passive DNS (pDNS) utökar traditionell DNS genom att logga anonymiserade DNS-frågor och svar globalt, vilket ger historisk data om domäner och deras infrastruktur. Säkerhetsteam använder pDNS för att identifiera och analysera skadlig infrastruktur, upptäcka DNS-tunnling för C2 eller dataexfiltrering, samt spåra historiska förändringar i domäner. DomainTools Iris Investigate-plattformen integrerar pDNS-data från flera källor och erbjuder avancerade pivoteringsfunktioner för att koppla samman entiteter och utöka utredningar. Artikeln ger flera exempel på pDNS-användning, inklusive kartläggning av angripares infrastruktur, spårning av fast flux-domäner, förutsägelse av motiv som business email compromise (BEC) och upptäckt av DNS-kapning. pDNS framhålls som ett oumbärligt verktyg för utredare för att få djupgående insikter om nätverksinfrastruktur och bekämpa cyberhot.