根基辭匯說明：
DnsA記載傳輸：
應(yīng)用dns剖析進(jìn)程，在哀求剖析的域名中包括需別傳的數(shù)據(jù)，如xxxxxx.hack.com。則終極hack.com的dns辦事器會收到xxxxx這個數(shù)據(jù)回傳。
dns的txt范例回包：
一樣平常指為某個主機名或域名設(shè)置的闡明，可被黑客應(yīng)用回傳數(shù)據(jù)。終端哀求某惡意病毒木馬域名的dns剖析，dns前往txt記載，包括黑客必要的回傳內(nèi)容，如模塊更新數(shù)據(jù)、指令等
概述：
跟著愈來愈多的公司網(wǎng)安認(rèn)識進(jìn)步，大批公司已封閉socket通訊，僅容許員工經(jīng)由進(jìn)程http/https協(xié)定外網(wǎng)，同時采用了愈來愈多針對http協(xié)定的檢測步伐（如數(shù)據(jù)分析惡意病毒木馬url等）。為回避檢測，Dns傳輸已慢慢成為愈來愈多的惡意病毒木馬軟件隱藏傳輸?shù)霓k法，dns傳輸應(yīng)用dns逐級剖析進(jìn)程終極把域名中的惡意病毒木馬內(nèi)容傳輸?shù)竭h(yuǎn)端節(jié)制器，也應(yīng)用dns的txt范例回包更新當(dāng)?shù)啬抉R病毒。
為辦理此成績，筆者提出基于全web署理的dns惡意病毒木馬傳輸屏障計劃，經(jīng)由進(jìn)程制止終端做dns剖析，僅容許署理做dns，完整屏障pc的惡意病毒木馬dns傳輸?shù)耐瑫r，保證終端可以經(jīng)由進(jìn)程web署理拜訪公網(wǎng)（備：這也是各大公司以后采用的上外網(wǎng)的辦法通用計劃），有用辦理dns惡意病毒木馬傳輸成績。適用于各大公司徹底辦理dns木馬病毒傳輸通道成績。
根本思惟與道理
詳細(xì)道理以下所述：
1、牢固pc的dns辦事器設(shè)置裝備擺設(shè)，并制止改動，避免木馬病毒改動繞過網(wǎng)安戰(zhàn)略，或用戶改動設(shè)置裝備擺設(shè)有意低落網(wǎng)安標(biāo)準(zhǔn)
2、屏障pc外聯(lián)的53端口拜訪，避免惡意病毒木馬法式在代碼中應(yīng)用自定義dns辦事器
3、收緊pc終端的dns剖析，dns辦事器僅相應(yīng)容許的白名單域名剖析，其余不前往成果
4、pc通訊全web署理，容許web署理本身做dns剖析
終極完成完整屏障pc的惡意病毒木馬dns傳輸?shù)耐瑫r，保證終端可以經(jīng)由進(jìn)程web署理拜訪公網(wǎng)，辦理dns惡意病毒木馬傳輸成績。
體系架構(gòu)

模塊功效描寫：
內(nèi)網(wǎng)終端：內(nèi)網(wǎng)用戶應(yīng)用的拜訪公網(wǎng)的終端，可包括pc、手機、平板等
Web署理: 供給web協(xié)定的署理，終端可經(jīng)由進(jìn)程此署理拜訪外網(wǎng)數(shù)據(jù)
Web辦事：外網(wǎng)的web辦事
內(nèi)網(wǎng)終端公用dns辦事器：給內(nèi)網(wǎng)終端供給dns辦事，僅限白名單域名的剖析
白名單：容許被剖析的域名，如baidu.com等
署理公用dns辦事器：給web署理供給dns辦事器，不供給黑名單剖析，低落惡意病毒木馬web營業(yè)拜訪
黑名單：供給惡意病毒木馬域名清單，制止署理公用dns剖析，進(jìn)而制止署理拜訪惡意病毒木馬url
公網(wǎng)dns辦事：外網(wǎng)dns辦事器，包括各個遞歸辦事器
其余dns辦事器：內(nèi)網(wǎng)終端公用辦事器外的其余dns辦事器，包括公網(wǎng)dns辦事器、署理公用dns辦事器等
試驗情況演示：
1、 試驗情況先容
a) 一臺內(nèi)網(wǎng)終端，win7x64體系
i. ip：192.168.187.139
ii. 網(wǎng)關(guān)：192.168.187.2
iii. dns：192.168.187.141（內(nèi)網(wǎng)終端公用dns）
b) 一臺dns辦事器（內(nèi)網(wǎng)終端公用dns），server 2008
i. ip:192.168.187.141
ii. 網(wǎng)關(guān)：192.168.187.2
iii. dns：192.168.187.2
c) 一臺squid署理辦事器，ubuntu體系
i. ip:192.168.187.136
ii. 網(wǎng)關(guān)：192.168.187.2
iii. dns：192.168.187.2（署理公用dns）
d) 防火墻
制止內(nèi)網(wǎng)終端非受權(quán)拜訪，僅容許網(wǎng)關(guān)、內(nèi)網(wǎng)終端公用dns、署理拜訪，或白名單法式的socket銜接（不支持web署理，聯(lián)通必要內(nèi)網(wǎng)終端公用dns白名單共同）
2、 設(shè)置裝備擺設(shè)進(jìn)程：
a) 終端設(shè)置裝備擺設(shè)
i. 鎖定dns設(shè)置裝備擺設(shè)，避免用戶或木馬病毒改動：
Xp體系可應(yīng)用這個

