当我仅访问普通网站时,我注意到我的 wireshark 记录中有 (相对) 大量的 dns 数据包。亚马逊、facebook、comodoca 等网站都是通过 dns 数据包请求的。那么,使用 dns 数据包作为加载网站时所涉及的所有资源 (服务器) 的指标是否有意义?
当我仔细查看我的 DNS 数据包时,应该没有什么对我隐藏的东西,对吧?访问网站时可能请求的每个域或服务器都会被看到吗?
这难道不是检查恶意代码是否从奇怪(意外)资源加载的好方法吗?
答案1
我认为这不是检测恶意负载的好方法,原因如下:
- 恶意代码可以直接使用其 IP 地址从服务器加载资源(拥有静态地址并不难,也不昂贵),并且不会创建任何 DNS 请求
- DNS 请求仅显示域请求,您不知道加载的资源,并且域只会联系 DNS 一次。因此恶意脚本可以从常见资源提供商(Google Drive)或 CDN(Amazon CloudFront)加载资源并显示为合法加载。
- 如果该网站直接受到感染或感染的是另一个受欢迎的网站(我已经在法国税务官方网站上未使用的 URL 后面看到了一个隐藏的恶意文件)并且恶意负载就在该网站上,那么您永远不会在 DNS 日志中捕获它。