一直以为DNS只走UDP,今天分析流量的时候发现了好多TCP连接,目标是53端口的,于是上网查了一下。
- 那么,我发现的这个TCP53,是不是恶意流量呢?根据流量中的可见域名,将域名作为关键词google了一下,发现了它是恶意域名的实锤:https://www.malware-traffic-analysis.net/2014/07/02/index.html
TCP是为了隐蔽通信。这是一个2014年捕获到的恶意流量。
- 那么正常的DNS服务有没有可能走TCP53呢?
答案是有可能。
有两种情况可能会使用TCP进行DNS通信:
- 当客户端发出DNS查询请求,从服务器收到的响应报文中的TC(删减标志)比特被置为1时,此时意味着服务器响应长度超过512字节,而仅返回前512字节。在遇到这种情况时,客户端会使用TCP重发起原来的DNS查询请求,它将运行返回的响应超过512字节
- DNS的主辅名字服务器在同步时使用TCP协议。辅名字服务器一般每3小时向主名字服务器发起查询,看主服务器是否有新的记录变动,如有变动,将执行一次区域传送,区域传送使用TCP协议