Subdomain 子網域是網域的分支，用於切割網站不同的區域
Subdomain 一般也稱為三階層網域 (third level domain)，就如同資料夾中的目錄，只是使用了不同的 URL 供人存取，例如:www.ithome.com
他的 subdomain 就可能是 smtp.ithome.com 或是 ithelp.ithome.com

.com 是第一階層的 domain
.ithome 是第二階層的 domain
而 smtp 或 ithelp 則是第三階層的 domain

查詢特定網域之subdomain (子網域) 資訊，由此可知該網域還提供哪些服務及port，並一一列舉，作為接下來滲透的目標，在進行公開資訊蒐集時，建議使用兩種以上的工具來取得最完整的資料，以下將介紹subbrute、sublist3r及dnsmap用法，Kali大多的工具都能從 GitHub 下載，所以以下也會一併說明安裝方式~

1. 使用subbrute
   1.1 從瀏覽器搜尋Github關於 subbrute 的安裝路徑
   1.2 開啟Kali
   1.3 安裝subbrute，輸入指令 #git clone [github網址]
   例. # git clone https://github.com/TheRook/subbrute
   
   1.4 進到安裝路徑下，確認已有 subbrute.py的執行檔
   
   1.5 想知道如何使用該指令，請輸入 ./subbrute.py –h
   
   1.6 最簡易的用法，輸入 ./subbrute.py [目標網域] 就可以開始查找特定網域的subdomain資訊
   查找的結果會顯示如下，我們就找到了跟該網域有關的子網域列表
   

2. sublist3r – 使用常見的搜尋引擎等來進行查找，例如 Google、Ask 以及 Netcraft 等
   2.1 從瀏覽器蒐尋Github關於 sublist3r 的安裝路徑
   2.2 開啟Kali
   2.3 安裝sublist3r，輸入指令 #git clone [github網址]
   
   2.4 進到安裝路徑下，確認已有 sublist3r.py的執行檔
   
   2.5 想知道如何使用該指令，請輸入 ./sublist3r.py –h
   
   2.6 輸入 ./sublist3r.py -d [目標網域] 開始查找特定網域的subdomain資訊，輸入的範例如下圖， Sublist3r會使用以下多個搜尋引擎來進行搜尋
   
   列出結果如下，代表找到29個相關資訊
   
   2.7 查找使用某個特定 TCP port 的 subdomain
   指令 ./sublist3r.py -d [目標網域] –p [port number]
   例如: ./sublist3r.py -d certifiedhacker.com –p 53
   列出結果如下，代表從公開資源找到29個子網域相關資訊
   
    

3. dnsmap – 為暴力列舉工具，用來查找指定的IP、網域、相關聯絡資訊等
   3.1 在Kali中輸入 dnsmap 即可取得該工具的參數說明
   
   3.2 指令 dnsmap [目標網域]
   
   將一一列舉相關的domain 或 subdomain 及其對應的 IP，最後會列出搜尋結果及總數。
   

以上三個指令為透過 DNS 來進行子網域查找的方式，用法簡單，但是列出的資訊卻讓我們更明白目標提供的服務，並進一步找出可能存在的弱點。