[关闭]
@xunuo 2018-05-07T20:32:46.000000Z 字数 1446 阅读 2279

DNS异常行为

异常流量






所需内容:

通过数据包读取:四元组、ID、查询类型、返回码,域名、数据包长度、TTL、
需要统计的信息:
    1、应答ID出现的次数 >= 2 =======> 判断DNS信息劫持
    2、(数据包长度>512) &&  (目的IP个数>阈值)=======>反射放大攻击[DNS服务器端]
    3、(数据包长度>512) && (未知请求的应答报文个数>阈值)=========>反射放大攻击[被攻击者]
    4、[响应包 reply code=3(不存在的域名)]的数量 >阈值==========>DNS僵尸网络

DNSSEC(域名系统安全协议)

对现有DNS协议进行安全完善的拓展,在现有基础上增加了几个新的资源记录来达到这个目的。


添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注