根基辞汇说明：
DnsA记载传输：
应用dns剖析进程，在哀求剖析的域名中包括需别传的数据，如xxxxxx.hack.com。则终极hack.com的dns办事器会收到xxxxx这个数据回传。
dns的txt范例回包：
一样平常指为某个主机名或域名设置的阐明，可被黑客应用回传数据。终端哀求某恶意病毒木马域名的dns剖析，dns前往txt记载，包括黑客必要的回传内容，如模块更新数据、指令等
概述：
跟着愈来愈多的公司网安认识进步，大批公司已封闭socket通讯，仅容许员工经由进程http/https协定外网，同时采用了愈来愈多针对http协定的检测步伐（如数据分析恶意病毒木马url等）。为回避检测，Dns传输已慢慢成为愈来愈多的恶意病毒木马软件隐藏传输的办法，dns传输应用dns逐级剖析进程终极把域名中的恶意病毒木马内容传输到远端节制器，也应用dns的txt范例回包更新当地木马病毒。
为办理此成绩，笔者提出基于全web署理的dns恶意病毒木马传输屏障计划，经由进程制止终端做dns剖析，仅容许署理做dns，完整屏障pc的恶意病毒木马dns传输的同时，保证终端可以经由进程web署理拜访公网（备：这也是各大公司以后采用的上外网的办法通用计划），有用办理dns恶意病毒木马传输成绩。适用于各大公司彻底办理dns木马病毒传输通道成绩。
根本思惟与道理
详细道理以下所述：
1、牢固pc的dns办事器设置装备摆设，并制止改动，避免木马病毒改动绕过网安战略，或用户改动设置装备摆设有意低落网安标准
2、屏障pc外联的53端口拜访，避免恶意病毒木马法式在代码中应用自定义dns办事器
3、收紧pc终端的dns剖析，dns办事器仅相应容许的白名单域名剖析，其余不前往成果
4、pc通讯全web署理，容许web署理本身做dns剖析
终极完成完整屏障pc的恶意病毒木马dns传输的同时，保证终端可以经由进程web署理拜访公网，办理dns恶意病毒木马传输成绩。
体系架构

模块功效描写：
内网终端：内网用户应用的拜访公网的终端，可包括pc、手机、平板等
Web署理: 供给web协定的署理，终端可经由进程此署理拜访外网数据
Web办事：外网的web办事
内网终端公用dns办事器：给内网终端供给dns办事，仅限白名单域名的剖析
白名单：容许被剖析的域名，如baidu.com等
署理公用dns办事器：给web署理供给dns办事器，不供给黑名单剖析，低落恶意病毒木马web营业拜访
黑名单：供给恶意病毒木马域名清单，制止署理公用dns剖析，进而制止署理拜访恶意病毒木马url
公网dns办事：外网dns办事器，包括各个递归办事器
其余dns办事器：内网终端公用办事器外的其余dns办事器，包括公网dns办事器、署理公用dns办事器等
试验情况演示：
1、 试验情况先容
a) 一台内网终端，win7x64体系
i. ip：192.168.187.139
ii. 网关：192.168.187.2
iii. dns：192.168.187.141（内网终端公用dns）
b) 一台dns办事器（内网终端公用dns），server 2008
i. ip:192.168.187.141
ii. 网关：192.168.187.2
iii. dns：192.168.187.2
c) 一台squid署理办事器，ubuntu体系
i. ip:192.168.187.136
ii. 网关：192.168.187.2
iii. dns：192.168.187.2（署理公用dns）
d) 防火墙
制止内网终端非受权拜访，仅容许网关、内网终端公用dns、署理拜访，或白名单法式的socket衔接（不支持web署理，联通必要内网终端公用dns白名单共同）
2、 设置装备摆设进程：
a) 终端设置装备摆设
i. 锁定dns设置装备摆设，避免用户或木马病毒改动：
Xp体系可应用这个

Win7可应用此对象

ii. 设置装备摆设署理，拜访外网：

b) Dns办事器设置装备摆设
i. 应用前提转发不容许剖析白名单之外域名
l 清空根提醒（避免无奈节制的递归）

l 确认，弗成制止递归（不然无奈完成前提转发）

l 假如容许剖析，则设置装备摆设到署理公用dns，可完成递归剖析

c) Squid设置装备摆设
i. 设置装备摆设黑名单，比方：淘宝、京东，避免员工下班购物，固然从网安角度可设置装备摆设各类黑域名

ii. 设置装备摆设署理公用dns（192.168.187.2），可剖析随意率性域名
d) 防火墙设置装备摆设
（容许拜访内网公用dns：192.168.187.141，容许拜访网关192.168.187.2，容许拜访署理192.168.187.141，其余均不容许），避免用户应用其余dns或socket

3、 后果展现：
a) 终端无奈停止dns哀求（除白名单域名）

b) xshell外联生效（先后比较）
未实行战略前，可别传胜利（有前往包）

实行战略后，无奈别传（网络防火墙拦阻，无回包）

c) 终端不设置装备摆设署理，无奈拜访web办事器
（终端无奈停止dns剖析，且无奈间接拜访外网）


d) 终端设置装备摆设署理可失常上彀
但无奈拜访黑名单网站，保证平常互联网必要，并避免拜访恶意病毒木马域名


道理细节详描
1、 终端应用web署理拜访公网web办事，以下图

a) 终端不剖析域名，将web哀求间接抛给web署理
i. 浏览器可经由进程pac剧本等办法挟制终端到公网的流量经web署理直达
ii. 其余软件可经由进程设置装备摆设web署理地点等办法
b) Web署理向署理公用dns办事器哀求域名剖析并获得成果，以下图

i. Web署理办事器向署理公用dns办事器哀求域名
ii. 署理公用dns查问黑名单，如婚配则前往制止剖析，如不婚配则进一步向公网dns办事哀求成果并前往
iii. 署理公用dns办事器前往成果给web署理，如为黑名单则前往默许警示页面地点
c) Web署理依据dns反应成果拜访公网
2、 制止终端停止dns剖析，仅凋谢白名单域名剖析：
a) 屏障pc终端的dns剖析（仅容许部门白名单域名剖析），以下图：

i. 部门未设置装备摆设http署理的法式哀求dns剖析，哀求发送内网终端公用dns办事器
ii. 终端公用dns办事器查问白名单，如在白名单（例baidu.com等），则进一步向公网dns查问并前往成果，如不是白名单则前往无奈剖析
b) 牢固pc的dns办事器设置装备摆设并屏障pc到其余dns办事器的53端口拜访，避免恶意病毒木马法式自定义dns设置装备摆设，以下图：

i. 经由进程防火墙等步伐关闭终端出去的53端口（dns公用端口），仅开通到内网终端公用dns办事器的剖析