产品概述
360DNS安全监测系统是360数字安全集团推出的智能、安全DNS解析云服务,在提供智能解析的过程中,基于360安全大脑多维威胁情报和AI识别模型,实时拦截企业与恶意域名的通信行为,并提供灵活的管理平台。本文档作为新用户部署接入教程,帮助用户快速完成产品部署接入工作。
账户申请流程
360安全DNS为新用户提供免费30天的试用期,试用期结束后,仍旧提供基础DNS智能解析能力,不会影响正常上网。祝您快速体验产品。
在线咨询
1
登录https://sdns.360.net/,请您点击右上角【注册】按钮,注册360账号。
2
注册完成后,系统默认自动登录,如系统未自动登录,您可以点击网站右上角【登录】按钮进行登录。
3
用户初次登录,系统默认跳转到申请产品试用的页面,请您如实在页面上填写试用信息(正式授权用户,同样需要填写该信息),填写完成后,等待客服人员审批,审批通过后,刷新当前页面,即可正常使用本产品。
4
请您按照接入方式说明进行数据接入,如需360数字安全集团技术人员远程支持,请联系客服人员,为了保障接入效果,请您如实填写客户环境勘探表:
https://www.wjx.cn/vm/Q6d8LHV.aspx
接入方式说明
接入方式概述
360DNS安全监测系统提供出口IP接入、代理转发器接入和漫游终端接入三种接入模式,另外,代理转发器又有串联模式、插件模式和旁路模式三种工作模式,用户需根据自身网络环境和功能需求选择最佳的接入方式,并根据接入说明进行接入,初次接入我们推荐您采用出口IP进行接入。
以下对五种接入方式进行简要说明
1
出口IP接入
出口IP接入是指将企业内网DNS上游指向360DNS安全监测系统管理端,由360DNS安全监测系统提供递归解析、威胁监测等服务,该方式内网无需安装任何代理软件,接入方式非常简单。但由于企业互联网出口NAT的缘故,云端无法准确定位内网失陷资产,仅能识别网络出口地址,与此同时,该方式也不支持企业到云端DNS请求加密。
2
代理转发器(串联模式)
串联模式接入是指在内网部署代理转发器,代理转发器作为内网和360DNS安全监测系统的转发节点,补充出口IP接入在内网资产识别、DOH加密等方面的不足,关于代理转发器的详细描述,请参考关于代理转发器
3
代理转发器(插件模式)
插件模式接入和串联模式接入类似,区别之处在于插件模式是将代理转发器安装在本地DNS服务器上面,相对于串联模式部署更简单,并且不需要准备额外的计算资源,此方式适用于有本地DNS服务器用户。
4
代理转发器(旁路模式)
旁路模式接入是指代理转发器工作在旁路模式下,仅将DNS流量镜像到360DNS安全监测系统管理端,进行威胁监测,不具备DNS智能解析、威胁拦截的能力。
5
漫游终端模式
仅适用于远程办公场景,此时在漫游终端部署轻量化插件,插件自动将漫游终端DNS指向360DNS安全监测系统管理端,实现统一安全管控。
出口IP接入
出口IP接入适用于内网“免代理”场景,用户无需安装任何设备,只需要将本地的DNS请求指向360DNS安全监测系统管理端,即可完成接入,是最简便的接入模式。
接入流程
登录360DNS安全监测系统管理页面,进入“部署管理->网络分组”,选择您需要接入的网络分组(初次接入,您可以任选一网络分组),进入网络分组页面,您可以看到“出口IP接入”、“代理转发器接入”和“漫游终端接入”三种接入方式,选择“出口IP接入”,点击右侧【添加网络出口】按钮,将弹出如下接入引导页面,请根据接入引导页面,完成接入即可。
注意:
当您选择出口类型为动态出口IP时,需安装出口IP跟踪程序。
代理转发器接入(串联模式)
代理转发器(串联模式)是指当内网无本地DNS服务器时,在本地部署代理转发器作进行DNS解析代理,将DNS请求发送到360DNS安全监测系统管理端,关于代理转发器的详细说明请参考
关于代理转发器。
接入流程:
登录360DNS安全监测系统管理页面,进入“部署管理->网络分组”,选择您需要接入的网络分组(初次接入,您可以任选一网络分组),进入网络分组页面,您可以看到“出口IP接入”、“代理转发器接入”和“漫游终端接入”三种接入方式,选择“代理转发器接入”,点击右侧【接入指南】按钮,将弹出如下接入引导页面,请根据接入引导页面,完成接入。
代理转发器接入(插件模式)
插件模式是当内网有DNS服务器,代理转发器作为本地DNS服务器的插件,将DNS请求加密处理后,转发至360DNS安全监测系统管理端,和串联模式的区别仅在于代理转发器的部署位置,关于插件模式的详情说明请参考
关于代理转发器。
接入流程:
