2. Crt.sh

- 专注于SSL/TLS证书的搜索引擎，通过证书中的Subject Alternative Name (SAN)字段提取子域名。

- 支持通配符搜索（如`%.example.com`），并能展示历史证书记录，有助于发现废弃但未下线的子域。

3. SecurityTrails

- 提供完整的DNS历史记录和IP关联分析，可追溯子域名变更轨迹。

- API接口支持自动化查询，适合与企业威胁情报系统集成。

4. DNSDumpster

- 可视化工具，基于DNS查询生成子域名地图，同时显示关联IP和端口开放情况。

- 结果可导出为CSV，便于后续分析。

5. Amass

- 虽然主要作为命令行工具，但其在线API版本支持被动扫描，通过WHOIS、DNS聚合等数据源枚举子域名。

- 独特优势在于能识别云服务（如AWS、Azure）相关的别名记录。

6. Sublist3r

- 开源工具的在线版本，整合搜索引擎（Google、Bing）、DNS缓存投毒等技术的扫描结果。

- 对规避爬虫限制有一定策略，但可能遗漏深层次子域。

7. FindSubdomains

- 商业级工具提供实时扫描和风险评分功能，可检测子域名绑定的服务漏洞。

- 支持自定义字典爆破，适合红队操作。

扩展知识：

证书透明度(CT)日志：现代子域名挖掘的核心数据源，CA机构必须公开颁发的证书，从中可提取大量隐藏子域。

被动收集 vs 主动爆破：前者依赖公开数据（如DNS、证书），后者通过字典或暴力破解生成可能子域组合，后者可能触发WAF警报。

子域名接管风险：若子域解析到未托管的云服务（如已删除的S3桶），攻击者可能劫持该子域。

工具选择需权衡覆盖率和隐蔽性，建议结合多工具结果交叉验证。商业方案如F5 BIG-IP DNS或Cloudflare Radar也可补充企业级需求。