{"id":1561,"date":"2025-11-10T08:57:11","date_gmt":"2025-11-10T07:57:11","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/dead-domain-discovery-dns-un-veille-mortuaire-pour-les-domaines\/"},"modified":"2025-11-10T08:57:11","modified_gmt":"2025-11-10T07:57:11","slug":"dead-domain-discovery-dns-un-veille-mortuaire-pour-les-domaines","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/dead-domain-discovery-dns-un-veille-mortuaire-pour-les-domaines\/","title":{"rendered":"Dead Domain Discovery DNS – Un veille mortuaire pour les domaines"},"content":{"rendered":"

\nDead Domain Discovery DNS<\/a>
\n, c\u2019est un outil cr\u00e9\u00e9 par
\n Lauritz Holtmann<\/a>
\n, un chercheur en s\u00e9curit\u00e9 allemand et c\u2019est un DNS forwarder UDP super l\u00e9ger cod\u00e9 en Python qui \u00e9coute sur le port 53 de votre ordinateur et note tous les domaines qui ne r\u00e9pondent plus. Ce n\u2019est donc pas un scanner actif mais plut\u00f4t un observateur passif qui regarde passer les requ\u00eates DNS et rep\u00e8re les morts.<\/p>\n

Vous configurez Dead Domain Discovery comme votre serveur DNS primaire comme \u00e7a, toutes vos requ\u00eates DNS passent par lui. Il forward ensuite \u00e7a vers un resolver upstream, genre Google DNS ou Cloudflare. Si un domaine ne r\u00e9sout pas, il r\u00e9essaye sur un resolver secondaire mais si le secondaire \u00e9choue aussi, il marque alors le domaine comme \u201cpotentiellement mort\u201d puis toutes les 15 secondes, il vous envoie un message contenant les nouveaux domaines HS d\u00e9couverts.<\/p>\n

Les notifications partent sur Telegram, par email, ou via un webhook selon ce que vous voulez. Rassurez-vous, y\u2019aura pas de fausse alerte \u00e0 r\u00e9p\u00e9tition puisqu\u2019un domaine notifi\u00e9 une fois ne l\u2019est plus pendant un certain temps.<\/p>\n

L\u2019int\u00e9r\u00eat pour les chercheurs en s\u00e9curit\u00e9, c\u2019est que les domaines morts sont une surface d\u2019attaque int\u00e9ressante. Un domaine expire, quelqu\u2019un d\u2019autre le r\u00e9enregistre mais comme les enregistrements DNS qui pointaient vers l\u2019ancien propri\u00e9taire existent toujours, \u00e7a ouvre des portes pour mettre en place des sous-domaines, des CNAME, charger des scripts externes autoris\u00e9s\u2026etc car tout continue de pointer vers le domaine mort. \u00c7a permet de contr\u00f4ler une partie du trafic autoris\u00e9.<\/p>\n

Cette attaque est connue et s\u2019appelle le
\n subdomain takeover<\/a>
\nou domain hijacking. Par exemple en 2024,
\n l\u2019attaque Sitting Ducks a mis plus d\u2019un million de domaines \u00e0 risque<\/a>
\n, exploit\u00e9e par des cybercriminels russes. Et d\u00e9but 2025,
\n des domaines expir\u00e9s ont permis de contr\u00f4ler plus de 4000 backdoors<\/a>
\nsur des syst\u00e8mes gouvernementaux, acad\u00e9miques et priv\u00e9s. La campagne SubdoMailing a m\u00eame utilis\u00e9
\n plus de 8000 domaines l\u00e9gitimes<\/a>
\npour envoyer des emails de phishing, en exploitant leur r\u00e9putation pour contourner les filtres anti-spam. Donc autant vous dire que c\u2019est un vrai probl\u00e8me\u2026<\/p>\n

Dead Domain Discovery vous aide donc \u00e0 trouver ces domaines avant qu\u2019un attaquant ne le fasse. Ensuite, si le domaine est r\u00e9enregistrable, vous avez 2 options. Soit vous le r\u00e9enregistrez vous-m\u00eame pour s\u00e9curiser votre infrastructure, soit vous signalez le probl\u00e8me au propri\u00e9taire du site qui r\u00e9f\u00e9rence ce domaine HS.<\/p>\n

L\u2019infra recommand\u00e9e par Lauritz pour faire tourner Dead Domain Discovery est un Raspberry Pi configur\u00e9 comme DNS primaire de votre r\u00e9seau. Faible conso, c\u2019est toujours allum\u00e9, et \u00e7a permet de tout surveiller en continu. Mais vous pouvez aussi le d\u00e9ployer sur un VPS si vous voulez monitorer un r\u00e9seau distant.<\/p>\n

Notez que les notifications Telegram n\u00e9cessitent un bot API token et un chat ID. L\u2019email passe par du SMTP classique et les webhooks acceptent des headers personnalis\u00e9s, ce qui est pratique si vous voulez int\u00e9grer \u00e7a dans votre syst\u00e8me de monitoring existant.<\/p>\n

L\u2019outil dispose aussi d\u2019une
\n extension Chrome<\/a>
\nqui fais la m\u00eame chose et scanne les pages web pour iframes, scripts et autres styles externes, puis v\u00e9rifie si leurs domaines r\u00e9solvent. M\u00eame auteur, m\u00eame principe, mais c\u00f4t\u00e9 navigateur. L\u2019extension utilise l\u2019API Google DNS pour v\u00e9rifier les domaines et ne communique aucune donn\u00e9e \u00e0 son auteur. Vous scannez, vous voyez les morts au combat, et ensuite, vous pouvez agir.<\/p>\n

$\"\"$ <\/p>\n

Bref, vous l\u2019aurez compris, Dead Domain Discovery ne vous prot\u00e8gera pas directement mais vous dira juste quels cadavres tra\u00eenent dans votre r\u00e9seau.<\/p>\n

\u00c0 vous ensuite de les enterrer comme il se doit.<\/p>\n","protected":false},"excerpt":{"rendered":"