Domain-Name-System

使用 DNS 訪問網站時發現從其他網站載入的其他腳本

  • February 28, 2019

我在僅訪問普通網站時注意到我的 wireshark 記錄中有(相對)大量的 dns 數據包。dns 數據包請求亞馬遜、facebook、comodoca 和許多其他網站。那麼使用 dns 數據包作為載入網站時所涉及的所有資源(伺服器)的指標是否有意義?

當我仔細查看我的 dns 數據包時,應該沒有任何東西對我隱藏,對吧?訪問網站時可能請求的每個域或伺服器都會被看到?

這不是檢查惡意程式碼是否從奇怪(意外)資源載入的好方法嗎?

我認為這不是檢測惡意負載的好方法,原因有很多:

  • 惡意程式碼可以直接使用其 IP 地址從伺服器載入資源(擁有靜態地址既不難也不昂貴)並且不會創建任何 DNS 請求
  • DNS 請求僅顯示域請求,您對載入的資源一無所知,並且 DNS 只會按域聯繫一次。因此,惡意腳本可以從公共資源提供商(Google Drive)或 CDN(Amazon CloudFront)載入資源,並顯示為合法載入。
  • 如果該網站被直接感染或其他流行網站(我已經在未使用的 URL 後面看到隱藏在法國官方稅務網站上的惡意文件)並且惡意負載在其上,您將永遠不會在 DNS 日誌中發現它。

引用自:https://serverfault.com/questions/956183