摘自freebuf
出处:https://www.freebuf.com/articles/database/210250.html
工具git:https://github.com/mannirulz/BotDAD

概念解释:
TLD: top level domain,顶级域名
SLD: second level domain,二级域名
C&C隧道:命令和控制
DGA:域名生成算法

BotDAD
基于Python2.7,用于检测异常的DNS流量
检测的判断条件特征:
1.每小时DNS请求的数量 :受感染的僵尸主机每小时的请求数量往往高于正常主机。
2.每小时不同的DNS请求数:感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。
3.单个域的最大请求数:帮助检测DNS隧道,敏感信息通过DNS协议传输。
4.每分钟平均请求数:用于检测受恶意软件感染的计算机,该计算机不使用短暂的DNS请求,而是使用休眠间隔定期对DNS请求做出贡献。它的计算方法是将主机发送的请求数除以主机处于活动状态并使用DNS服务的持续时间。
5.每分钟最多请求数:帮助检测感染恶意软件的僵尸程序,这些恶意软件使用短暂的DNS请求通过域生成算法生成的多个URL与C&C服务器进行通信。
6.MX记录查询数:是网络中基于垃圾邮件的僵尸网络的强有力指标。
7.PTR记录查询数:有助于检测网络中存在异常行为的主机以及可能的感染。
8.查询的不同DNS服务器的数量:有助于检测网络中具有异常行为的机器,因为标准系统查询多个DNS服务器的情况并不常见。
9.不同TLD请求的数量:在检测基于DGA的机器人方面非常有效,这些机器人不仅生成具有不同二级域的随机域,还生成具有不同顶级域名的随机域。
10.不同SLD请求的数量:是网络中存在基于DGA的机器人的强烈指示。
11.唯一性比率:是在主机每小时发送至少1000个请求的假设下,发送的请求数与发送的不同请求数之比。
12.Failed/NXDOMAIN请求的数量:是网络中主机感染的一个非常强的指标。它通过主机维护响应代码等于DNS_RCODE_NXDOMAIN的响应数。
13.已解析IP地址的不同城市数量:一个强烈的异常指标,尤其是当IP地址分布在各个城市时。使用Maxmind数据库(“Geo2 Databases | MaxMi,2017”)获得城市映射的IP地址。
14.已经解析的ip地址的不同国家数量
15.Flux ratio:在主机发送至少100个查询并且已收到至少100个响应的条件下,发送的不同请求与解析的不同ip地址的比率。

工具1:DNS隧道检测工具BotDAD相关推荐

  1. DNS客户端检测工具

    DNS客户端检测工具,正反解查询命令:host.nslookup.dig 1.host 解析域名对应的IP地址和别名等信息 语法 host [选项] [主机名或IP] [server] 2.常用选项 ...

  2. 在本地环境中利用iodine工具建立DNS隧道

    1.简介 iodine是目前比较活跃,知名度比较大的一个dns tunneling实现工具.我查阅了其他人的博客,需要用到VPS,不便于复现.为了帮助初学者学习iodine,因此在本地环境中搭建了DN ...

  3. 一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案

    摘自:http://www.freebuf.com/articles/network/149328.html 通过以上分析得出监控需要关注的几个要素:长域名.频率.txt类型.终端是否对解析ip发起访 ...

  4. 硬盘检测工具+linux,linux硬盘检测工具:Smartmontools使用指南

    linux硬盘检测工具:Smartmontools使用指南 来源:互联网 作者:佚名 时间:2013-04-10 13:32 在服务器管理的实际环境中,硬盘是最容易出现问题及发生故障的硬件,而且硬盘中 ...

  5. 秒杀Deepfake!微软北大提出AI换脸工具和假脸检测工具

    2020-01-07 17:36:45 [新智元导读]人脸识别的"利矛与坚盾"同时出炉!微软亚洲研究院和北京大学最近联合发表2篇重量级学术论文,提出了FaceShifter和Fac ...

