注：PREDICT 转换为 IMPACT

这是恶意软件使用 DNS 的终结吗？

没有。可能会稍微调整景观，但不会很大。

新闻文章中的数据集似乎可以同时防止两者。

它对于使用其他人以前捕获的恶意软件来捕获人很有用。这对于抓捕仅仅为了攻击您而设置燃烧器域的人或尚未被其他人抓获的人是没有用的。

第二种使用中的 DNS 更难停止，因为它通过 DNS 本身而不是 TCP/IP 进行通信。使用 DNS 服务器来尝试过滤这样的流量可能是不切实际的。

有执行这种黑名单的“DNS防火墙”；非常实用。然而，再次受到“黑名单”游戏规则的严重限制。

因此，像“预测”数据集这样的合作使得恶意软件使用 DNS 的风险更大，因为它每天都会收集数以万计的 DNS 查询并通知全世界。当然，它不会全部找到它们，但可能足以让使用 DNS 的风险更大。

那么，知道了这一点，为什么还要使用 DNS 呢？

像 PREDICT GT 恶意软件被动 DNS 数据集（以下简称 PREDICT-GTMPDNS）这样的东西会逐渐增加风险，但我当然不会说它会显着增加风险。恶意运营商很乐意在这样一个世界中运营，他们基于 DNS 的网站可以通过过滤代理来拦截，他们的邮件服务器可以使用 RBL 进行阻止，并且防火墙规则通常会尝试限制出口流量。

他们使用 DNS 的原因之一是很难在出口处阻止 - 由于 DNS 的间接性质，您无法在不阻止所有内容的情况下轻松阻止其中的一些内容。你甚至可以让 DNS 指向一个良性的地方，然后在你使用它的时候将它短暂地切换到恶意的地方，然后再指向它……用 IP 很难做到，用 DNS 很容易。

从恶意软件的角度来看，仅仅联系一个或多个直接 IP 地址而不是使用 DNS 不是更容易、更安全吗？

从历史上看，直接 IP 寻址的不灵活性降低了它的吸引力。PREDICT-GTMPDNS 可以帮助降低 DNS 的吸引力，但不足以将其排除在外。

为什么不跳过注册域而只使用闪烁的IP地址并用于相同的目的？

与域相比，IP 地址“闪烁不定”更难。一旦你发送带有硬编码地址的恶意软件，它就会卡在那个地址上，你不能在不关闭自己的情况下让它消失。

也许通过检查 DNS 流量来减慢 DNS 速度的问题仍然会阻止充分利用像“预测”这样的数据集？

DNS 检查成本足够低，不会成为问题……与任何黑名单一样，真正的问题是样本大小和周转时间。如果您的数据库输入涵盖了 50% 的恶意软件，那真是太棒了……而且仍然每两个漏洞中就有一个可以被劫掠。假设恶意软件在发布后的第二天被发现、提交、运行并编制索引……在 24 小时内，恶意软件可以在数据库赶上之前自由运行并清除。

实际上，我认为 PREDICT-GTMPDNS 的输入将不那么全面，而且在赶上新的恶意软件版本时会更慢。追赶比赛很糟糕。

这并不是说 PREDICT-GTMPDNS 不是一个好主意。它是。但这不是任何一种银弹。