数字取证方法-异常DNS狩猎

来源：https://github.com/marcurdy/dfir-toolset

https://github.com/search?p=1&q=DFIR&type=Repositories

异常DNS域名检测特征

（1）使用大量子域名或很长TXT字段的特征查找DNS隧道

（2）查找具有长查询域名的查询，例如:查找2 stddev或长度> 200。

（3）搜索动态dns域名的目标IP

（4）大量的NXDOMAIN错误和高的子域名熵意味着DGA的使用

（5）搜索被访问的域名的仿冒域名。使用levenstein算法

（6）新域名在确定恶意程度上举足轻重

（7）bro bro_weirdlog-name = dns_unmatched_reply dest_port = 53

（8）查找连接到多个DNS服务器的客户端

（9）解析到127.0.0.1的外部地址可能是parked域名