Назад |
Перейти на главную страницу
обнаруживать дополнительные скрипты, загружаемые с других сайтов, при посещении сайта с DNS
Я заметил (относительно) огромное количество dns-пакетов в моей записи wirehark при посещении только простых веб-сайтов. Такие сайты, как amazon, facebook, comodoca и многие другие, запрашиваются пакетами DNS. Так имеет ли смысл использовать dns-пакеты в качестве индикатора для ВСЕХ ресурсов (серверов), которые используются, например, при загрузке веб-сайта?
Когда я внимательно смотрю на свои dns-пакеты, там не должно быть ничего, что было бы скрыто от меня, верно? Будет ли виден каждый домен или сервер, который потенциально запрашивается при посещении веб-сайта?
Разве это не был бы хороший способ проверить, загружен ли вредоносный код из странных (необработанных) ресурсов?
Я думаю, что это не лучший способ обнаружить вредоносную нагрузку по нескольким причинам:
- Вредоносный код может загружать ресурс с сервера, используя его IP-адрес напрямую (наличие статического адреса не сложно и не дорого), и не будет создавать никаких DNS-запросов.
- Запрос DNS показывает только запрос домена, вы не имеете представления о загруженном ресурсе, и домен будет связываться с DNS только один раз. Таким образом, вредоносный сценарий может загружать ресурс из общего поставщика ресурсов (Google Drive) или CDN (Amazon CloudFront) и отображаться как допустимая нагрузка.
- Если веб-сайт напрямую заражен или другой популярный веб-сайт (я уже видел вредоносный файл, скрытый на официальном французском налоговом веб-сайте за неиспользуемым URL-адресом) и на нем находится вредоносная нагрузка, вы никогда не поймаете его в журнале DNS.