本申请公开了一种木马检测方法、装置和设备，所述方法包括：接收来自源端的第一询问包，所述第一询问包中包括源端的IP地址，当所述第一询问包符合域名系统DNS协议规范，获取与所述第一询问包对应的第一响应包，所述第一响应包为目的端发送，解析第一响应包得到至少一个目的IP地址；如果所述源端IP地址和所述至少一个目的IP地址之间均不存在数据包，则确定源端到目的端之间存在DNS隧道木马。本方法能够检测出符合DNS协议规范的数据包中是否隐藏有DNS隧道木马，解决了基于一般规则的入侵检测系统无法发现高隐蔽性DNS隧道木马的问题。