Skip to content

隐蔽通讯的检测

基于DNS隐蔽信道的攻击与检测

检测

思路

  • 使用字符频率分析
  • 基于统计量的行为分析

工具

BotDAD
  • 统计分析了15种DNS的行为特征
序号 DNS特征 描述
p1 每小时DNS请求的数量 受感染的僵尸主机每小时的请求数量往往高于正常主机。
p2 每小时不同的DNS请求数 感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。
p3 单个域的最大请求数 帮助检测DNS隧道,敏感信息通过DNS协议传输。
p4 每分钟平均请求数 用于检测受恶意软件感染的计算机,该计算机不使用短暂的DNS请求,而是使用休眠间隔定期对DNS请求做出贡献。 它的计算方法是将主机发送的请求数除以主机处于活动状态并使用DNS服务的持续时间。
p5 每分钟最多请求数 帮助检测感染恶意软件的僵尸程序,这些恶意软件使用短暂的DNS请求通过域生成算法生成的多个URL与C&C服务器进行通信。
p6 MX记录查询数 是网络中基于垃圾邮件的僵尸网络的强有力指标。
p7 PTR记录(从ip地址到域名的一条记录)查询数 有助于检测网络中存在异常行为的主机以及可能的感染。
p8 查询的不同DNS服务器的数量 有助于检测网络中具有异常行为的机器,因为标准系统查询多个DNS服务器的情况并不常见。 TLD: top level domain,顶级域名 SLD: second level domain,二级域名
p9 不同TLD请求的数量 在检测基于DGA的机器人方面非常有效,这些机器人不仅生成具有不同二级域的随机域,还生成具有不同顶级域名的随机域。
p10 不同SLD请求的数量 是网络中存在基于DGA的机器人的强烈指示。
p11 唯一性比率 是在主机每小时发送至少1000个请求的假设下,发送的请求数与发送的不同请求数之比。
p12 Failed/NXDOMAIN请求的数量 是网络中主机感染的一个非常强的指标。 它通过主机维护响应代码等于DNS_RCODE_NXDOMAIN的响应数。
p13 已解析IP地址的不同城市数量 是一个强烈的异常指标,尤其是当IP地址分布在各个城市时。 使用Maxmind数据库(“Geo2 Databases | MaxMi,2017”)获得城市映射的IP地址。
p14 已经解析的ip地址的不同国家数量
p15 Flux ratio 在主机发送至少100个查询并且已收到至少100个响应的条件下,发送的不同请求与解析的不同ip地址的比率。

References

[1] 基于DNS隐蔽信道的攻击与检测,DigApis, https://www.freebuf.com/articles/database/210250.html