DNS Tunnel判定方法:
1、查询DNS请求的域名是否存在备案; 2、查询DNS请求的域名情报信息(以及域名的alex排名); 3、查看相同主域名下子域名编码格式及长度;(存在Base32和Base64编码且较长需要多加关注,同时xshellghost dns tunnel关注下) 4、利用浏览器做实际登陆尝试(是否正常打开主页、子域名是否正常打开网页) 5、若上述3步无法确定请求域名是否可信,利用google和百度查询直接搜索该域名相关信息; 6、查看定请求和应答的RR类型。(若多为非A类型需要多加关注) 7、若上述步骤无法做出判断,建议抓包判断。 DNS Tunnel异常分析上述步骤只是参考顺序,判断时需要一定的个人经验。