DNS Tunnel判定方法:
1、查询DNS请求的域名是否存在备案;
2、查询DNS请求的域名情报信息(以及域名的alex排名);
3、查看相同主域名下子域名编码格式及长度;(存在Base32和Base64编码且较长需要多加关注,同时xshellghost dns tunnel关注下)
4、利用浏览器做实际登陆尝试(是否正常打开主页、子域名是否正常打开网页)
5、若上述3步无法确定请求域名是否可信,利用google和百度查询直接搜索该域名相关信息;
6、查看定请求和应答的RR类型。(若多为非A类型需要多加关注)
7、若上述步骤无法做出判断,建议抓包判断。
DNS Tunnel异常分析上述步骤只是参考顺序,判断时需要一定的个人经验。