什么是DGA?
dga是生成随机数的算法。
什么是dga域名?
由dga算法生成的域名,通常硬编码为恶意软件。
为什么要使用dga域名?
黑客在编写恶意程序时使用(抄送)以绕过域名黑名单检测)的防火墙策略。 只有绕过拦截和屏蔽、网络畅通,才能达到恶意程序通信的目的。
dga域名能在互联网访问?
大多数dga域名在互联网环境下不可访问。 为什么? 因为没有注册,所以黑客可以在软件中写入多个dga域名。 在确认使用攻击时注册一些,进入的机器访问互联网后就可以与dga域名的主机进行通信。 (所有注册黑客也不喜欢花钱,多写域名可以更好地伪装潜伏) )。
dga域名检查方法?
1最直接的是反向恶意程序,该方法技术难度较大,只能找到已知样本的恶意dga域名。
2网络流量分析,抓住异常的dns要求,分析确认
3碰撞dga库,白帽子采集和dga算法生成的域名库。