深度子域名挖掘方法论

相关 skill：被动情报收集 → passive-recon；目标画像 → target-profiling；子域名接管 → subdomain-takeover

⛔ 深入参考：subfinder/ksubdomain/amass 的完整参数、通配符过滤脚本、多工具联合流程见 references/enumeration-tools.md

单一来源的子域名枚举通常只能覆盖 30-50% 的实际资产。本方法论联合三种独立来源交叉验证，最大化覆盖率。

Phase 1: DNS 枚举

用 subfinder / ksubdomain 进行 DNS 子域名枚举（字典爆破 + 递归发现）。

结果分析：

• 统计解析到不同 IP 段的子域（识别多机房/多云部署）
• 识别 CNAME 记录 → CDN/云服务（CloudFront, Cloudflare, Fastly）
• 识别通配符：如果 random12345.example.com 也解析，说明有通配符记录
  • 通配符存在时，需要过滤掉通配符 IP 对应的结果

Phase 2: OSINT 引擎搜索

通过 http_request 或 curl 查询 FOFA API 获取域名关联资产。OSINT 引擎能发现 DNS 枚举遗漏的资产（因为它基于实际网络扫描数据，而非 DNS 记录）。