登录360DNS安全监测系统管理页面,进入“部署管理->网络分组”,选择您需要接入的网络分组(初次接入,您可以任选一网络分组),进入网络分组页面,您可以看到“出口IP接入”、“代理转发器接入”和“漫游终端接入”三种接入方式,选择“代理转发器接入”,点击右侧【接入指南】按钮,将弹出如下接入引导页面,请根据接入引导页面,完成接入。
代理转发器接入(旁路模式)
旁路模式是当仅需要对DNS请求进行检测、分析,而不需要进行递归解析时采用,代理转发器将采集DNS请求转发至云端,云端进行检测、分析,整个过程对于当前用户网络架构不会有任何的改变。
接入流程
登录360DNS安全监测系统管理页面,进入“部署管理->网络分组”,选择您需要接入的网络分组(初次接入,您可以任选一网络分组),进入网络分组页面,您可以看到“出口IP接入”、“代理转发器接入”和“漫游终端接入”三种接入方式,选择“代理转发器接入”,点击右侧【接入指南】按钮,将弹出如下接入引导页面,请根据接入引导页面,完成接入。
漫游终端接入
漫游终端接入适用于远程办公等移动终端接入场景,移动终端通过修改自身设备配置或安装插件的方式,将DNS请求转发至360DNS安全监测系统管理端,从而进行统一的管控,关于漫游终端插件更多内容请参考
关于漫游终端插件。
接入流程
登录360DNS安全监测系统管理页面,进入“部署管理->网络分组”,选择您需要接入的网络分组(初次接入,您可以任选一网络分组),进入网络分组页面,您可以看到“出口IP接入”、“代理转发器接入”和“漫游终端接入”三种接入方式,选择“漫游终端接入”,点击右侧【立即接入】按钮,将弹出如下接入引导页面,引导页面中对不同操作系统下的接入方式进行了详细说明,请根据接入引导页面,完成接入。
与此同时,针对漫游终端接入,我们提供了员工自助接入的功能,可以帮助用户更加便捷的将所有员工终端纳入监测范围,您只需要将页面链接发送给员工,员工可以根据提示安装配置,安装配置完成后,请求日志会自动归属到当前网络分组。
修改DNS配置常见方式
DNS配置是指将本地DNS指向360DNS安全监测系统管理端,修改后,将由360DNS安全监测系统为您提供递归解析服务。
以下提供四种方式供您参考,您可以根据自身网络环境选择一种最佳的配置方式:
1
方式1
修改本地DNS服务器配置,根据系统展示的360DNS安全监测系统管理端的地址,将对应运营商的IP地址设置为本地DNS服务器的上游递归地址,此时,建议您将上游备用DNS服务器指向其它任意DNS服务器IP。
2
方式2
在出口安全设备上设置DNS代理,指向360DNS安全监测系统管理端。以360下一代防火墙为例,选择网络->DNS->DNS代理,点击“新建”,配置DNS服务器为“360安全DNS”即可。
3
方式3
使用DHCP服务下发,通过本地DHCP服务器将360DNS安全监测系统管理端IP地址下发至终端设备,同样以360下一代防火墙为例,选择网络->DHCP,点击新建,配置DNS1为360DNS安全监测系统管理端地址即可。
4
方式4
在终端设备上直接配置,手动修改终端DNS服务器配置指向360DNS安全监测系统管理端地址。
Windows DNS Server
1
打开DNS管理器,右键点击需要配置的DNS服务器名,选择“属性”。
2
选择“转发器”选项卡,点击“编辑”。
3
输入上游DNS服务地址,点击确定。
4
添加结果如下。
Linux
以BIND9为例
1
登录Linux主机系统。
2
编辑文件/etc/bind/named.conf.options,用以下内容替换或适配到该文件中:
options {
recursion yes;
allow-query { any; };
forwarders {
101.198.198.198;
101.226.4.6;
};
dnssec-validation no;
auth-nxdomain no;
listen-on-v6 { any; };
};
说明:
forwarders配置项中的内容用于将named接入到“360安全DNS”。如果named.conf.options已经有相关配置,只需要将forwarders中的IP修改为360代理转发器地址即可。
3
执行命令
systemctl restart bind9
说明:
关于DNS服务器更多配置请参考:https://sdns.360.net/dnsPublic.html。
关于代理转发器
360代理转发器是360DNS安全监测系统的配套软件,支持串联模式、插件模式和旁路模式三种工作模式,主要作用有以下三点:
1
