揭秘DNS隧道流量：网络隐藏通信的奥秘与分析(图文)

DNS 隧道：隐藏在域名解析背后的通信

在网络世界中，DNS（Domain Name System，域名系统）就像是一本巨大的 “电话簿”，负责将我们熟悉的域名（如baidu.com）解析成计算机能够识别的 IP 地址。它是互联网运行的基础，我们日常上网、收发邮件等网络活动，都离不开 DNS 的支持。然而，这个看似普通的域名解析过程，却可能隐藏着不为人知的秘密通信通道 ——DNS 隧道。
DNS 隧道是一种利用 DNS 协议进行隐蔽通信的技术。正常情况下，DNS 协议用于域名和 IP 地址的转换，但攻击者却能巧妙利用它，将非 DNS 数据封装在 DNS 报文中进行传输，就像在正常的快递包裹中夹带了违禁物品。由于 DNS 流量在网络中广泛存在且通常被防火墙放行，DNS 隧道具有很高的隐蔽性，难以被常规的安全检测手段察觉。
DNS 隧道技术被广泛应用于恶意场景。在网络攻击中，攻击者可以利用 DNS 隧道绕过防火墙的限制，实现对目标网络的远程控制和数据窃取。比如，恶意软件感染目标主机后，通过 DNS 隧道与控制服务器通信，接收指令并上传窃取到的敏感信息，如企业机密文件、用户账号密码等 。此外，DNS 隧道还可能被用于数据泄露，将内部网络中的重要数据偷偷传输到外部，给企业和个人带来巨大损失。
为了更好地理解 DNS 隧道的工作原理和危害，我们有必要深入分析 DNS 隧道流量的特征。通过对 DNS 隧道流量的分析，我们可以发现其中的异常模式和行为，从而及时发现并阻止潜在的安全威胁，保护网络安全。

DNS 隧道的工作原理剖析

（一）正常 DNS 协议工作流程

在探讨 DNS 隧道之前，我们先来了解一下正常情况下 DNS 协议是如何工作的。当我们在浏览器中输入一个域名，比如 “baidu.com”，计算机并不能直接识别这个域名，它需要将域名解析成对应的 IP 地址，才能找到目标服务器并获取网页内容。这个解析过程就由 DNS 协议来完成。
具体来说，DNS 解析是一个递归和迭代相结合的过程 。首先，计算机向本地 DNS 服务器发送查询请求。本地 DNS 服务器是由我们的网络服务提供商（ISP）或者企业内部网络管理员设置的，它就像是一个本地的 “小电话簿”，存储了一部分常用域名和 IP 地址的映射关系。如果本地 DNS 服务器的缓存中已经有了 “baidu.com” 的 IP 地址记录，那么它会直接将这个 IP 地址返回给计算机，解析过程就结束了。
但如果本地 DNS 服务器缓存中没有该记录，它就会向根域名服务器发起查询。根域名服务器是全球 DNS 系统的最高层级，它们知道所有顶级域名服务器的地址。根域名服务器会告诉本地 DNS 服务器负责 “com” 顶级域名的服务器地址。然后，本地 DNS 服务器再向 “com” 顶级域名服务器发送查询请求，顶级域名服务器又会返回负责 “baidu.com” 的权威域名服务器地址。最后，本地 DNS 服务器向权威域名服务器查询，权威域名服务器拥有 “baidu.com” 的最终 IP 地址记录，并将其返回给本地 DNS 服务器，本地 DNS 服务器再把 IP 地址返回给计算机 。这样，计算机就得到了 “baidu.com” 对应的 IP 地址，可以与目标服务器建立连接并访问网页了。

