一直以爲DNS只走UDP,今天分析流量的時候發現了好多TCP連接,目標是53端口的,於是上網查了一下。
- 那麼,我發現的這個TCP53,是不是惡意流量呢?根據流量中的可見域名,將域名作爲關鍵詞google了一下,發現了它是惡意域名的實錘:https://www.malware-traffic-analysis.net/2014/07/02/index.html
TCP是爲了隱蔽通信。這是一個2014年捕獲到的惡意流量。
- 那麼正常的DNS服務有沒有可能走TCP53呢?
答案是有可能。
有兩種情況可能會使用TCP進行DNS通信:
- 當客戶端發出DNS查詢請求,從服務器收到的響應報文中的TC(刪減標誌)比特被置爲1時,此時意味着服務器響應長度超過512字節,而僅返回前512字節。在遇到這種情況時,客戶端會使用TCP重發起原來的DNS查詢請求,它將運行返回的響應超過512字節
- DNS的主輔名字服務器在同步時使用TCP協議。輔名字服務器一般每3小時向主名字服務器發起查詢,看主服務器是否有新的記錄變動,如有變動,將執行一次區域傳送,區域傳送使用TCP協議