记录一次有意思的溯源

我们经常通过域名、IP信息来对攻击进行溯源。比如某机房内网被攻击，很多机器中了马，为了控制这些机器，通常需要一些域名、IP来进行通信。

此次也不例外，现在客户方面的技术通报了一个恶意域名为 xxx.info。但是互联网上调查没有任何信息，甚至该域名都没有解析。于是和客户方面要了具体的会话包以IP做条件进行了调研。发现有如下情况：

当然，该域名也是和以上的情况相同，互联网上没有他存在过的记录，也是没有解析。当时发现此情况做了一个推断，该host与IP是写在木马程序中的，并没有通过域名解析，且通过某种条件来决定通信所使用的host字段。

后来逆向的同事证实了我的猜想。

感觉此次操作有点骚，记录一下。