（二）DNS 隧道原理

了解了正常 DNS 协议的工作流程后，我们再来看看 DNS 隧道是如何利用这个过程来实现隐蔽通信的。DNS 隧道的核心原理是将非 DNS 数据封装在 DNS 请求和响应报文中，利用 DNS 协议在网络中传输这些数据。
攻击者首先会在目标网络内部植入一个恶意程序，这个程序被称为 DNS 隧道客户端。当客户端需要与外部控制服务器（DNS 隧道服务器）进行通信时，它会将需要传输的数据（如窃取的文件、控制指令等）进行编码，然后将编码后的数据嵌入到 DNS 查询请求的域名部分。例如，正常的 DNS 查询可能是 “www.baidu.com”，而 DNS 隧道客户端可能会构造一个类似 “data.encoded.attacker - domain.com” 的域名，其中 “data.encoded” 就是经过编码的数据，“attacker - domain.com” 是攻击者控制的域名。
当这个特殊的 DNS 查询请求发送到本地 DNS 服务器时，由于本地 DNS 服务器不知道 “attacker - domain.com” 的 IP 地址，它会按照正常的 DNS 解析流程，向根域名服务器、顶级域名服务器和权威域名服务器进行查询。最终，这个查询请求会到达攻击者控制的权威域名服务器。
攻击者的权威域名服务器接收到查询请求后，会解析出其中嵌入的数据，然后根据需要返回一个包含响应数据的 DNS 响应报文。同样，响应数据也会被编码后嵌入到 DNS 响应的某些字段中（如 TXT 记录、A 记录等）。当目标网络内部的 DNS 隧道客户端接收到这个响应报文时，它会解析出其中的响应数据，从而实现与外部控制服务器的通信 。
通过这种方式，攻击者就可以利用 DNS 协议在看似正常的域名解析过程中，实现对目标网络的远程控制和数据窃取，而防火墙等安全设备由于通常不会对 DNS 流量进行深度检测，很难发现这种隐蔽的通信方式。

DNS 隧道流量的特征解析

DNS 隧道流量就像是隐藏在正常网络流量中的 “幽灵”，为了有效地识别和防范它，我们需要深入了解其独特的特征。这些特征涵盖了流量行为、域名、协议格式以及数据传输模式等多个方面，每一个特征都像是 “幽灵” 留下的痕迹，帮助我们揭开其神秘面纱。

（一）流量行为特征

DNS 隧道流量在流量行为上与正常 DNS 流量存在显著差异。正常情况下，用户的 DNS 请求频率相对稳定且较低。例如，普通用户每小时的 DNS 请求量通常在 500 次以内，这是因为用户在浏览网页、使用应用程序时，域名解析的需求是有限的，不会出现过于频繁的请求 。然而，DNS 隧道客户端的请求频率却远超正常用户。由于隧道客户端需要持续与控制服务器进行通信，以传输数据或接收指令，其每小时的 DNS 请求量可达 5000 次以上 。这种高频次的请求就像是一个异常的信号，在大量的正常流量中显得格格不入。
我们可以通过一个实际案例来更好地理解这种差异。在某企业网络中，安全团队通过监测发现，一台内部主机的 DNS 请求频率在短时间内急剧上升。经过进一步分析，发现该主机的每小时 DNS 请求量达到了 6000 多次，远远超出了正常范围。深入调查后证实，这台主机已被植入恶意软件，通过 DNS 隧道与外部控制服务器进行通信，从而产生了大量异常的 DNS 请求。

（二）域名特征

DNS 隧道流量中的域名也具有明显的特征。首先，随机子域熵值高是一个重要特点。熵值是衡量信息不确定性的指标，正常域名的熵值相对较低，例如 “baidu.com”“taobao.com” 等常见域名，其字符组合具有一定的规律性，熵值通常在 2 - 3 之间 。而 DNS 隧道流量中的随机子域，如 “a3xd9.example.com”，其字符组合更加随机，熵值往往高于 4.5 。这种高熵值的子域表明其可能是为了隐藏数据或逃避检测而故意生成的。
此外，DNS 隧道流量的域名中还可能存在非常规字符组合，如十六进制编码。正常域名一般由字母、数字和连字符组成，符合人们的阅读习惯和域名命名规范 。但在 DNS 隧道中，为了传输非 DNS 数据，攻击者会将数据进行编码后嵌入域名，导致域名中出现一些不常见的字符组合。例如，通过检测十六进制编码特征，如果一个域名中连续出现 4 组以上的十六进制字符（如 “0x1a”“0x2f” 等），就很可能是 DNS 隧道流量 。在一次网络攻击事件中，安全人员发现一些域名中频繁出现十六进制字符，经过分析确认这些域名被用于 DNS 隧道通信，攻击者通过这种方式将窃取的数据传输到了外部服务器。

