DNS 情报：含义及其在网络安全中的作用

几乎所有的互联网活动都涉及 DNS 查询，这使得 DNS 成为威胁情报的重要来源。DNS 情报的用途非常广泛------从过滤可疑 DNS 请求以防止恶意软件，到绘制威胁行为者的基础设施。在本文中，我们将探讨不同类型的 DNS 情报、它们的工作原理以及它们在现代网络安全中的应用。

什么是 DNS 情报？

DNS 情报是威胁情报领域中的一个总称，指的是经过处理和分析的 DNS 数据中提取出的可操作威胁信息。

由于 DNS 的基本功能是将域名解析为 IP 地址，它是通信的基础层之一。可以说它位于 OSI 模型的第 7 层------应用层（从上往下数第二层），而其下方还有许多工作正在进行。实际上，即使像 ping google.com 这样依赖 ICMP 数据包（第 3 层）的命令，也需要先进行 DNS 查询，将域名解析为 IP 地址。

这意味着几乎所有使用互联网的人和事都需要通过 DNS，无论其意图是合法还是恶意。因此，安全专业人员可以通过 DNS 监控和分析活动及历史 DNS 查询来获得网络可见性并检测恶意活动。

DNS 情报的类型及工作原理

DNS 威胁情报可以从多种来源收集，主要分为两类：本地（On-Premises）和全球（Global）。

本地 DNS 情报

本地 DNS 数据指从组织内部网络收集的 DNS 查询日志。每当网络上的设备发起 DNS 请求以解析域名时，这一活动都会被组织的 DNS 解析器或下一代防火墙（NGFW）记录。

本地数据对于网络安全非常有用，特别是在检测网络行为异常时，例如设备突然查询恶意域名或单个主机发起大量异常查询。这种保护型 DNS 方法能够深入了解网络内部的活动。其工作流程如下：

1. 数据收集：本地 DNS 过滤器（无论是 NGFW 的一部分还是独立工具）接收来自网络或解析器日志的 DNS 查询。基于这些数据，使用机器学习（ML）建立正常 DNS 流量的基线。

2. 威胁情报关联：DNS 过滤器与威胁情报源集成，当接收到用户的 DNS 查询时，工具会立即将请求的域名与已知恶意域名、IP 和 C2 服务器的黑名单和数据库进行交叉比对。

3. 行为分析：即使用户查询的域名不涉及任何恶意域，安全工具仍会检测 DNS 流量是否偏离数据收集时建立的基线。例如，它们可以发现单个主机发起大量异常查询（可能表示设备被入侵）或通过 DNS 隧道进行数据外泄。

全球 DNS 情报

全球 DNS 数据，也称为被动 DNS（Passive DNS），由安全供应商（如 WhoisXML API）从全球范围内的传感器和 DNS 解析器收集。这种收集方式创建了一个庞大的历史 DNS 查询和响应数据库。

本地 DNS 数据与全球 DNS 数据的主要区别在于：前者仅限于单个组织或单个解析器，而后者可覆盖整个互联网。

这使得它们的使用场景大不相同。例如，被动 DNS 提供了攻击者基础设施的全球视角。它帮助安全专业人员关联妥协指标（IoC）并绘制攻击者基础设施，将域名、IP 地址和名称服务器联系起来，从而揭示整个恶意行为网络，而不仅仅是单个妥协指标。通过我们的威胁报告（Threat Reports）部分，你可以看到如何利用被动 DNS 数据映射攻击者基础设施。全球视角提供了本地数据可能无法获得的威胁上下文。

例如，如果发现单个恶意域名，被动 DNS 数据可以用于查找历史上解析到相同 IP 或使用相同名称服务器的其他域名，从而揭示攻击者更广泛的基础设施。

由于被动 DNS 不依赖组织控制的单个解析器，其原理与上述本地 DNS 情报不同。但我们仍可将其概括为三个主要阶段：

1. 数据收集：数据聚合商（如 WhoisXML API）运营一个庞大的传感器网络，被动监控 DNS 流量并记录：

   • 发起查询的设备的源 IP 地址

   • 被查询的域名（如 malicious-site.com）

   • 响应中返回的 IP 地址或其他数据

   • 请求的时间和日期

   • DNS 查询类型（如 A、AAAA、MX、TXT）

2. 被动监控：这些传感器配置为监听 DNS 流量。当用户请求访问网站（如 google.com）时，计算机会向递归解析器发送 DNS 查询。当解析器返回答案（如 google.com 解析为 142.250.72.78）时，传感器会将此解析记录为数据点。