Win7可應(yīng)用此對象

ii. 設(shè)置裝備擺設(shè)署理，拜訪外網(wǎng)：

b) Dns辦事器設(shè)置裝備擺設(shè)
i. 應(yīng)用前提轉(zhuǎn)發(fā)不容許剖析白名單之外域名
l 清空根提醒（避免無奈節(jié)制的遞歸）

l 確認(rèn)，弗成制止遞歸（不然無奈完成前提轉(zhuǎn)發(fā)）

l 假如容許剖析，則設(shè)置裝備擺設(shè)到署理公用dns，可完成遞歸剖析

c) Squid設(shè)置裝備擺設(shè)
i. 設(shè)置裝備擺設(shè)黑名單，比方：淘寶、京東，避免員工下班購物，固然從網(wǎng)安角度可設(shè)置裝備擺設(shè)各類黑域名

ii. 設(shè)置裝備擺設(shè)署理公用dns（192.168.187.2），可剖析隨意率性域名
d) 防火墻設(shè)置裝備擺設(shè)
（容許拜訪內(nèi)網(wǎng)公用dns：192.168.187.141，容許拜訪網(wǎng)關(guān)192.168.187.2，容許拜訪署理192.168.187.141，其余均不容許），避免用戶應(yīng)用其余dns或socket

3、 后果展現(xiàn)：
a) 終端無奈停止dns哀求（除白名單域名）

b) xshell外聯(lián)生效（先后比較）
未實行戰(zhàn)略前，可別傳勝利（有前往包）

實行戰(zhàn)略后，無奈別傳（網(wǎng)絡(luò)防火墻攔阻，無回包）

c) 終端不設(shè)置裝備擺設(shè)署理，無奈拜訪web辦事器
（終端無奈停止dns剖析，且無奈間接拜訪外網(wǎng)）


d) 終端設(shè)置裝備擺設(shè)署理可失常上彀
但無奈拜訪黑名單網(wǎng)站，保證平�；ヂ�(lián)網(wǎng)必要，并避免拜訪惡意病毒木馬域名


道理細(xì)節(jié)詳描
1、 終端應(yīng)用web署理拜訪公網(wǎng)web辦事，以下圖

a) 終端不剖析域名，將web哀求間接拋給web署理
i. 瀏覽器可經(jīng)由進(jìn)程pac劇本等辦法挾制終端到公網(wǎng)的流量經(jīng)web署理直達(dá)
ii. 其余軟件可經(jīng)由進(jìn)程設(shè)置裝備擺設(shè)web署理地點等辦法
b) Web署理向署理公用dns辦事器哀求域名剖析并獲得成果，以下圖

i. Web署理辦事器向署理公用dns辦事器哀求域名
ii. 署理公用dns查問黑名單，如婚配則前往制止剖析，如不婚配則進(jìn)一步向公網(wǎng)dns辦事哀求成果并前往
iii. 署理公用dns辦事器前往成果給web署理，如為黑名單則前往默許警示頁面地點
c) Web署理依據(jù)dns反應(yīng)成果拜訪公網(wǎng)
2、 制止終端停止dns剖析，僅凋謝白名單域名剖析：
a) 屏障pc終端的dns剖析（僅容許部門白名單域名剖析），以下圖：

i. 部門未設(shè)置裝備擺設(shè)http署理的法式哀求dns剖析，哀求發(fā)送內(nèi)網(wǎng)終端公用dns辦事器
ii. 終端公用dns辦事器查問白名單，如在白名單（例baidu.com等），則進(jìn)一步向公網(wǎng)dns查問并前往成果，如不是白名單則前往無奈剖析
b) 牢固pc的dns辦事器設(shè)置裝備擺設(shè)并屏障pc到其余dns辦事器的53端口拜訪，避免惡意病毒木馬法式自定義dns設(shè)置裝備擺設(shè)，以下圖：

i. 經(jīng)由進(jìn)程防火墻等步伐關(guān)閉終端出去的53端口（dns公用端口），僅開通到內(nèi)網(wǎng)終端公用dns辦事器的剖析