預(yù)示網(wǎng)絡(luò)中正出現(xiàn)可疑或惡意代碼的 DNS 組合查詢或流量特征。例如：

　　1.來(lái)自偽造源地址的 DNS 查詢、或未授權(quán)使用且無(wú)出口過(guò)濾地址的 DNS 查詢，若同時(shí)觀察到異常大的 DNS 查詢量或使用 TCP 而非 UDP 進(jìn)行 DNS 查詢，這可能表明網(wǎng)絡(luò)內(nèi)存在被感染的主機(jī)，受到了 DDoS 攻擊。

　　2.異常 DNS 查詢可能是針對(duì)域名服務(wù)器或解析器(根據(jù)目標(biāo) IP 地址確定)的漏洞攻擊的標(biāo)志。與此同時(shí)，這些查詢也可能表明網(wǎng)絡(luò)中有不正常運(yùn)行的設(shè)備。原因可能是惡意軟件或未能成功清除惡意軟件。

　　3.在很多情況下，DNS 查詢要求解析的域名如果是已知的惡意域名，或具有域名生成算法( DGA )(與非法僵尸網(wǎng)絡(luò)有關(guān))常見(jiàn)特征的域名，或者向未授權(quán)使用的解析器發(fā)送的查詢，都是證明網(wǎng)絡(luò)中存在被感染主機(jī)的有力證據(jù)。

　　4.DNS 響應(yīng)也能顯露可疑或惡意數(shù)據(jù)在網(wǎng)絡(luò)主機(jī)間傳播的跡象。例如，DNS 響應(yīng)的長(zhǎng)度或組合特征可以暴露惡意或非法行為。例如，響應(yīng)消息異常巨大(放大攻擊)，或響應(yīng)消息的 Answer Section 或 Additional Section 非?？梢?緩存污染，隱蔽通道)。

　　5.針對(duì)自身域名組合的 DNS 響應(yīng)，如果解析至不同于你發(fā)布在授權(quán)區(qū)域中的 IP 地址，或來(lái)自未授權(quán)區(qū)域主機(jī)的域名服務(wù)器的響應(yīng)，或解析為名稱錯(cuò)誤( NXDOMAIN )的對(duì)區(qū)域主機(jī)名的肯定響應(yīng)，均表明域名或注冊(cè)賬號(hào)可能被劫持或 DNS 響應(yīng)被篡改。

　　6.來(lái)自可疑 IP 地址的 DNS 響應(yīng)，例如來(lái)自分配給寬帶接入網(wǎng)絡(luò) IP 段的地址、非標(biāo)準(zhǔn)端口上出現(xiàn)的 DNS 流量，異常大量的解析至短生存時(shí)間( TTL )域名的響應(yīng)消息，或異常大量的包含“ name error ”( NXDOMAIN )的響應(yīng)消息，往往是主機(jī)被僵尸網(wǎng)絡(luò)控制、運(yùn)行惡意軟件或被感染的表現(xiàn)。