工具1:DNS隧道检测工具BotDAD
摘自freebuf
出处:https://www.freebuf.com/articles/database/210250.html
工具git:https://github.com/mannirulz/BotDAD
概念解释:
TLD: top level domain,顶级域名
SLD: second level domain,二级域名
C&C隧道:命令和控制
DGA:域名生成算法
BotDAD
基于Python2.7,用于检测异常的DNS流量
检测的判断条件特征:
1.每小时DNS请求的数量 :受感染的僵尸主机每小时的请求数量往往高于正常主机。
2.每小时不同的DNS请求数:感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。
3.单个域的最大请求数:帮助检测DNS隧道,敏感信息通过DNS协议传输。
4.每分钟平均请求数:用于检测受恶意软件感染的计算机,该计算机不使用短暂的DNS请求,而是使用休眠间隔定期对DNS请求做出贡献。它的计算方法是将主机发送的请求数除以主机处于活动状态并使用DNS服务的持续时间。
5.每分钟最多请求数:帮助检测感染恶意软件的僵尸程序,这些恶意软件使用短暂的DNS请求通过域生成算法生成的多个URL与C&C服务器进行通信。
6.MX记录查询数:是网络中基于垃圾邮件的僵尸网络的强有力指标。
7.PTR记录查询数:有助于检测网络中存在异常行为的主机以及可能的感染。
8.查询的不同DNS服务器的数量:有助于检测网络中具有异常行为的机器,因为标准系统查询多个DNS服务器的情况并不常见。
9.不同TLD请求的数量:在检测基于DGA的机器人方面非常有效,这些机器人不仅生成具有不同二级域的随机域,还生成具有不同顶级域名的随机域。
10.不同SLD请求的数量:是网络中存在基于DGA的机器人的强烈指示。
11.唯一性比率:是在主机每小时发送至少1000个请求的假设下,发送的请求数与发送的不同请求数之比。
12.Failed/NXDOMAIN请求的数量:是网络中主机感染的一个非常强的指标。它通过主机维护响应代码等于DNS_RCODE_NXDOMAIN的响应数。
13.已解析IP地址的不同城市数量:一个强烈的异常指标,尤其是当IP地址分布在各个城市时。使用Maxmind数据库(“Geo2 Databases | MaxMi,2017”)获得城市映射的IP地址。
14.已经解析的ip地址的不同国家数量
15.Flux ratio:在主机发送至少100个查询并且已收到至少100个响应的条件下,发送的不同请求与解析的不同ip地址的比率。
工具1:DNS隧道检测工具BotDAD相关推荐
- DNS客户端检测工具
DNS客户端检测工具,正反解查询命令:host.nslookup.dig 1.host 解析域名对应的IP地址和别名等信息 语法 host [选项] [主机名或IP] [server] 2.常用选项 ...
- 在本地环境中利用iodine工具建立DNS隧道
1.简介 iodine是目前比较活跃,知名度比较大的一个dns tunneling实现工具.我查阅了其他人的博客,需要用到VPS,不便于复现.为了帮助初学者学习iodine,因此在本地环境中搭建了DN ...
- 一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案
摘自:http://www.freebuf.com/articles/network/149328.html 通过以上分析得出监控需要关注的几个要素:长域名.频率.txt类型.终端是否对解析ip发起访 ...
- 硬盘检测工具+linux,linux硬盘检测工具:Smartmontools使用指南
linux硬盘检测工具:Smartmontools使用指南 来源:互联网 作者:佚名 时间:2013-04-10 13:32 在服务器管理的实际环境中,硬盘是最容易出现问题及发生故障的硬件,而且硬盘中 ...
- 秒杀Deepfake!微软北大提出AI换脸工具和假脸检测工具
2020-01-07 17:36:45 [新智元导读]人脸识别的"利矛与坚盾"同时出炉!微软亚洲研究院和北京大学最近联合发表2篇重量级学术论文,提出了FaceShifter和Fac ...
- 计算机硬件全面测试工具,电脑硬件全面检测工具 HWiNFO32 2.30
电脑硬件全面检测工具 HWiNFO32 2.30 2008年10月10日 10:55作者:陈涛编辑:陈涛文章出处:泡泡网原创 分享 HWiNFO32 是电脑硬件检测专业软件.它可以显示出电脑所有主要硬 ...
- linux下emmc检测工具,eMMC芯片Bug检测工具(eMMC check)下载 v1.3.0
eMMC芯片Bug检测工具(eMMC check)安卓版可检测你的芯片是否有BUG,其实更大的用处还是看字库的写入时间以此来鉴别是否新机. 最近越来越多的人反映三星I9300莫名其妙的开不了机,开机卡 ...
- linux dns语法检测工具,DNS解析检查工具之nslookup
nslookup命令用于查询DNS的记录,查看域名解析是否正常,在网络故障的时候用来诊断网络问题. nslookup的用法相对来说还是蛮简单的,主要是下面的几个用法. 1 直接查询 这个可能大家用到最 ...
- DNS 隐蔽通道工具资料汇总
http://www.cnblogs.com/bonelee/p/7651746.html DNS隧道和工具 内含dns2tcp.iodine.dnscat2工具的简单使用说明 iodine工具的使用 ...
- 内存检测_Android native内存检测工具介绍
点击上方蓝字关注我们噢~ 检测工具不仅可以在验证时发现安全问题,也可以在运用场景中阻断安全问题的发生,对于安全问题检测和攻击拦截非常友好,当然安全检测功能会消耗一定的系统性能.本文将对已集成的部分检测 ...
最新文章
- 同时用引用和指针 int *a;
- 更极速:EdgeRoutine边缘程序
- vue-json-excel前端导出excel教程
- python创意小作品-python turtle库的几个小demo
- python机器学习案例系列教程——CTR/CVR中的FM、FFM算法
- 江西6地列入国家智慧城市试点 智慧城市啥模样专家来描绘
- heapsort(Java)(最小堆)
- 枚举算法(百钱百鸡问题 C语言)
- 海康NVR设备上传人脸图片到人脸库
- 微信小程序笔记——滚动计数器
- 微波暗室——天线方向图测试
- 80386异常和中断
- Ubuntu中禁止与使能鼠标中键的复制功能(vscode出现莫名其妙的多余的代码段)
- 数值分析原理课程实验——牛顿(Newton)迭代法
- Vue笔记 (一) Vue的MVVM
- 没有产权证的车库能不能随时拆掉
- 调整虚拟机屏幕大小(全屏)
- 计算机在课堂教学中的应用,计算机技术在课堂教学中的应用
- 短信验证(吉信通),邮箱验证
- 90%的人都不知道的Node.js 依赖关系管理(上)
热门文章
- 有关R星游戏(尤其是荒野大镖客玩家)二次验证码/两步验证/谷歌验证绑定相关问题
- 图文详解win7声音图标不见了怎么办
- 使用Java串口操作RXTX,报错 no rxtxSerial in java.library.path thrown while loading gnu.io.RXTXCommDriver解决方案
- 合肥工业大学计算机与信息学院导师介绍,合肥工业大学计算机与信息学院硕士生导师:方静副教授...
- 老男孩Day9作业:高级FTP
- 实习--广东电信有限公司汕头市分公司讲座
- wait_proxies_to_terminate (../../../../../src/pm/i_hydra/mpiexec/intel/i_mpiexec.c:558): downstream
- php zip压缩包下载
- 65883-12-7,PEG5-Ms带有甲磺酸基和羟基的PEG连接剂
- Sat Sep 25 07:38:46 Local time zone must be set--see zic manual page 2021