基于OneDNS实现上网安全防护和监控

前言介绍：

大家是不是经常遇到这种问题、明明上网页输入的是网址地址，打开的却是页游广告或者APP弹窗之类的。在上网的时候突然就打开一个“充值XX元就可获得流量大礼包”的页面。类似下面这样。

照成这样的原因是什么呢？网址输错了?有病毒木马?No,可能是DNS劫持。

在“输入网址域名→网页正常显示”的过程中，最容易被下手的就是DNS解析这一环节。如果你没有指定专门的DNS服务器，就会默认使用运营商提供的DNS服务器来进行解析。

很多小型网络运营商为了商业利益，会将A网站的域名直接解析到B网站，用这种最流氓的手段来为B网站引流并赚取利润，这就是为什么我们上网时会经常被跳转到购物、游戏、开通上网套餐之类的页面，其实都是运营商DNS劫持在作怪。

既然运营商是通过自己运营的DNS缓存服务器来实现网页浏览劫持的，那我们能不能不用运营商的DNS服务器?当然可以!下面就给大家推荐2种简单又实用的方法。

方法一：安装各类电脑管家或安全防护类软件

各类安全防护软件和电脑管家的安装通常都比较简单，只需要从官网下载最新的安装包，并一路点击“下一步”即可完成安装及配置过程。而这类软件通常也具备开机自启动和完整、全面的防护功能，入手门槛相当低，就算是“电脑小白”也能轻松搞定。

在运行过程中，这些软件通常都会自动判断当前电脑是否被运营商或其他组织DNS劫持。一旦检测到可能的劫持行为，它们都可以弹窗提示并提供“立即修复”的一键式解决方案。整个体验流程可以用自动化来形容。

但是这样的话缺点太多！就是比较占用系统资源，而且多数安全软件本身自带广告，不容易卸载干净。

完美选择——安装轻量的DNS服务

　　DNS（域名系统）作为互联网的神经系统，是互联网基础设施中的关键环节。另一角度来说，DNS行为特征也是恶意软件的本质特征，思科研究报告指出，91.3%的恶意软件使用了DNS协议和远端进行通讯，实现远程的控制端通讯，窃取用户数据，伺机发起攻击等。而同时，DNS流量是企业安全管理被长期忽视的部分，网络管理员通常随便从互联网上搜索一个免费DNS，这类DNS一般只给个人用户服务，并不具备防护企业的能力。因此，企业需要一款专业的企业级DNS来覆盖安全防护盲区、提高安全能力。

　　对于大部分行业来说，在DNS层面建立防护，部署成本低、难度小，无需大量的流量探针，DNS协议具有的设备无关性，可以高效的覆盖企业的所有联网设备，包括办公终端、移动终端、服务器主机、IoT设备、工控设备等，而不用考虑其网络位置和操作系统类型，即使是阻断模式也无需改变目标网络的拓扑；运维成本低：告警准确，日志可读性高，DNS流量占总流量1%-1‰，但却能识别出高于90%的恶意软件通信行为；同时，结合威胁情报能力，DNS服务也能有效的识别隐蔽隧道通信并阻止敏感数据的泄露，实现对新型攻击的监测拦截，补上公司安全体系建设的重要一环。

微步在线OneDNS——稳定高效，监测＋防御一步到位

OneDNS 互联网安全接入服务是北京微步在线科技有限公司提供的具备安全防护能力的 DNS 递归解析服务，该服务可以保护任何一台终端、任何一个办公职场、任何一个家庭均可安全地接入到互联网，为企业和家庭用户有效防护：恶意软件、勒索病毒、APT 攻击、钓鱼链接、非法站点。并且屏蔽各类广告骚扰和欺诈类网站，净化网络环境，保护数据安全。　　

OneDNS作为国内首个威胁情报SaaS网关，可以保证任意办公职场的任何终端安全地接入到互联网，是企业安全入网的第一道防护。其防护原理是替换企业或终端原有的互联网递归DNS，利用微步在线云端威胁情报库实时同步并阻断。OneDNS对企业的DNS进行稳定高效解析的同时，可以识别全球范围内的高级威胁，并对命中威胁情报的域名进行拦截，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种威胁，情报准确度高达99.99%。自2013年以来，OneDNS稳定服务近千万终端，每天处理几亿次解析，100%稳定无宕机，助力地产行业安全运维处置效率的提升。

OneDNS的独特优势有哪些呢？

威胁拦截功能:

基于微步在线海量高价值威胁情报，能够以99.9%的准确性识别并阻止链接恶意软件远控地址、钓鱼地址、矿池地址。

上网行为分类拦截:

目前识别超过 80 种分类包括赌博、色情暴力、游戏等敏感类别用户可自主选择是否拦截这些类别的站点

内部威胁主机定位:

能够在接入DNS日志、DNS流量的情况下精准定位内网失陷主机。搭配取证终端后可以直接抓取终端恶意进程。

职场与策略管理:

为多职场用户提供便捷的管理能力，可实现各职场管理员分权管理，总部管理员统一管控，集团安全运营高效协同、轻量无忧。

漫游终端接入:

提供轻量级的客户端工具，通过修改终端DNS地址的方式保证其离开职场后仍能安全访问互联网。

本地态势感知平台对接 API:

平台具备多种API，能够提供给用户态势感知平台进行调用，可以进行威胁防护数据拉取，地址列表配置等操作。

写在最后

现在OneDNS给我们提供了三种版本对应的dns解析地址。我觉得个人版目前能够防护住我们日常的各种垃圾信息，并且访问网页的时候基本上感受不到过多的延迟，想必作为企业版一定能够拦截很多的危险网页提高工作效率。作为我们个人可以下载一个作为日常的使用净化我们的互联网哟。

安装也非常简单、直接通过安装客户端的方式开启OneDNS做拦截。

而对企业，如果正在被混合办公的安全问题侵扰，不妨尝试一下OneDns。