dns隧道攻击原理及常用工具流量分析 (6)

通过DNS递归查询实现的中继隧道，比较隐蔽，但同时因为数据包到达目标DNS Server前需要经过多个节点，所以速度上较直连慢很多(其实就类似伪造一台私有DNS Server，当然也许大佬神仙们真有一台权威DNS Server也说不一定哈)，同时我们还需要规避本地客户端的DNS缓存，这里可以使用随机域名生成算法（DGA）。很多恶意软件利用该算法生成随机域名，有效绕过黑名单检测，通过轮询的方式尝试连接，寻找C2控制中心。（DGA算法的检测测方法也有不少，这里按下不表）