什么是保护性 DNS？

保护性 DNS (PDNS) 是一种安全服务，可通过分析 DNS 查询来识别并抵御 DNS 流量中的威胁。根据 美国国家安全局 (NSA) 及 网络安全和基础架构安全局 (CISA)的建议，保护性 DNS 服务可阻止恶意软件、勒索软件、病毒、网络钓鱼活动和其他网络攻击，并防止用户和流量访问恶意网站，从而提高网络的安全性。

域名系统 (DNS) 是面向互联网的 GPS，为网站域名提供了有关计算机地址的信息。DNS 将人类可读的 Web 域名（如“website.com”）转换为 IP 地址，即可供机器读取的数字字母字符串。当用户在浏览器中键入域名或某个设备试图访问另一设备时，系统会将一个 DNS 请求或 DNS 查询发送到递归 DNS 服务器。此 DNS 服务器或“解析器”可以根据其缓存中存储的数据生成答案，将请求转发至可解析此请求的其他递归服务器，或者联系用于保存所选域或设备正式记录的权威 DNS 服务器。

完成一个请求可能需要多种不同的 DNS 解析，这使得 DNS 解析的速度和安全性变得愈加重要。然而，一直以来，DNS 流量通常可以不经任何检查便通过安全系统。此外，DNS 在设计时也并未考虑到安全性，它的主要目的是快速准确地解析 DNS 请求，而不会质疑请求的意图或 IP 地址的合法性。

由于这些原因，DNS 对攻击者而言具有较高的吸引力。恶意攻击者试图访问 IT 系统或中断运营，因而出现了多种针对 DNS 的网络威胁。攻击者可能使用 DNS 流量来窃取数据，或与 IT 环境中感染恶意软件的设备进行通信。某些攻击（如泛洪攻击或 DDoS 攻击）会威胁到 DNS 服务器的可用性，并阻止用户和应用程序访问所需的资源。其他攻击可通过将合法 DNS 信息替换为虚假记录，将用户重定向到其他的恶意网站，从而损害 DNS 服务器的合法性。攻击者还可能利用 DNS 服务来增加其他类型攻击的影响。

保护性 DNS 服务通过将每个 DNS 请求与威胁情报进行比较，可抵御多种此类 DNS 威胁。

保护性 DNS (PDNS) 采用具有策略数据功能且基于策略的 DNS 解析器，根据策略标准返回 DNS 响应。

PDNS 采用具有数据功能且基于策略的 DNS 解析器，根据特定标准返回 DNS 响应。

为提供 DNS 保护，保护性 DNS 解析器对照包含已知恶意内容的站点列表检查域名和返回的 IP 地址，并阻止连接到可疑站点或恶意站点。

当保护性 DNS 服务识别出某个查询可能是恶意或可疑查询时，可以选择：

• 通过返回 NXDOMAIN 响应来阻止请求，这意味着未找到有效的 IP 地址
• 将请求重定向到另一默认页面，该页面会通知用户源站域名查询已阻止
• 将域名添加到 Sinkhole，拖延潜在网络威胁的执行，并支持网络安全团队调查主动威胁

PDNS 服务可以：

• 从新域名注册或创建那一刻起实时进行阻止
• 拖延具有某些特征的域名的解析
• 限制可能攻击企业的潜在域名数量
• 在勒索软件或恶意软件事件期间加强出站 DNS 解析
• 监测实时和历史出站 DNS 流量，以协助开展分析和事件响应

保护性 DNS 服务依据与已知恶意域或基于模式识别的新恶意域相关的威胁情报，对域名进行分类。PDNS 系统可以：

• 阻止对网络钓鱼站点的访问。网络钓鱼攻击通常使用与常见域极其相似的域来诱骗用户泄露凭据、帐户信息和其他敏感数据。PDNS 可防止用户无意中连接到这些网站或点击恶意链接。
• 阻止恶意软件分发。若某些网站已知会提供恶意软件内容或被黑客用于指挥和控制恶意软件，则保护性 DNS 可以阻止到此类网站的恶意连接尝试并发出告警。
• 停止域生成算法。攻击者使用 域生成算法 (DGA) 以编程方式生成域名，从而规避旨在阻止静态 IP 地址和域名的 DNS 安全检查。PDNS 通过分析和标记已知与 DGA 关联的文本属性（如高查询名称熵）来抵御此类型的恶意软件。
• 筛选内容。企业还可以利用 PDNS 内容筛选功能，阻止用户访问违反可接受使用策略的网站，例如用于赌博或发布成人内容的网站。

PDNS 服务提供商可以在几分钟内部署保护性域名系统功能。出色的解决方案应将 PDNS 作为一项可跨混合架构进行部署的高可用性服务提供。务必能够按设备、组和网络进行自定义。提供 AI 驱动式分析和检测的服务不仅有助于阻止已知威胁，还可帮助阻止新出现的威胁。