年度攻防演練專題｜開箱即用、無性能消耗，基于云DNS日志發(fā)現(xiàn)威脅

在數(shù)字化時(shí)代，域名解析（DNS）作為網(wǎng)絡(luò)連接的基石，不僅是用戶訪問服務(wù)的入口，更潛藏著海量安全威脅的蛛絲馬跡。

攻擊案例專家分享

內(nèi)網(wǎng)漏洞探測：攻擊者對(duì)網(wǎng)站進(jìn)行l(wèi)og4j漏洞探測驗(yàn)證，觸達(dá)應(yīng)用進(jìn)行DNS請(qǐng)求，解析流量通過vpc dns解析外帶，異常行為未經(jīng)過邊界出向流量。

C2隱蔽指令傳遞：僵尸網(wǎng)絡(luò)通過TXT記錄傳遞加密指令（如ZwsAq5sT43jgcDk），實(shí)現(xiàn)遠(yuǎn)控軟件更新或攻擊觸發(fā)

3、惡意域名重定向：劫持DNS解析將合法域名指向惡意IP（如釣魚網(wǎng)站），誘導(dǎo)用戶信息泄露

以上手段均會(huì)在DNS日志中留下可追溯特征，將云DNS日志轉(zhuǎn)化為主動(dòng)防御的核心資源，可以顯著提升對(duì)內(nèi)網(wǎng)滲透、高級(jí)威脅的感知與處置能力。

攻擊案例專家分享

內(nèi)網(wǎng)漏洞探測：攻擊者對(duì)網(wǎng)站進(jìn)行l(wèi)og4j漏洞探測驗(yàn)證，觸達(dá)應(yīng)用進(jìn)行DNS請(qǐng)求，解析流量通過vpc dns解析外帶，異常行為未經(jīng)過邊界出向流量。

C2隱蔽指令傳遞：僵尸網(wǎng)絡(luò)通過TXT記錄傳遞加密指令（如ZwsAq5sT43jgcDk），實(shí)現(xiàn)遠(yuǎn)控軟件更新或攻擊觸發(fā)

3、惡意域名重定向：劫持DNS解析將合法域名指向惡意IP（如釣魚網(wǎng)站），誘導(dǎo)用戶信息泄露

以上手段均會(huì)在DNS日志中留下可追溯特征，將云DNS日志轉(zhuǎn)化為主動(dòng)防御的核心資源，可以顯著提升對(duì)內(nèi)網(wǎng)滲透、高級(jí)威脅的感知與處置能力。

企業(yè)DNS威脅監(jiān)測三大痛點(diǎn)：

日志管理分析低效

海量DNS日志（日均千萬級(jí)請(qǐng)求）缺乏智能分析工具

溯源定位低效，難以快速定位惡意請(qǐng)求的位置

攻擊隱蔽性強(qiáng)，情報(bào)能力跟不上

無深度解析，難以識(shí)別隱蔽攻擊

威脅情報(bào)能力弱，難以發(fā)現(xiàn)新型攻擊

傳統(tǒng)產(chǎn)品侵入式，帶來性能損耗

需變更DNS服務(wù)器，影響業(yè)務(wù)

部署Agent，占用帶寬資源，可能影響正常業(yè)務(wù)；受性能限制可能漏包

能否通過智能化日志分析能力，將DNS從基礎(chǔ)設(shè)施升級(jí)為安全戰(zhàn)略的核心節(jié)點(diǎn)，實(shí)現(xiàn)低成本、高準(zhǔn)確度、對(duì)業(yè)務(wù)無影響的威脅監(jiān)測呢？云安全中心基于千起真實(shí)攻擊案例和騰訊內(nèi)部安全最佳實(shí)踐，打磨了一款開箱即用的DNS威脅監(jiān)測工具，有效識(shí)別內(nèi)網(wǎng)漏洞探測、APT攻擊、挖礦、違規(guī)使用遠(yuǎn)程工具等安全風(fēng)險(xiǎn)。

讓云DNS日志從網(wǎng)絡(luò)流量的“記錄者”，升級(jí)為企業(yè)安全的“守護(hù)者”：

原生支持，全量留底：對(duì)騰訊云默認(rèn)183的DNS服務(wù)器解析日志進(jìn)行智能分析。自動(dòng)梳理有多少主機(jī)請(qǐng)求了哪些域名，是否有命中異常。關(guān)鍵時(shí)期可以進(jìn)行歷史全量域名請(qǐng)求記錄的回溯，協(xié)助進(jìn)行溯源排查。

查看請(qǐng)求列表

惡意請(qǐng)求快速定位、處置：基于騰訊安全科恩實(shí)驗(yàn)室大數(shù)據(jù)挖掘能力和數(shù)十年攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，實(shí)時(shí)監(jiān)控惡意域名請(qǐng)求，識(shí)別礦池挖掘、遠(yuǎn)控木馬、惡意 C2、遠(yuǎn)程桌面工具等風(fēng)險(xiǎn)，配合主機(jī)/容器安全定位進(jìn)程，引導(dǎo)處置。

威脅告警詳情

設(shè)定“非白即黑”基線：重保期間，支持針對(duì)出向域名開展行為基線學(xué)習(xí)，監(jiān)測基線外異常行為，輕松應(yīng)對(duì)高強(qiáng)度對(duì)抗場景，及時(shí)發(fā)現(xiàn)隱蔽威脅。

行為基線配置

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。