（三）协议格式特征

从协议格式来看，DNS 隧道流量存在多种异常情况。在正常的 DNS 请求包中，回答字段（answers）应为 0，因为请求包主要是询问域名对应的 IP 地址，还未收到回答 。然而，DNS 隧道流量的请求包中，回答字段可能会出现异常值。例如，当检测到一个 UDP 数据包，其源端口和目的端口分别为任意端口和 53（DNS 服务端口），且包含 DNS 查询，同时 dns.answers 大于 0 时，就可能是 DNS 隧道流量的异常请求包 。这种异常的回答字段表明该请求包可能被篡改或包含了额外的信息。
在 DNS 响应包中，也存在域名不一致的问题。正常情况下，DNS 响应包中的域名应该与请求包中的域名一致，以确保正确的解析结果返回给请求者 。但在 DNS 隧道中，攻击者可能会修改响应包中的域名，将其替换为自己控制的域名，从而实现数据的传输或指令的发送 。当检测到一个 UDP 数据包，源端口为 53，目的端口为任意端口，包含 DNS 查询，且 dns.resp（响应域名）不等于 dns.query（请求域名）时，就可能存在 DNS 隧道攻击 。在某 APT 攻击事件中，攻击者利用这种域名不一致的方式，通过 DNS 隧道将恶意软件的控制指令传输到目标网络内部的主机上。

（四）数据传输模式特征

DNS 隧道流量在数据传输模式上也有独特的体现，其中 Base32/Base64 编码是常见的方式。由于 DNS 协议对域名和数据的格式有一定限制，攻击者需要将非 DNS 数据进行编码，使其能够在 DNS 报文中传输 。Base32 和 Base64 编码是两种常用的编码方式，它们将二进制数据转换为文本格式，使用特定的字符集来表示数据 。在 DNS 隧道流量中，我们可以通过检测编码的等号填充模式来识别这类数据传输。例如，Base64 编码的字符串通常以 “=” 结尾，且长度是 4 的倍数 。当我们发现一个字符串符合 “^[A - Za - z0 - 9+/]+={0,2}$” 的正则表达式模式，且长度能被 4 整除时，就很可能是 Base64 编码的数据，这暗示着该流量可能是 DNS 隧道流量 。在对一些恶意软件的分析中，发现它们通过 DNS 隧道传输窃取的数据时，就采用了 Base64 编码，将敏感信息隐藏在看似正常的 DNS 报文中。

DNS 隧道流量分析方法

（一）传统检测方法

在 DNS 隧道流量检测的早期阶段，传统检测方法发挥着重要作用。其中，基于规则的检测是较为常见的方式。通过监控异常长度域名来识别 DNS 隧道是一种简单直接的方法。正常的域名长度通常有一定的范围，例如，一般的域名长度大多在 15 - 63 个字符之间 。当检测到终端请求的域名长度超过 63 个字符时，就可能存在风险，因为 DNS 隧道可能会利用超长的域名来传输更多的数据 。以某企业网络安全事件为例，安全人员发现一些异常域名，其长度达到了 100 多个字符，进一步分析发现这些域名被用于 DNS 隧道通信，攻击者通过这种方式窃取了企业的敏感数据。
监控默认 DNSCAT 查询字符串也是基于规则检测的重要手段。在一些常见的 DNS 隧道工具中，如 DNSCAT2，会使用特定的查询字符串。当防火墙或入侵检测系统发现出站 DNS 查询中包含 “DNSCAT” 字符串时，就可以将其作为一个检测特征 。这就像是在众多的包裹中，通过识别特定的标记来发现可疑的包裹。在一次针对某金融机构的网络攻击中，安全设备通过检测到包含 “DNSCAT” 字符串的 DNS 查询，及时发现了 DNS 隧道攻击，阻止了攻击者窃取客户信息的行为。
载荷分析也是传统检测方法的重要组成部分。正常的 DNS 域名在字符分布上遵循一定的规律，符合 Zipf 定律 。这意味着在大量的正常 DNS 域名中，出现频率高的字符和出现频率低的字符之间存在特定的比例关系。而 DNS 隧道的域名由于是为了传输数据而构造的，其字符分布往往是随机的，不遵循 Zipf 定律 。通过分析 DNS 请求中的主机名字符分布，就可以判断是否存在 DNS 隧道。例如，当一个 DNS 请求的主机名中字符出现的频率没有明显的规律，各个字符出现的概率较为平均时，就可能是 DNS 隧道流量。
流量监测也是传统检测的常用方法。通过检测网络中的 DNS 流量变化情况，可以发现异常。正常情况下，DNS 流量的速率相对稳定，单位时间内 DNS 报文流速率在一定范围内波动 。当检测到单位时间内 DNS 报文流速率突然大幅增加，如在一分钟内 DNS 查询次数从正常的 50 次增加到 200 次以上时，就可能存在 DNS 隧道，因为 DNS 隧道客户端为了传输数据，会频繁发送 DNS 请求 。在某学校网络中，管理员发现 DNS 流量在短时间内急剧上升，经过调查发现是部分学生的设备被植入了恶意软件，通过 DNS 隧道与外部服务器通信，导致了 DNS 流量异常。

（二）机器学习与深度学习方法

随着技术的发展，机器学习与深度学习方法在 DNS 隧道流量分析中展现出强大的优势。机器学习算法可以从大量的数据中学习到正常 DNS 流量和 DNS 隧道流量的特征模式，从而实现更准确的检测。以随机森林分类器为例，它是一种基于决策树的集成学习算法。在 DNS 隧道检测中，随机森林分类器可以基于多维度特征提取来进行判断。这些特征包括 DNS 请求频率、域名熵值、查询类型分布等 。通过对大量正常 DNS 流量和已知 DNS 隧道流量数据的学习，随机森林分类器能够构建一个准确的分类模型。当新的 DNS 流量数据到来时，模型可以根据学习到的特征模式，判断该流量是否为 DNS 隧道流量 。在实际应用中，某企业利用随机森林分类器对网络中的 DNS 流量进行检测，成功识别出了多个隐藏的 DNS 隧道，有效保护了企业网络安全。
深度学习在 DNS 隧道流量分析中也有着独特的应用。深度学习模型可以自动学习 DNS 流量中的复杂特征，无需人工手动提取特征。例如，卷积神经网络（CNN）可以对 DNS 流量数据进行建模 。将 DNS 流量数据转换为图像或一维数据后，输入到 CNN 模型中，模型中的卷积层、池化层和全连接层可以自动提取数据中的特征。通过对大量 DNS 流量数据的训练，CNN 模型可以学习到正常 DNS 流量和 DNS 隧道流量在数据特征上的差异，从而实现对 DNS 隧道流量的准确检测 。在一些研究中，使用 CNN 模型对 DNS 隧道流量进行检测，准确率达到了 95% 以上，大大提高了检测的效率和准确性。

实战案例分析

（一）案例背景

某企业是一家专注于软件开发的中型企业，拥有员工 300 余人，其网络架构包括内部办公网络、研发网络以及对外服务的 Web 服务器等。企业采用了防火墙、入侵检测系统（IDS）等多种安全设备来保护网络安全，但随着业务的发展和网络攻击手段的日益复杂，安全防护面临着严峻的挑战。

（二）异常发现

在一次日常的网络安全监测中，企业的安全运维人员通过流量监测工具发现网络中的 DNS 流量出现异常。正常情况下，企业网络每小时的 DNS 请求量大约在 3000 - 5000 次之间，且请求频率相对稳定 。但在当天下午 2 点到 3 点期间，DNS 请求量突然飙升至每小时 10000 次以上，且请求频率呈现出明显的规律性波动，每隔几分钟就会出现一次高峰。

（三）分析过程

安全运维人员意识到问题的严重性，立即对异常 DNS 流量进行深入分析。首先，他们使用 Wireshark 等抓包工具对 DNS 流量进行捕获和分析。通过分析发现，部分 DNS 请求的域名具有很高的熵值，例如 “2a3f4d5e6c7b.example.com”，其熵值达到了 5.2，远远超出正常域名的熵值范围 。同时，这些域名中还存在大量的十六进制字符组合，如 “0x1e2f3a” 等，疑似经过编码处理。
在对 DNS 请求包的协议格式分析中，发现一些请求包的回答字段（answers）不为 0，正常情况下 DNS 请求包的 answers 字段应为 0 。例如，一个 UDP 数据包，源端口为 5000，目的端口为 53（DNS 服务端口），包含 DNS 查询，其 dns.answers 字段值为 2，这表明该请求包可能被篡改或包含了额外的信息。
为了进一步确定是否为 DNS 隧道攻击，安全运维人员还使用了机器学习算法进行辅助分析。他们将捕获到的 DNS 流量数据作为样本，输入到预先训练好的随机森林分类器模型中 。模型分析结果显示，这些异常流量与已知的 DNS 隧道流量特征匹配度高达 90% 以上，进一步证实了存在 DNS 隧道攻击的可能性。

