用Packetbeat和Watcher探测DNS隧道

来源:https://www.elastic.co/cn/blog/detecting_dns_tunnels_with_packetbeat_and_watcher


检测DNS隧道

可以通过DNS协议建立隧道,秘密移动数据或为恶意软件提供命令和控制通道。通常这种技术被用来绕过公司防火墙和代理服务器的保护。隧道通过在DNS请求和响应中编码数据来工作。客户端发出主机名查询,该查询最终被转发到与域关联的权威名称服务器。


有很多不同的技术可以用来检测这种流量。我们将使用一个域的唯一主机名数量作为IOC。DNS隧道化实用程序必须为每个请求使用一个新的主机名,这将导致恶意域名的主机名数量远远高于合法域名。

你可能感兴趣的:(用Packetbeat和Watcher探测DNS隧道)