3. 数据存档：收集到的数据------包括域名、解析得到的 IP 地址、DNS 记录类型及时间戳------被发送到一个庞大且可搜索的数据库中。

如何访问全球 DNS 情报

根据 Statista 的数据，全球互联网用户超过 60 亿，根据 Domain Name Stat 的数据，全球域名超过 8 亿。可以想象，历史 DNS 查询数据库的规模非常庞大。实际上，你通常不需要整个数据库，而只需要特定的数据点。因此，维护这些数据库的机构会根据用户需求提供不同的访问方式。

DNS 查询

DNS 查询，也称为正向查询（forward lookup），是最常见的查询类型，通常也是分析的起点。具备被动 DNS 情报功能的安全工具会执行 DNS 查询，以确定某个域名解析到哪个 IP 地址（通过查看域名的 A 记录或 AAAA 记录）。

值得注意的是，DNS 查询可以返回多种资源记录类型，例如：

• 邮件交换（MX）记录

• 名称服务器（NS）记录

• 规范名称（CNAME）记录

• 文本（TXT）记录

• 以及其他数十种 DNS 记录类型

下面是使用我们的 MCP 服务器对 example[.]com 进行 DNS 查询的示例：

反向 DNS 和反向 IP 查询

反向 DNS 查询（Reverse DNS Lookup）与普通 DNS 查询正好相反------它是从一个 DNS 记录出发，查找共享该记录的域名。有些反向 DNS 查询工具可以按不同类型的记录进行搜索，而有些工具则只针对一两种 DNS 记录类型。

例如，我们的 Reverse IP API 可以从已知的 IP 地址出发，查找所有与该 IP 相关的域名。这可以帮助分析人员发现其他恶意网站或托管在同一 IP 上的子域名。

DNS 历史查询

还可以通过 DNS 历史查询（DNS History Lookup） 来获取某个域名或 IP 地址的历史 DNS 记录（WhoisXML API 提供了 DNS Chronicle API 用于此目的）。这一过程能够提供关键的历史上下文，帮助分析人员"串联线索"，因为域名过去的 DNS 记录可以揭示威胁的生命周期，并随着时间推移勾勒出攻击者的基础设施。

例如，在 GreedyBear 攻击中作为妥协指标（IoC）之一的 snipersol[.]com，其 DNS 历史记录显示该域名一共解析过 178 个不同的 IP 地址。其中部分解析发生在非常短的时间内。

被动 DNS（Passive DNS）还可以让你查看某个域名是否曾经托管在不同的、可能是恶意的 IP 地址上，或者是否与其他可疑域名相关联。

被动 DNS 情报的用途

在前面的章节中，我们了解了本地 DNS 情报（与其他威胁情报源关联使用）如何作为过滤工具，使组织能够阻止访问大量已知的恶意域名或与网络钓鱼、恶意软件攻击和僵尸网络相关的 IP 地址。

这里，我们将介绍被动 DNS 情报的用途，以及它如何与本地 DNS 情报、域名情报和其他互联网基础设施数据源结合使用。

攻击面管理（Attack Surface Management, ASM）

ASM 平台会持续扫描并映射所有资产，收集来自各种来源的数据（包括被动 DNS）以建立全面的资产清单。

例如，当平台的 DNS 监控工具识别到一个新的面向互联网的域名（如 project-xyz[.]com），该域名以前未在组织资产清单中，但解析到了属于公司 IP 范围的地址时，该信息应自动得到如下丰富的数据支持：

• DNS 历史记录：历史 DNS 数据可能显示该域名偶尔解析到公司 IP 范围外的地址，例如某个云服务提供商（如 AWS）的 IP。

• WHOIS 记录：WHOIS 查询可确定域名所有者。如果注册组织与其他域名不同，可能需要进一步调查。基于 WHOIS 的反向查询可帮助发现该注册组织拥有的其他域名。