（四）攻击确认

经过一系列的分析，安全团队最终确定企业网络遭受了 DNS 隧道攻击。攻击者通过在企业内部植入恶意软件，利用 DNS 隧道与外部控制服务器进行通信，企图窃取企业的敏感代码和商业机密。恶意软件将窃取的数据进行 Base64 编码后，嵌入到 DNS 请求的域名中，通过频繁发送 DNS 请求将数据传输到外部。

（五）处理措施

确认攻击后，安全团队立即采取措施进行应对。首先，他们通过防火墙配置策略，阻断了所有与异常域名相关的 DNS 请求，阻止了数据的进一步传输 。同时，对企业内部网络进行全面扫描，查找被植入恶意软件的主机。通过扫描，发现有 10 台主机感染了恶意软件，安全团队立即对这些主机进行隔离，并使用杀毒软件进行清除。
为了防止类似攻击再次发生，企业加强了网络安全防护措施。他们升级了防火墙的规则库，使其能够更有效地检测和拦截 DNS 隧道流量 。同时，部署了专门的 DNS 流量监测工具，实时监控 DNS 流量的变化，及时发现异常情况。此外，企业还加强了员工的安全意识培训，教育员工不要随意点击来路不明的链接和下载未知来源的软件，从源头上减少恶意软件感染的风险。
通过这次事件，该企业深刻认识到 DNS 隧道攻击的隐蔽性和危害性，也明白了网络安全防护需要不断地更新技术和加强管理，才能有效应对日益复杂的网络威胁。

防御策略与建议

（一）网络层控制

在网络层，采取有效的控制措施是防御 DNS 隧道攻击的重要防线。首先，强制所有 DNS 查询通过指定的内部解析服务器进行，这就像是为网络通信设定了一条 “专属通道”。内部解析服务器可以对 DNS 请求进行严格的审查和过滤，只允许合法的请求通过，从而有效阻止恶意的 DNS 查询 。例如，某企业通过配置防火墙策略，将所有 DNS 查询流量强制导向企业内部的 DNS 服务器，当外部有恶意 DNS 请求企图进入企业网络时，防火墙会根据策略将其拦截，使得恶意请求无法到达内部网络，保障了网络的安全。
同时，应禁用外部 DNS over HTTPS（DoH）。虽然 DoH 在一定程度上提高了 DNS 查询的安全性和隐私性，但它也可能被攻击者利用来绕过网络层的安全检测 。因为 DoH 将 DNS 查询加密后通过 HTTPS 协议传输，使得传统的防火墙和入侵检测系统难以对其进行深度检测。一些恶意软件可能会利用 DoH 将 DNS 隧道流量伪装成正常的 HTTPS 流量，从而实现数据的窃取和传输 。因此，禁用外部 DoH 可以减少这种潜在的风险。例如，在一些对网络安全要求较高的政府机构和金融机构，已经明确禁止使用外部 DoH 服务，确保网络中的 DNS 流量处于可控状态。

