OneDNS终端网络安全接入服务原理解析

OneDNS 互联网安全接入

一、互联网中的GPS——DNS
二、OneDNS是什么?
- 2.1 简介
- 2.2 功能概述
三、基于OneDNS规避网络安全风险
- 3.1 OneDNS原理解析：在DNS基础上进行改造升级
- 3.2 OneDNS高性能防御：
- 3.3 核心能力
- 3.4 OneDNS防护实现检测、拦截、定位、取证闭环
- 3.5 SaaS化部署方式和接入流程
- 3.6 Agent-终端取证定位原理
- 3.7 OneDNS网络安全防御相比于代理技术或者杀毒软件的优势?
四、下载安装
五、个人版配置和使用OneDNS流程
六、测试拦截功能

在讲解OneDNS如何发挥网络安全防御效果之前，先了解下什么是DNS

一、互联网中的GPS——DNS

DNS：域名系统(DomainNameSystem)的缩写，因特网的一项核心服务，相当于互联网的GPS。可以看成一个巨大的通讯录，主机访问域名时，把网址解析为对应IP地址给出终端。

我们可以把DNS看做是一个分布式数据库，命名系统采用层次的逻辑结构，如同一颗倒置的树，这个逻辑的树形结构称为域名空间，由于DNS划分了域名空间，所以各机构可以使用自己的域名空间创建DNS信息。

DNS域名空间中，树的最大深度不得超过127层，树中每个节点最长可以存储63个字符。，DNS树的每个节点代表一个域，通过这些节点，对整个域名空间进行划分，成为一个层次结构。域名空间的每个域的名字，通过域名进行表示。

什么是递归DNS？

我们可以把递归DNS看成一个巨大的通讯录，根据域名查出IP地址，进行网络访问。

为什么要在获取ip地址？

因为计算机并不认识www.aaa.com这样的域名，域名只是人们为了方便阅读和记忆被创造出来的。

如果没有域名，我们每次浏览网页都要输入一串ip地址，这会造成诸多不便。所以递归DNS起到了将域名翻译成IP的作用，使用户完成域名访问。

公网访问互联网解析流程：

DNS安全风险：

DNS是网络威胁流通的主管道，监控、存储、分析DNS数据对企业网络安全建设有着极其重要的意义，然而几乎所有的企业都允许DNS协议类型数据报文不受限制的传输，DNS覆盖超过91.3%的恶意软件与远控的通信。

针对递归DNS的攻击：Dos&DDos、缓存投毒、服务器劫持、 DNS劫持、DNS欺骗、DNS重绑定…
利用递归DNS的攻击：C&C域名、恶意DGA域名、恶意软件、钓鱼网址、色情网址、黑产广告网址…

二、OneDNS是什么?

2.1 简介

OneDNS 互联网安全接入服务是北京微步在线科技有限公司提供的具备安全防护能力的 DNS 递归解析服务，该服务可以保护任何一台终端、任何一个办公职场、任何一个家庭均可安全地接入到互联网，为企业和家庭用户有效防护：恶意软件、勒索病毒、APT 攻击、钓鱼链接、非法站点。并且屏蔽各类广告骚扰和欺诈类网站，净化网络环境，保护数据安全。

2.2 功能概述

阻断软件恶意攻击：

OneDNS可以有效组织恶意软件攻击。

内置的OneDNS WebGuard威胁站点拦截引擎，阻断带有恶意软件、恶意脚本的站点，或者钓鱼站点，防止您中招或用户数据被窃。

机器好像已经中招了该怎么办？阻断已中招的机器与攻击者之间的恶意网络通信，避免机器进一步的数据失窃、系统被破坏，或者被勒索加密等。

为防止DNS解析服务被滥用，OneDNS个人版对来自每个IP地址的解析请求量做了限制，我们保证这一阈值足够家庭及个人用户使用。

减少广告骚扰：

过多的广告骚扰是非常影响我们的浏览体验的，这个困扰OneDNS就可以解决这一问题。

屏蔽广告骚扰，优化页面加载速度，节约流量的同时让上网体验更优。屏蔽获取个人信息用于广告推送的站点，减少个人隐私数据泄漏。

三、基于OneDNS规避网络安全风险

3.1 OneDNS原理解析：在DNS基础上进行改造升级

改造后的，新的网络请求链路如下图所示：

OneDNS拿到请求域名，与云端情报库实时碰撞，安全域名稳定高效解析，返回解析IP给用户进行访问；检测到恶意域名不做解析，直接拦截，返回拦截页面，实现安全防护。

3.2 OneDNS高性能防御：

OneDNS可以全面防护新型威胁及变种，确保任何一台终端、任何一个办公职场安全地接入到互联网，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种新型高级威胁，实现检测、拦截、定位、取证闭环。