内网资产识别
主要用于在网络出口NAT之前,识别实际发起DNS请求的资产IP。
2
DoH加密
主要用于在内网和“360安全DNS“加密隧道,防止DNS传输过程中被第三方劫持、篡改、嗅探等。
3
动态IP跟踪
主要用于网络出口为动态IP时,跟踪网络出口IP,并将地址同步到云端。
安装步骤:
主要用于网络出口为动态IP时,跟踪网络出口IP,并将地址同步到云端。
串联模式
1
运行环境要求
服务器配置:CPU 4核心以上,内存8G以上。
操作系统版本:CentOS 7及以上、Ubuntu 18及以上;Windows (64位):Windows Server 2008,Windows Server 2012,Windows Server
2016,Windows Server 2019。
网络环境:对内网任意 IP 开放 UDP 协议 53 端口,同时能够通过 HTTPS 协议访问互联网中指定 IP 或任意 IP 的 443 端口。
2
安装步骤(Linux操作系统)
1. 输入脚本命令,根据脚本提示安装代理转发器:
DOMAIN=***.n.360.net sh -c "$(curl -sSL http://beijing.xstore.qihu.com/dns-360/install)"
说明:
***.n.360.net需登录系统选择“部署管理->网络分组”完整域名,域名根据不同用户随机生成。
2. 安装完成后,在其他终端设备执行命令
dig @[DNS服务器IP] hc.n.360.net TXT 进行测试,结果为 NOERROR 且包含 360DNS
Registered
字样则继续下一步。
3. 前往路由器/网关设备的配置页面,修改 DHCP 设置中的 DNS 地址配置,首选地址填入安装代理转发器的服务器IP,备选地址根据实际情况填写。
4. 完成配置后,查看网站页面,正常情况下已经可以看到解析日志。
3
安装步骤(Windows操作系统)
1. 登录360DNS安全监测系统管理页面,选择“部署管理->网络分组->本地DNS服务器接入,点击“接入指南”按钮,下载“360代理转发器”安装包。
2. 双击执行安装程序开始安装。
3. 安装过程中,选择程序运行模式为串行模式。
4. 安装完成后,在其他终端设备执行命令
nslookup -q=TXT hc.n.360.net[DNS服务器IP] 进行测试,结果为 NOERROR 且包含
360DNS Registered字样则继续下一步。
5. 前往路由器/网关设备的配置页面,修改DHCP设置中的DNS地址配置,首选地址填入当前服务器IP,备选地址根据实际情况填写。
6. 完成配置后,查看网站页面,正常情况下已经可以看到解析日志。
插件模式
1
运行环境要求
服务器配置:CPU 4核心以上,内存8G以上。
操作系统版本:CentOS 7及以上、Ubuntu 18及以上;Windows (64位):Windows Server 2008,Windows Server 2012,Windows Server
2016,Windows Server 2019。
网络环境:对内网任意 IP 开放 UDP 协议 53 端口,同时能够通过 HTTPS 协议访问互联网中指定 IP 或任意 IP 的 443 端口。
2
安装步骤(Linux操作系统)
1. 输入脚本命令,根据脚本提示安装代理转发器:
DOMAIN=***.n.360.net LISTEN_IP=127.0.0.1 LISTEN_PORT=3053 MODE=plugin sh -c "$(curl -sSL http://beijing.xstore.qihu.com/dns-360/install)"
说明:
***.n.360.net需登录系统选择“部署管理->网络分组”查看完整域名,域名根据不同用户随机生成。
2. 安装过程中,根据提示填入内网DNS流量监听网卡名称。
3. 安装完成后,查看网站页面,正常情况下已经可以看到解析日志。
4. 执行命令
dig @127.0.0.1 -p 3053 hc.n.360.net TXT 进行测试,结果为 NOERROR 且包含
360DNS Registered 字样则继续下一步。
5. 编辑配置文件。
BIND:编辑文件/etc/bind/named.conf.options,用以下内容替换或适配到该文件中:
options {
recursion yes;
allow-query { any; };
forwarders {
127.0.0.1 port 3053;
