文章总结: ScopeSentry是一款基于CertificateTransparency日志的实时子域名监控插件,通过监听证书签发可在约2分钟内捕获目标新资产,并自动推送至测绘模块。该插件直接运行资源消耗极高,建议采用分布式采集架构优化,即中心节点处理证书解析,客户端仅接收域名结果,以此降低带宽与CPU压力。 综合评分: 80 文章分类: 安全工具,红队,网络安全
ScopeSentry-实时子域名监控插件
原创
Autumn52 Autumn52
SecSentry
2026年1月28日 08:30 北京
实时子域名监控插件
本插件基于 Certificate Transparency(CT)日志 实时监控目标域名的新子域资产。
当目标为子域名申请 TLS 证书时,从证书签发到插件发现子域,平均仅需约 2 分钟,可第一时间捕获新资产,非常适合红队、资产测绘与攻防对抗场景。
安装
地址:https://plugin.scope-sentry.top/plugin/ee08412f8f7cdfc84465a9ee4e7942f9
支持在插件管理处在线安装
核心功能
-
实时发现新子域
-
通过监听 CT 日志中心,第一时间捕获新签发证书
-
自动解析证书中的域名字段并匹配目标
-
自动创建测绘任务
-
发现新子域后,可自动推送到测绘/扫描模块
-
实现“发现即测绘”的资产闭环
-
多 CT 日志中心支持
-
内置主流 CT 日志源
-
支持自定义增删日志中心列表
性能与资源说明
由于 CT 日志中心返回的是完整 TLS 证书数据,插件需要:
- 拉取原始证书流
- 本地解码证书
- 提取域名信息
因此会带来较高的资源消耗:
| 项目 | 说明 |
|——|——|
| CPU | 高并发解析证书,占用明显 |
| 流量 | 每月约 数十 TB 入站流量(取决于日志中心数量) |
强烈不建议在普通 VPS 上直接运行完整采集模式。
后续优化方案
使用分布式采集架构:
中心节点
- 专门用于连接 CT 日志中心
- 负责拉取、解析、过滤证书
- 只提取域名,不传输原始证书
插件客户端
- 仅通过 Socket 接收域名结果
- 几乎无流量压力、低内存、低 CPU
- 适合在本地或普通服务器运行
这样可以将流量与计算压力集中到一台高带宽服务器,插件端只做轻量处理,大幅降低成本与性能消耗。
理论上一台高带宽服务器就可以满足采集需求,如有意一起众筹一台大带宽专用 CT 监听节点,用于统一解析并对外分发结果,可私聊交流。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:SecSentry Autumn52 Autumn52《ScopeSentry-实时子域名监控插件》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论