Обнаруживать дополнительные скрипты, загруженные с других сайтов при посещении сайта с DNS

Question

Обнаруживать дополнительные скрипты, загруженные с других сайтов при посещении сайта с DNS

Я заметил (относительно) огромное количество DNS-пакетов в моей записи Wireshark при посещении только простых веб-сайтов. Такие сайты, как Amazon, Facebook, Comodoca и многие другие запрашиваются пакетами DNS. Так имеет ли смысл использовать dns-пакеты в качестве индикатора для ВСЕХ ресурсов (серверов), которые участвуют, например, при загрузке сайта?

Когда я внимательно смотрю на мои DNS-пакеты, не должно быть ничего, что скрыто от меня, верно? Каждый домен или сервер, который может быть запрошен при посещении сайта, будет виден?

Разве это не хороший способ проверить, загружен ли вредоносный код со странных (неопытных) ресурсов?

0

domain-name-system website wireshark malware network-traffic

Источник

BeldCode 28 фев '19 в 15:49

1 ответ

Решение

Другие вопросы по тегам domain-name-system website wireshark malware network-traffic

redheness 28 фев '19 в 16:38 2019-02-28 16:38 · Accepted Answer · 2019-02-28 16:38

Я думаю, что это не хороший способ обнаружить вредоносную нагрузку по нескольким причинам:

Вредоносный код может загрузить ресурс с сервера, используя его IP-адрес напрямую (статический адрес не сложен и не дорог), и не будет создавать DNS-запрос
DNS-запрос показывает только запрос домена, у вас нет представления о загруженном ресурсе, и DNS будет связываться с доменом только один раз. Таким образом, вредоносный скрипт может загрузить ресурс от обычного поставщика ресурсов (Google Drive) или CDN (Amazon CloudFront) и выглядеть как допустимая загрузка.
Если веб-сайт непосредственно заражен или другой популярный веб-сайт (я уже видел вредоносный файл, спрятанный на официальном французском налоговом веб-сайте за неиспользованным URL-адресом), и вредоносная нагрузка находится на нем, вы никогда не обнаружите его в журнале DNS.