預示網絡中正出現可疑或惡意代碼的 DNS 組合查詢或流量特征。例如:
1.來自偽造源地址的 DNS 查詢、或未授權使用且無出口過濾地址的 DNS 查詢,若同時觀察到異常大的 DNS 查詢量或使用 TCP 而非 UDP 進行 DNS 查詢,這可能表明網絡內存在被感染的主機,受到了 DDoS 攻擊。
2.異常 DNS 查詢可能是針對域名服務器或解析器(根據目標 IP 地址確定)的漏洞攻擊的標志。與此同時,這些查詢也可能表明網絡中有不正常運行的設備。原因可能是惡意軟件或未能成功清除惡意軟件。
3.在很多情況下,DNS 查詢要求解析的域名如果是已知的惡意域名,或具有域名生成算法( DGA )(與非法僵尸網絡有關)常見特征的域名,或者向未授權使用的解析器發送的查詢,都是證明網絡中存在被感染主機的有力證據。
4.DNS 響應也能顯露可疑或惡意數據在網絡主機間傳播的跡象。例如,DNS 響應的長度或組合特征可以暴露惡意或非法行為。例如,響應消息異常巨大(放大攻擊),或響應消息的 Answer Section 或 Additional Section 非常可疑(緩存污染,隱蔽通道)。
5.針對自身域名組合的 DNS 響應,如果解析至不同于你發布在授權區域中的 IP 地址,或來自未授權區域主機的域名服務器的響應,或解析為名稱錯誤( NXDOMAIN )的對區域主機名的肯定響應,均表明域名或注冊賬號可能被劫持或 DNS 響應被篡改。
6.來自可疑 IP 地址的 DNS 響應,例如來自分配給寬帶接入網絡 IP 段的地址、非標準端口上出現的 DNS 流量,異常大量的解析至短生存時間( TTL )域名的響應消息,或異常大量的包含“ name error ”( NXDOMAIN )的響應消息,往往是主機被僵尸網絡控制、運行惡意軟件或被感染的表現。
京公網安備 11010802030320號