利用公共資源

• 搜尋引擎（Google，Bing，Yahoo，Baidu等等）
• https://virustotal.com/ - 在 Search 裡輸入 “domain:target.com”，然後 virustotal 會提供一份子域名列表，和其他一些輔助資訊以幫助你觀察子域名。
• https://dnsdumpster.com - 名字說明了一切！你只需要輸入目標域名，然後點選搜尋按鈕，完事。
• https://crt.sh/?q=%25target.com - 有些時候 SSL 中會包含很多有用的資訊，使用這個網站搜尋 "%target.com" 即可得到你所需要的子域名資訊。
• https://censys.io - 不是非常好，但有時也會提供一些有用的資訊。
• http://searchdns.netcraft.com/ - 另一種選擇。
• https://www.shodan.io - 無需多言，不僅可以看到子域名資訊，還會顯示對應的伺服器版本及其他更多資料。
• 谷歌透明度報告 - 也是利用 SSL 證書發現子域名

利用工具爆破

國外的：

• Subbrute - 快速列舉 DNS 記錄和子域名。
• dnscan - 使用 Python 寫的基於字典查詢 DNS 的子域名掃描器。
• Nmap
   - 不僅僅只是埠掃描，可以使用指令碼列舉子域名。使用 --script dns-brute 指令碼。
• Recon-Ng - Recon-Ng 框架是一個 Web 資訊收集工具，其包含暴力列舉子域名的模組。
• DNSRecon - 一個強大的 DNS 列舉指令碼。
• Fierce - 一個半輕量級的列舉子域名掃描器。
• Gobuster - Go 語言編寫的列舉目錄和檔案的工具，最新版支援 DNS 查詢。
• DNSenum - 提供多執行緒和遞迴列舉子域名。
• AltDNS - 提供基於對已發現子域名進行置換的暴力列舉方式。

國人的：

• wydomain2 - 豬豬俠的作品，好用不解釋。
  • 從alexa、chaxunla、ilinks、google、sitedossier、netcraft、threatcrowd、threatminer爬取結果，再與openssl證書+字典窮舉結果合併，生成最終的子域名集合。
• subDomainsBrute - 曾經烏雲核心白帽李劼傑的作品
• Layer 子域名挖掘機 - 法師的作品，因為是用.NET寫的，所以基本只能在Win下使用，也是相當好用的。

原理

子域名發現的原理無非就是以下幾種：

1. 利用現有搜尋引擎： 
   
   • 網頁搜尋引擎（如：谷歌等）
   • 空間搜尋引擎（如：Shodan等）
   • SSL證書（如：crt.sh等），這個主要針對大站
2. 進行爆破，而爆破又分為兩種： 
   
   • 直接訪問子域名
   • 利用 DNS 請求
3. 其他洩露資訊： 
   
   • 如 crossdomain.xml 檔案等
   • 爬蟲遞迴爬取等
   • DNS域傳送漏洞等

最後補一句，子域名發現很多的時候還是靠字典，如果你沒有很好的子域名字典，我這裡在放一個國外組織統計的最受歡迎子域名列表：bitquark-subdomains-popular