什么是DGA?
dga是一种算法,作用生成随机数的。
什么是dga域名?
是用dga算法生成的域名,这种域名通常硬编码在恶意软件中。
为什么要使用dga域名?
黑客在写恶意程序时使用(c&c),为了绕过域名黑名单检测。在网络畅通的前提下,才能达到恶意程序开发的目的。
dga域名能在互联网访问?
大多数dga域名在互联网环境是访问不到的,为什么?因为没有注册,黑客可以在软件中会写多个dga域名,在确认使用攻击时注册若干个,然后中招的机器接入互联网就可以与dga域名进行通信了。(全注册黑客也嫌费钱,再则多写些域名可以更好的伪装潜伏)
dga域名检查方法?
1最直接的就是逆向恶意程序,这种办法要求高,并且只能查到已知样本的恶意dga域名。
2 网络流量分析,抓出异常的dns请求,分析确认
3 碰撞dga库,白帽子收集和用dga算法生成的域名库。
网友评论