在日志看到很多DGA域名的记录,但对应的URL的域名很多都是正常的啊,如下表的 www.leagsoft.com是很正常的一个网站。 且这个网站通过某公司Firewall也能正常访问。 很奇怪的记录。
时间: | 2018-12-21 11:49:42 | 类型: | 僵尸网络 | 协议: | UDP | URL/目录: | www.leagsoft.com | 源区域: | LAN | 源IP/用户: | 192.168.XXX.XXX
| 所属组: | - | 源端口: | 50400 | 目的区域: | WAN_电信 | 目的IP: | - | 目的IP归属地: | - | 目的端口: | 53 | 匹配策略名: | 访问Internet | 严重等级: | 中 | 动作: | 拒绝 | 描述: | 试图解析如下DGA域名 1:www.leagsoft.com, 2:k5.gslb.ksyuncdn.com, 3:92.12.181.220.orf.bondedsender.org, 4:static.tianqistatic.com.w.kunlungr.com, 5:wechat.tingkaixin.net, 6csp.comodoca4.com, 7:sf3-ttcdn-tos.pstatp.com.w.kunlunpi.com, 8:sl.a.senseyun.com, 9:d6.mobaders.com, 10:v3-dy-z.ixigua.com.m.alikunlun.com, 11:wosign-ovca.ocsp-certum.com, 12:wotrus-ovca.ocsp-certum.com, 13:portal.daf.prd.glb.exostarsvcs.com, 14:wotrus-dvca.ocsp-certum.com, 15:vpn559789938.v4.softether.net, 16:k2-dy.gslb.ksyuncdn.com, 17:wosign-dvca.ocsp-certum.com, 18:down2.bizport.cn.w.alikunlun.com, 19:shop.xiamenair.com, 20:s3.hy.qcloudcdn.com, 21:netcenteropt.xdwscache.ourwebcdn.com, 22:rpic.douyucdn.cn, 23:spddos.hy.qcloudcdn.com, 24:cn.cn-0001.cn-msedge.net, 25:aweme.snssdk.com.w.kunlunca.com,属于僵尸网络C&C服务器地址 |
|