  6. 计算机硬件全面测试工具,电脑硬件全面检测工具 HWiNFO32 2.30

    电脑硬件全面检测工具 HWiNFO32 2.30 2008年10月10日 10:55作者:陈涛编辑:陈涛文章出处:泡泡网原创 分享 HWiNFO32 是电脑硬件检测专业软件.它可以显示出电脑所有主要硬 ...

  7. linux下emmc检测工具,eMMC芯片Bug检测工具(eMMC check)下载 v1.3.0

    eMMC芯片Bug检测工具(eMMC check)安卓版可检测你的芯片是否有BUG,其实更大的用处还是看字库的写入时间以此来鉴别是否新机. 最近越来越多的人反映三星I9300莫名其妙的开不了机,开机卡 ...

  8. linux dns语法检测工具,DNS解析检查工具之nslookup

    nslookup命令用于查询DNS的记录,查看域名解析是否正常,在网络故障的时候用来诊断网络问题. nslookup的用法相对来说还是蛮简单的,主要是下面的几个用法. 1 直接查询 这个可能大家用到最 ...

  9. DNS 隐蔽通道工具资料汇总

    http://www.cnblogs.com/bonelee/p/7651746.html DNS隧道和工具 内含dns2tcp.iodine.dnscat2工具的简单使用说明 iodine工具的使用 ...

  10. 内存检测_Android native内存检测工具介绍

    点击上方蓝字关注我们噢~ 检测工具不仅可以在验证时发现安全问题,也可以在运用场景中阻断安全问题的发生,对于安全问题检测和攻击拦截非常友好,当然安全检测功能会消耗一定的系统性能.本文将对已集成的部分检测 ...

最新文章

  1. 同时用引用和指针 int *a;
  2. 更极速:EdgeRoutine边缘程序
  3. vue-json-excel前端导出excel教程
  4. python创意小作品-python turtle库的几个小demo
  5. python机器学习案例系列教程——CTR/CVR中的FM、FFM算法
  6. 江西6地列入国家智慧城市试点 智慧城市啥模样专家来描绘
  7. heapsort(Java)(最小堆)
  8. 枚举算法(百钱百鸡问题 C语言)
  9. 海康NVR设备上传人脸图片到人脸库
  10. 微信小程序笔记——滚动计数器
  11. 微波暗室——天线方向图测试
  12. 80386异常和中断
  13. Ubuntu中禁止与使能鼠标中键的复制功能(vscode出现莫名其妙的多余的代码段)
  14. 数值分析原理课程实验——牛顿(Newton)迭代法
  15. Vue笔记 (一) Vue的MVVM
  16. 没有产权证的车库能不能随时拆掉
  17. 调整虚拟机屏幕大小(全屏)
  18. 计算机在课堂教学中的应用,计算机技术在课堂教学中的应用
  19. 短信验证(吉信通),邮箱验证
  20. 90%的人都不知道的Node.js 依赖关系管理(上)

热门文章

  1. 有关R星游戏(尤其是荒野大镖客玩家)二次验证码/两步验证/谷歌验证绑定相关问题
  2. 图文详解win7声音图标不见了怎么办
  3. 使用Java串口操作RXTX,报错 no rxtxSerial in java.library.path thrown while loading gnu.io.RXTXCommDriver解决方案
  4. 合肥工业大学计算机与信息学院导师介绍,合肥工业大学计算机与信息学院硕士生导师:方静副教授...
  5. 老男孩Day9作业:高级FTP
  6. 实习--广东电信有限公司汕头市分公司讲座
  7. wait_proxies_to_terminate (../../../../../src/pm/i_hydra/mpiexec/intel/i_mpiexec.c:558): downstream
  8. php zip压缩包下载
  9. 65883-12-7,PEG5-Ms带有甲磺酸基和羟基的PEG连接剂
  10. Sat Sep 25 07:38:46 Local time zone must be set--see zic manual page 2021