本帖最后由 xxx314 于 2013-3-21 14:21 编辑
在上网过程中会输入各种各样的域名进行信息的查询,如http://www.csna.cn/等等,那么在大家进行信息的查询过程中,是否对访问的域名信息的正确性验证过呢?在访问的时候是否会被钓鱼了等等?
下面罗列下个人在域名检测中的一些心得,有好的方法欢迎更贴 :
1、对DNS长度的检测
在正常的DNS请求中,DNS的长度一般是在63个字节之内的,但是在网络中有时候会超过这个长度,这里我们可能会说到就是这个没什么,但是这里应该是存在可疑的,这个属于域名超常,属于可疑范畴了(这里的超常域名主要是在一些ddos的攻击中存在,它需要消耗用户的网络资源,所以会构造超常域名来达到拒绝服务的攻击的目的)。
2、IP频繁请求一个域名信息。
在一次会话中一个IP频繁请求一个域名信息,我们可以基于时间周期或者其他的周期计算在相应的周期中请求的次数以及请求的IP地址与MAC地址,这里有助于在用户方定位是哪台机子(内部、外部)在进行异常会话的,这里可能会存在相应的攻击事件了即一般就是突然有大量的针对某个域名或IP的请求。被请求的地址可能是攻击目标,也有可能是僵尸网络的主控端,至少这个是可疑的操作。
3、特殊IP地址
在网络中特殊IP地址(包括0.0.0.0<任意网络地址>,127.0.0.1<还回地址>,10.x.x.x,172.16-31.x.x,192.168.x.x,x.x.x.255(广播))是不会出现在网络中的,如果一个访问在在DNS会话中存在了这样的地址信息,这样的信息也是属于可疑范畴(即在DNS应答中,一般情况下如果域名被解析成了特殊IP地址,用户是无法访问服务器的,但是一些恶意的行为中使用这样的方式来达到隐藏自己的目的)。
4、动态域名
僵尸网络在发动攻击僵尸主机与主控端一般是通过“动态域名”来进行访问通信。僵尸网络活动前,会有大量的对主控端“动态域名”的解析请求,这些动态域名在网络中是可以申请到的,通过dns检测可以分析出,对某个动态域名有大量的请求,这种情况可以帮助找到主控端,同时也解析出相应的异常信息,所以基于网络动态域名的这个解析项也是可以参考的,比较常见的动态域名如3322.org,9966.org,dns0755等等。
上面就是小编的一些关于可疑域名的识别判断的一些经验,大家有更好的识别更贴share。。。。。
|
发表于 2013-3-21 13:40:43
发表于 2013-3-22 14:30:06
发表于 2013-3-25 13:56:13