@安全小飞侠 检测的话可以利用pdns数据来分析恶意dns 可以是从企业内部去dns数据中分析恶意dns,也可以是从外部pdns威胁分析服务中获取恶意的dns,如思科的opendns服务;防御方法一般可以采用DNS RPZ来sinkhole/blackhole dns请求(前者是返回无害的dns答复给请求,后者是不返回dns答复给请求,从而阻断恶意dns的请求), 或者采用外部的具备安全能力的DNS服务器,如IBM的9.9.9.9DNS服务。