Brad Casey：其实，监控DNS数据就是判定你的网络是否被攻击的最好的方法。由于DNS是机器与C2节点相互通信的主要方式，所以DNS数据变得越来越重要。因此，一个可疑的DNS流量就有可能是你的网络设备成为僵尸网络目标的警示。虽然目前有很多DNS监控方法，但我认为最好的有三个：域名年龄、可疑域名和DNS故障。下面我们回顾一下这三种方法：

域名年龄。它是编写Whois查询和监控所有第一次穿过网关的域名，还特别关注所创建的字段的日期。比如有一个域名是两天前创建的，那么它会阻止流向该域名的任何流量，直到进一步检查后再执行。

可疑域名。其实“可疑”的界限很难界定，但是你能一眼看出来。举个例子来说，我们上网时常使用google.com这个域名，但是goole.co1.123.abc却不常见。如果你注意到流向某域名的流量不正常，那么你就需要小心谨慎。

DNS故障。如果有很多DNS查找故障信息进入你的网络，那么你就有可能是某人利用域名生成算法(DGA)的受害者。因为很少有人会利用DGA创建数千个域名来进行通信。与真实域名通信就是机器如何通过相应的C2节点来控制机器的过程。

上面提到的功能对于经验丰富的管理来说很容易实施。唯一一个相对困难一点的就是可疑域名这个功能，因为企业通常认为不同事情的可疑程度取决于他们使用的度量方法。但是，域名年龄和DNS故障很容易编写脚本，而且也不需要购买额外硬件设施