• SSL 证书分析：自动检查 SSL 证书是否来自受信任的证书颁发机构（CA）或自签名。例如，如果 project-xyz[.]com 的 SSL 证书为自签名且即将到期，应引起警惕，因为该域名可能是被遗忘的测试环境资产，未来可能成为攻击路径。使用 SSL 证书透明度日志还可帮助发现使用同一证书的更多域名或子域，进一步丰富攻击面地图。

品牌保护

品牌保护工具的一项功能是发现 域名错拼（typosquatting），这也依赖 DNS 情报，例如通过排列组合和行为分析方法。集成 WHOIS 数据可增加上下文信息，安全工具可自动对检测到的错拼域名进行 WHOIS 查询，从而识别并处理试图冒充品牌的域名，这些域名可能用于钓鱼攻击、假冒和其他恶意行为。

示例：
使用 MCP 服务器搜索包含 "chatgpt" 字符串的域名，这些域名注册日期在 2025 年 8 月 1 日之后，并且历史上或当前未由 OpenAI（chatgpt[.]com 的注册组织）注册。

通过分析这些错拼域名的 DNS 历史（例如 IP 的持续变化是攻击者规避封禁的常用策略），并结合网站截图 API 验证域名实际网页内容，可进一步增强品牌保护效果。

威胁调查

威胁调查结合本地和被动 DNS 情报进行。当本地 DNS 日志显示可疑查询（例如设备与已知 C2 服务器通信）时，安全分析师可以利用被动 DNS 数据、WHOIS 和 IP 地理位置进行扩展调查，从这个 IoC 出发构建威胁档案。

收集的数据还可以揭示更广泛的攻击者基础设施，包括与同一攻击活动相关的其他域名、IP 地址和名称服务器。

我们的研究团队在威胁报告中也使用这一策略，例如近期对三种 Lazarus RAT 的调查，从 19 个 IoC 开始，最终发现数百个关联域名和潜在受害者 IP 地址。

第三方风险管理（Third-Party Risk Management, TPRM）

被动 DNS 数据可以揭示供应商域名是否托管在共享或专用 IP 上，以及是否有与恶意资产共址的历史。TPRM 平台使用域名情报和 SSL 证书数据检查网站配置的可疑变化，或查看新注册的子域是否包含其他公司的品牌名称，从而发现潜在供应链风险。

欺诈防范

被动 DNS、IP 和域名情报为欺诈检测系统提供丰富的互联网范围上下文。本地 DNS 数据可以标记内部用户异常行为，例如员工尝试访问黑名单域名。结合被动 DNS 数据，系统可以验证该 IP 是否有托管恶意域名或参与僵尸网络的历史。

当检测到异常（如从新地点登录）时，系统可以利用 IP 地理位置和被动 DNS 评估源 IP 风险，再决定是否触发额外身份验证或直接阻止访问。

早期威胁检测

威胁检测需要多种情报源。以 DNS 隧道（DNS Tunneling）为例，可结合以下方法检测：

• DNS 情报：安全平台检查 DNS 查询和响应的异常模式，例如异常长的查询名称，因为正常 DNS 查询通常是短且可读的，而隧道技术会在子域中编码大量数据形成看似随机的长字符串。

• 新注册域名（NRD）数据：攻击者常为 C2 服务器注册新域名，因此对仅几天的域名出现大量查询是重大警告信号。威胁检测系统可配置为标记与组织正常业务无关的 NRD 查询。

早期威胁检测主要依赖威胁狩猎（Threat Hunting）技术，而 DNS 情报是其中重要组成部分。

结论

DNS 情报是网络安全的核心数据源，因为几乎所有互联网活动都依赖 DNS。

• 本地 DNS 情报：帮助组织洞察内部网络行为，实时发现异常和策略违规。

• 全球（被动）DNS 情报：提供历史和互联网范围的上下文支持，可用于攻击面管理、品牌保护、威胁调查、第三方风险管理、欺诈防范和早期威胁检测，揭示域名与 IP 的关联及其随时间变化的情况。

结合域名、WHOIS、SSL 和 IP 情报，这些数据源可以帮助安全团队关联信号、发现隐藏关系，并在几乎所有网络安全工作流程中更快、更准确地做出决策。