什麼是DGA?
dga是一種算法,作用生成隨機數的。
什麼是dga域名?
是用dga算法生成的域名,這種域名通常硬編碼在惡意軟件中。
爲什麼要使用dga域名?
黑客在寫惡意程序時使用(c&c),爲了繞過域名黑名單檢測(繞過防火牆策略)。繞過攔截和阻斷、網絡暢通才能達到惡意程序通信的目的。
dga域名能在互聯網訪問?
大多數dga域名在互聯網環境是訪問不到的,爲什麼?因爲沒有註冊,黑客可以在軟件中會寫多個dga域名,在確認使用攻擊時註冊若干個,然後中招的機器接入互聯網就可以與dga域名主機進行通信了。(全註冊黑客也嫌費錢,再則多寫些域名可以更好的僞裝潛伏)
dga域名檢查方法?
1最直接的就是逆向惡意程序,這種辦法要求技術難度高,並且只能查到已知樣本的惡意dga域名。
2 網絡流量分析,抓出異常的dns請求,分析確認
3 碰撞dga庫,白帽子收集和用dga算法生成的域名庫。