起因是在Cloudflare和DNSPod添加域名时系统会扫描待添加域名的子域解析记录,感觉很神奇。
方法一:穷举/使用字典
通过穷举N位数的子域,例如从000到zzz,找到部分子域。
通过常用子域字典,例如www、server、mail、wap、dl,找到部分子域。
不管是穷举还是跑字典,都需要一条条的向DNS服务器请求来获得解析情况。
这个操作除了用软件爆破外还可以通过在线网站完成,百度就能找到不少这类网站,例如:在线子域名扫描-YoungxjTools (yum6.cn)。
缺点:如果子域字数多且不在字典里就没法查到了。
方法二:通过查询HTTPS/SSL的证书数据
证书授权机构有一个叫证书透明度(Certificate Transparency)的项目,会把每个SSL/TLS证书发布到公共日志中。
通过一些在线工具,即可查出域名子域。
例如这个网站:crt.sh | Certificate Search
缺点:如果子域名没有申请SSL证书,就没法查到了。
ps. 我在腾讯云免费申请的TrustAsiaSSL证书通过上面那个crt.sh网站都能查到,但是其他证书机构/付费证书能不能查到就不清楚了。
其他方法
上面只列举了两个最方便使用的方法,除此之外还有很多别的方法,例如DNS区域传送、DNS缓存探测(DNS Cache Snooping)、DNS聚合器(DNS aggregators),但比较麻烦不方便使用就不列出了。
