有报导称监控域名系统(DNS)数据可以肯定收集是不是被报复打击。这是真的吗？那么您建议企业利用哪些东西进行DNS监控呢？

　　Advertisement

　　Brad Casey：其实，监控DNS数据就是鉴定你的收集是不是被报复打击的最好的编制。因为DNS是机械与C2节点彼此通信的首要编制，所以DNS数据变得愈来愈首要。是以，一个可疑的DNS流量就有多是你的收集设备成为僵尸收集方针的警示。当然今朝有良多DNS监控编制，但我觉得最好的有三个：域名春秋、可疑域名和DNS故障。下面我们回顾一下这三种编制：

　　域名春秋。它是编写Whois查询和监控所有第一次穿过网关的域名，还出格存眷所成立的字段的日期。好比有一个域名是两天前成立的，那么它会禁止流向该域名的任何流量，直到进一步查抄后再履行。

　　可疑域名。其实“可疑”的边界很难界定，可是你能一眼看出来。举个例子来讲，我们上彀经常利用谷歌.com这个域名，可是goole.co1.123.abc却不常见。假定你寄望到流向某域名的流量不正常，那么你就需要谨慎谨严。

　　DNS故障。假定有良多DNS查找故障信息进进你的收集，那么你就有多是或人操纵域名生成算法(DGA)的受害者。因为很少有人会操纵DGA成立数千个域名来进行通信。与真实域名通信就是机械若何经由过程响应的C2节点来节制机械的过程。

　　上面提到的功能对经验丰硕的治理来讲很等闲实施。唯一一个相对坚苦一点的就是可疑域名这个功能，因为企业凡是觉得不合工作的可疑程度取决于他们利用的怀抱编制。可是，域名春秋和DNS故障很等闲编写脚本，并且也不需要采办额外硬件举措措施。