No hay manera de detectar de manera confiable todo el malware que usa solo el análisis de DNS, pero el análisis de DNS puede ayudar mucho.
Si bien es posible que se detecte algún malware en función del acceso a los dominios conocidos como malos (es decir, listas negras de dominios ), otros pueden detectarse porque use nombres de dominio poco comunes o use un algoritmo de generación de dominio conocido . Un análisis más profundo también puede destacar dominios que cambian rápidamente las asignaciones a la dirección IP, es decir, redes de flujo rápido . También hay un malware que se destaca por el uso de los registros TXT o similar. Pero también hay un malware que se comunica mediante sitios de redes sociales y, por lo tanto, no se destaca. En la mayoría de las redes. Y, por supuesto, hay un malware que utiliza direcciones IP fijas para la comunicación y, por lo tanto, no causa ningún tráfico de DNS.
En resumen: no hay una forma confiable de detectar malware utilizando únicamente el análisis de DNS. Pero el análisis de DNS puede ayudar mucho. Las formas más fáciles son probablemente las listas negras de DNS proporcionadas por varios proveedores o el uso de servidores DNS específicos como OpenDNS que ya bloquean muchas actividades sospechosas de DNS. Además, cuanto mejor conozcas tu red, más actividades inusuales se destacan. Esto puede indicar actividad de malware, pero también puede haber otras razones para una actividad inusual.