9Insomnie

DNS 泄露防护全指南：从系统到应用的层层防护方案

Wed, 07 Jan 2026 10:00:00 +0800

DNS泄露是指在使用代理或VPN时，DNS查询未通过加密隧道，而是直接发送到本地ISP的DNS服务器，导致真实IP和访问记录暴露。以下是从系统到应用的多层防护方案：

一、代理/VPN工具层配置（最有效）

1. 启用TUN模式（强烈推荐）

这是防止DNS泄露最彻底的方法，适用于Clash Verge、Surge等工具：

原理：创建虚拟网卡，强制所有流量（包括DNS）经过代理隧道
操作：在软件主界面开启"TUN模式"，安装虚拟网卡驱动即可

2. 配置加密DNS服务器

在代理工具的配置文件中设置DNS：

# Clash Verge配置示例
dns:
 enable: true
 nameserver:
 - 8.8.8.8 # 常规DNS
 - 114.114.114.114
 fallback: # 加密DNS作为备用
 - tls://1.1.1.1  # DoT加密
 - tls://8.8.8.8

3. 强制所有查询走代理

dns:
 default-nameserver: # 指定最终查询服务器
 - tls://1.1.1.1
 proxy-server-nameserver: # 代理节点解析用DNS
 - 8.8.8.8

二、操作系统层配置

Windows 11 配置DNS over TLS (DoT)

设置→网络→网卡→DNS分配→编辑
- 首选DNS：1.1.1.1
- 备选DNS：1.0.0.1
- DoH设置为"关闭"（关键步骤）
管理员CMD/PowerShell执行：

# 开启全局DoT加密
netsh dns add global dot=yes

# 指定加密服务器（IP替换为你设置的DNS）
netsh dns add encryption server=1.1.1.1 dothost=: autoupgrade=yes

# 刷新DNS缓存
ipconfig /flushdns

macOS / Linux

修改/etc/resolv.conf：

# 仅使用加密DNS
nameserver 1.1.1.1
nameserver 8.8.8.8

安装Stubby或dnscrypt-proxy实现系统级DoT/DoH

三、浏览器层配置

Firefox

地址栏输入 about:config
搜索 network.trr.mode 设置为 2 (强制DoH)
搜索 network.trr.uri 设置为 https://1.1.1.1/dns-query

Chrome/Edge

设置→隐私和安全→安全→使用安全DNS
选择"自定义"，填入：https://1.1.1.1/dns-query

四、网络层配置（路由器）

在OpenWRT等路由器上部署DNS加密：

命令与控制（C2）基础设施构建与流量隐藏技术

Mon, 06 Jan 2025 10:00:00 +0800

引言：现代威胁景观下的 C2 演进逻辑

在当今复杂多变的网络安全环境中，命令与控制（Command and Control，简称 C2）基础设施已不再仅仅是攻击者与受控系统之间的简单通信链路，而是演变成了一个具备高度弹性、隐蔽性和自愈能力的全球分布式网络体系。作为网络攻防对抗的核心，C2 基础设施的设计与实施直接决定了高级持续性威胁（APT）行动的生存周期与成败。在 2024 年至 2025 年的实战背景下，攻击者的战术已从传统的单一控制服务器模式，转向深度整合合法云服务、利用复杂协议混淆以及采用人工智能辅助的动态对抗模式。

C2 基础设施的核心职能在于维持初始入侵后的持久化控制，通过受控主机定期向控制端发出的"信标"（Beaconing）信号，实现指令下达、载荷下载以及敏感数据的隐秘外发。这种通信模式通常表现为低频率、长周期的脉冲特征，旨在规避基于流量激增的检测机制。为了应对日益完善的端点检测与响应（EDR）以及网络检测与响应（NDR）系统，攻击者在基础设施构建与流量隐藏方面投入了巨大的技术成本，其目标是让恶意流量在深度数据包检测（DPI）中呈现出与正常业务活动完全一致的统计学特征。

第一章 C2 基础设施的多层级架构与运营安全

现代 C2 架构的设计遵循"可消耗性"与"层级保护"原则，通过在团队服务器（Team Server）与受控目标之间建立多层中间节点，确保核心攻击设施的安全与隐蔽。

1.1 分层防御架构的战略职能

一个标准的高级 C2 基础设施通常由受控端插件（Implant）、第一跳基础设施（重定向器）、中转架构以及后端团队服务器组成。这种分层设计不仅隐藏了攻击者的真实源 IP，还允许攻击者在某一层级被发现时，通过迅速切断连接并部署新的节点来维持整个行动的连续性。

架构层级	核心组件	运营职能	隐蔽策略
接入层	受控端插件 (Implant/Agent)	执行本地任务，发起外连信标。	进程伪装、代码注入、睡眠混淆。
前哨层	第一跳重定向器 (First-hop Redirectors)	接收插件请求，进行初步过滤。	使用高信誉域名、CDN 边缘节点。
中转层	中间层转发架构 (Mid-tier Infra)	实现逻辑隔离与多路径路由。	利用合法云函数、负载均衡器。
核心层	团队服务器 (Team Server)	存储指令与数据，编排全局行动。	完全隔离，仅通过加密管理通道访问。

1.2 重定向器（Redirectors）的技术演进

重定向器作为攻击设施与互联网的交界线，承担着流量甄别与资产保护的双重任务。根据逻辑复杂度的不同，重定向器可分为"哑"管道与"智能"过滤两类。

哑重定向器通常利用 socat 或 iptables 进行简单的端口转发，将特定端口的流量盲目地透传至后端服务器。虽然这种方式配置简便，但无法对抗防御方的积极侦察，如扫描器探测或安全审计流量。相比之下，智能重定向器引入了流量过滤逻辑，利用 Nginx 或 Apache 的重写规则（Rewrite Rules），仅转发具有特定 User-Agent、Cookie 或 URI 路径的请求。如果请求不符合预设的恶意特征，重定向器会将其导向合法的镜像网站或直接返回 404 错误，从而在防御者的扫描结果中表现为正常的 Web 服务器。

About Me

Mon, 06 Jan 2025 00:00:00 +0000

Hi! I’m 9Insomnie, a security researcher and technology enthusiast passionate about cybersecurity.

About Me

I specialize in cybersecurity research, focusing on exploring security vulnerabilities, penetration testing, and developing security tools. I’m deeply interested in offensive security, red teaming, and understanding the latest security threats and defense mechanisms.

What I Do

Security Research: Exploring new vulnerabilities and security techniques
Penetration Testing: Testing systems to identify security weaknesses
Tool Development: Creating tools to improve security workflows
Knowledge Sharing: Writing about security topics and techniques

Interests

Offensive Security & Red Teaming
Exploit Development
Network Security
Malware Analysis
Security Automation

Contact

Feel free to reach out if you’d like to discuss cybersecurity, collaborate on projects, or just have a chat about security topics: