Non esiste un modo per rilevare in modo affidabile tutto il malware utilizzando solo l'analisi DNS, ma l'analisi DNS può essere di grande aiuto.
Sebbene alcuni malware possano essere rilevati in base all'accesso a noti domini errati (ad esempio blacklist del dominio ) altri potrebbero essere rilevati perché utilizzare nomi di dominio non comuni o utilizzare un algoritmo di generazione di dominio noto . Un'analisi più approfondita può anche mettere in risalto i domini che hanno mappature che cambiano rapidamente in indirizzo IP, ad esempio reti a flusso veloce . Esiste anche un malware che si distingue per utilizzo di record TXT o simili. Ma c'è anche malware che comunica usando siti di social media e quindi non spicca nella maggior parte delle reti. E naturalmente c'è il malware che usa gli indirizzi IP fissi per la comunicazione e quindi non causa alcun traffico DNS.
In breve: non esiste un modo affidabile per rilevare il malware utilizzando solo l'analisi DNS. Ma l'analisi DNS può aiutare molto. I modi più semplici sono probabilmente le blacklist DNS fornite da vari fornitori o l'uso di server DNS specifici come OpenDNS che già bloccano molte attività DNS sospette. Oltre a ciò, meglio conosci la tua rete, più le attività insolite risaltano. Questi potrebbero indicare attività di malware, ma potrebbero esserci anche altri motivi per attività insolite.