（二）安全设备与策略优化

部署专门的 DNS 防火墙是优化安全设备与策略的关键举措。DNS 防火墙可以实时监控 DNS 流量，对 DNS 请求进行深度检测，识别并过滤掉恶意的 DNS 请求 。它能够根据预设的规则，检测 DNS 请求中的域名、查询类型、请求频率等信息，一旦发现异常，立即进行拦截。例如，当 DNS 防火墙检测到某个域名的请求频率过高，或者域名中包含可疑的字符组合时，就会将该请求判定为恶意请求并进行阻断 。某互联网公司部署了 DNS 防火墙后，成功拦截了大量企图通过 DNS 隧道窃取用户数据的恶意请求，保障了用户数据的安全。
优化 DNS 缓存服务器的配置也不容忽视。合理调整 DNS 缓存的时间和大小，可以减少不必要的 DNS 查询，降低 DNS 隧道攻击的风险 。通过增加 DNS 缓存的时间，可以使客户端在更长时间内使用缓存中的 DNS 解析结果，减少对外部 DNS 服务器的查询次数，从而降低被攻击的可能性 。例如，将 DNS 缓存时间从默认的 1 小时延长到 2 小时，在一定程度上减少了 DNS 请求量，使得攻击者利用 DNS 隧道进行攻击的难度增加。同时，优化缓存服务器的负载均衡，确保缓存服务器能够高效稳定地运行，避免因缓存服务器故障导致的 DNS 查询异常。
采用 DNSSEC（Domain Name System Security Extensions，域名系统安全扩展）是保证 DNS 响应完整性的重要手段 。DNSSEC 通过数字签名技术，为 DNS 数据提供来源验证和完整性保护。权威域名服务器用自己的私有密钥对资源记录进行签名，解析服务器用权威服务器的公开密钥对收到的应答信息进行验证 。如果验证失败，表明这一报文可能是假冒的，或者在传输过程、缓存过程中被篡改了 。例如，当用户向 DNS 服务器查询某个域名的 IP 地址时，DNS 服务器返回的响应中包含数字签名，用户的设备可以通过验证签名来确认响应的真实性和完整性，防止被 DNS 劫持或中间人攻击，有效抵御了 DNS 隧道攻击中可能出现的响应篡改情况。

（三）持续监控与测试

部署实时分析工具对 DNS 流量进行持续监控是及时发现 DNS 隧道攻击的重要保障。这些工具可以实时采集和分析 DNS 流量数据，监测流量的行为特征、域名特征、协议格式特征等 。一旦发现异常，立即发出警报，通知安全运维人员进行处理 。例如，使用流量分析工具对 DNS 流量进行实时监测，当发现 DNS 请求频率突然大幅增加，或者出现大量高熵值域名的请求时，工具会自动触发警报，安全运维人员可以根据警报信息及时进行调查和处理，阻止攻击的进一步发展。
定期进行 DNS Tunnel 模拟测试也是必不可少的。通过模拟真实的 DNS 隧道攻击场景，对网络的防御能力进行检验，可以发现潜在的安全漏洞和不足之处 。例如，使用专业的模拟工具，在受控环境下模拟 DNS 隧道攻击，观察网络中的安全设备和防御策略能否及时检测和阻止攻击 。通过这种测试，可以发现安全设备的规则是否存在漏洞，防御策略是否有效，从而有针对性地进行优化和改进 。某企业定期进行 DNS Tunnel 模拟测试，在一次测试中发现防火墙对某些新型 DNS 隧道攻击的检测能力不足，随后企业对防火墙的规则库进行了更新和优化，提高了网络对 DNS 隧道攻击的防御能力。

总结与展望

DNS 隧道流量分析在当今网络安全领域扮演着至关重要的角色。DNS 隧道作为一种隐蔽的通信手段，被攻击者广泛用于绕过安全防护措施，实现数据窃取、恶意软件传播和远程控制等恶意行为，给网络安全带来了巨大威胁 。通过深入分析 DNS 隧道流量的特征，运用传统检测方法和机器学习、深度学习等先进技术，我们能够及时发现并阻止这些隐蔽的攻击，保护网络和数据的安全。
然而，随着网络技术的不断发展，DNS 隧道技术也在不断演进。未来，攻击者可能会采用更复杂的加密方式和伪装手段，进一步提高 DNS 隧道的隐蔽性，这将给检测和防御工作带来更大的挑战 。但同时，技术的发展也为我们提供了更多的检测和防御手段。例如，随着人工智能技术的不断进步，深度学习模型将能够更准确地学习和识别 DNS 隧道流量的复杂特征，提高检测的准确率和效率 。此外，新的网络安全技术和设备，如基于 eBPF（Extended Berkeley Packet Filter）的流量检测系统，将能够更高效地捕获和分析 DNS 流量，及时发现潜在的安全威胁 。
在未来的网络安全防护中，我们需要不断关注 DNS 隧道技术的发展动态，持续改进和优化检测与防御策略。加强对新技术的研究和应用，提高安全设备的智能化水平，实现对 DNS 隧道流量的实时监测和精准识别 。同时，还需要加强网络安全意识教育，提高用户和企业对 DNS 隧道攻击的认识和防范意识，从源头上减少攻击的发生 。只有这样，我们才能在不断变化的网络安全环境中，有效地抵御 DNS 隧道攻击，保障网络安全和稳定运行。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。