实时子域名监控插件

本插件基于 Certificate Transparency（CT）日志 实时监控目标域名的新子域资产。

当目标为子域名申请 TLS 证书时，从证书签发到插件发现子域，平均仅需约 2 分钟，可第一时间捕获新资产，非常适合红队、资产测绘与攻防对抗场景。

安装

地址：https://plugin.scope-sentry.top/plugin/ee08412f8f7cdfc84465a9ee4e7942f9  

支持在插件管理处在线安装

核心功能

• 实时发现新子域

• 通过监听 CT 日志中心，第一时间捕获新签发证书
• 自动解析证书中的域名字段并匹配目标

• 自动创建测绘任务

• 发现新子域后，可自动推送到测绘/扫描模块
• 实现“发现即测绘”的资产闭环

• 多 CT 日志中心支持

• 内置主流 CT 日志源
• 支持自定义增删日志中心列表

性能与资源说明

由于 CT 日志中心返回的是完整 TLS 证书数据，插件需要：

1. 拉取原始证书流
2. 本地解码证书
3. 提取域名信息

因此会带来较高的资源消耗：

| 项目 | 说明 |

|——|——|

| CPU | 高并发解析证书，占用明显 |

| 流量 | 每月约 数十 TB 入站流量（取决于日志中心数量） |

强烈不建议在普通 VPS 上直接运行完整采集模式。

后续优化方案

使用分布式采集架构：

中心节点

• 专门用于连接 CT 日志中心
• 负责拉取、解析、过滤证书
• 只提取域名，不传输原始证书

插件客户端

• 仅通过 Socket 接收域名结果
• 几乎无流量压力、低内存、低 CPU
• 适合在本地或普通服务器运行

这样可以将流量与计算压力集中到一台高带宽服务器，插件端只做轻量处理，大幅降低成本与性能消耗。

理论上一台高带宽服务器就可以满足采集需求，如有意一起众筹一台大带宽专用 CT 监听节点，用于统一解析并对外分发结果，可私聊交流。