3.3 核心能力

电脑终端高性能威胁防护：风险网站情报搜集同步至云端，99.9%的情报准确度。全面防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等。
安全闭环：威胁检测、自动拦截、失陷定位、进程取证，提升安全运营效率高、轻松无忧。与杀毒软件及时互补。
远程办公安全防护：轻松安装上千终端随时随地、自动接入OneDNS防护进入办公区自动切换到企业内部网络。

3.4 OneDNS防护实现检测、拦截、定位、取证闭环

检测高级威胁：利用DNS进行网络上的防护，全面检测各类新型高级威胁及其变种。
定位恶意进程：定位威胁机器的进程源头，以及执行的进程链条。
实时拦截阻断：一旦检测到恶意软件运行，直接阻断恶意软件与远控端的通信。
定位内网主机：定位到内部失陷终端和员工，实现进一步的分析、溯源和清理工作。

OneDNS可以基于自己的Dashboard一览内网威胁情况，提供多视角、可视化的数据报表分析，支持自定义生成报告。此外，它还提供了本地态势感知对接API，提供API能力与本地日志平台、态感平台进行对接，输出 OneDNS全量防护数据。

3.5 SaaS化部署方式和接入流程

部署方式：

方式一：在内部DNS服务器上配置转发器，将DNS请求转发到OneDNS；
方式二：在DHCP服务器上配置 DNS地址，将OneDNS 地址下发到每一台终端；
方式三：在具备DNS代理功能的防火墙或上网行为管理设备，配置OneDNS作为目标DNS；
方式四：远程办公的漫游终端安装OneDNS Agent，自动配置到OneDNS。

接入流程：
第一步，首先是验证网络出口，将测试所有出口IP录入OneDNS。第二步设置DNS地址，修改互联网递归DNS地址，指向OneDNS即可实现接入。

3.6 Agent-终端取证定位原理

流程如下图所示：

3.7 OneDNS网络安全防御相比于代理技术或者杀毒软件的优势?

网络代理技术实现网络防护：它不具备恶意软件外联的的检测和防护能力，因为恶意软件通信不一定都走HTTP协议，且对钓鱼、DNS隧道不具备防护能力。

杀毒软件：基于签名的方式对新型威胁、恶意软件的响应速度很慢，容易被攻击者绕过，在对抗中容易被关闭、被禁用，或者自身的机制被恶意软件利用。

所以OneDNS安全防护是对目前现有终端安全防护技术的有效补充。

四、下载安装

地址：https://page.ma.scrmtech.com/landing-page/index?pf_uid=15831_1728&id=12702&channel=30326

公益版本接入流程：

下载网络检查工具：

配置企业DNS：

服务接入三步骤结束后，可以继续进行自定义网络拦截策略配置，然后即可使OneDNS发挥效果～

五、个人版配置和使用OneDNS流程

下载完成OneDNS客户端之后，接着开始配置开启OneDNS：

1、在电脑任务栏中右键点击网络图标，选择“打开网络和共享中心”
2、在右侧的查看活动网络中，单击当前已连接的网络。（如果你有多个网络连接，请选择当前正在使用的连接）

3、点击属性按钮

4、选择中Internet 协议版本 4 (TCP/IPv4)，再单击属性

5、选择“使用下面的 DNS 服务器地址”，首选DNS服务器和备用DNS服务器分别填写117.50.11.11和52.80.66.66，点击“确定”

六、测试拦截功能

点击以下链接 http://test.onedns.net（请放心，这只是一个无害的测试页面）。如果看到一个拦截页面，则证明OneDNS已经在你的网络中有效运行。

若显示其他内容，则表明OneDNS配置未生效，建议您进行以下排查：
1、检查DNS配置地址是否填写正确。
2、清除浏览器DNS缓存或打开无痕模式访问测试链接点击查看如何清除浏览器DNS缓存。
3、清除本机DNS缓存点击查看如何清除本机DNS缓存。