101.198.198.131;
};
dnssec-validation no;
auth-nxdomain no;
listen-on-v6 { any; };
};
如果named.conf.options已经有相关配置,只需要修改forwarders部分即可。
执行命令
systemctl restart bind 重启服务。
Unbound:编辑文件/etc/unbound/unbound.conf,在其中添加如下内容:
server:
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@3053
forward-addr: 101.198.198.131
Dnsmasq:编辑文件/etc/dnsmasq.conf,在其中添加如下内容:
strict-order
server=127.0.0.1#3053
server=101.198.198.131
执行命令
systemctl restart dnsmasq
6. 完成配置后,可访问自定义黑名单域名测试系统是否正常拦截并产生告警。
说明:
插件可以简化为旁路模式部署,即仅在DNS服务器上安装插件但不修改上游DNS指向,此时可以快速定位和检测内网失陷资产,并且无需对网络进行改动。
3
安装步骤(Windows操作系统)
1. 登录360DNS安全监测系统管理页面,选择“部署管理->网络分组->代理转发器”接入,点击“接入指南”按钮,下载“360代理转发器”安装包。
2. 双击执行安装程序开始安装。
3. 安装过程中,选择程序运行为插件模式,选择DNS流量监听网卡。
4. 安装完成后,查看网站页面,正常情况下已经可以看到解析日志。
5. 执行命令
nslookup -q=TXT hc.n.360.net 127.0.0.2 进行测试,结果为 NOERROR 且包含
360DNS Registered 字样则继续下一步。
6. 打开系统DNS管理器,选择“属性->转发器”选项卡,填入 127.0.0.2,并添加备用地址 101.198.198.131。
7. 完成配置后,可访问自定义黑名单域名测试系统是否正常拦截并产生告警。
旁路模式
1
运行环境要求
服务器配置:CPU 4核心以上,内存8G以上。
操作系统版本:CentOS 7及以上、Ubuntu 18及以上;Windows (64位):Windows Server 2008,Windows Server 2012,Windows Server
2016,Windows Server 2019。
网络环境:对内网任意 IP 开放 UDP 协议 53 端口,同时能够通过 HTTPS 协议访问互联网中指定 IP 或任意 IP 的 443 端口。
2
安装步骤(Linux操作系统)
1. 输入脚本命令,根据脚本提示安装代理转发器。
DOMAIN=***.n.360.net MODE=bypass sh -c "$(curl -sSL http://beijing.xstore.qihu.com/dns-360/install)"
说明:
***.n.360.net需登录系统查看完整域名,域名根据不同用户随机生成。
2. 安装过程中,根据提示填入内网DNS流量监听网卡名称。
3. 安装完成后,查看网站页面,正常情况下可以看到解析日志。
3
安装步骤(Windows操作系统)
1. 登录360DNS安全监测系统管理页面,选择“部署管理->网络分组->代理转发器接入,点击“接入指南”按钮,下载“360代理转发器”安装包。
2. 双击执行安装程序开始安装。
3. 安装过程中,选择程序运行为“旁路模式”,选择DNS流量监听网卡。
4. 安装完成后,查看网站页面,正常情况下已经可以看到解析日志。
软件维护
代理转发器软件分为Linux和Windows Sever两个版本,以下对两个版本日常维护工作分别介绍。
1
Linux版。
1. 查看运行状态。
执行以下命令可查看360sdns本地DNS服务器程序的运行状态:
360sdns status
2. 卸载软件。
卸载后,360代理转发器将不再提供DNS转发解析等服务,请在卸载之前将网络内联网设备的DNS服务器IP配置为其他DNS服务器。执行以下命令进行卸载操作:
360sdns uninstall
3. 停用。
停用后,360代理转发器将不再提供DNS转发解析等服务,请在停用之前将网络内联网设备的DNS服务器IP配置为其他DNS服务器。执行以下命令进行停用操作:
360sdns stop
4. 重启。
执行该命令对360代理转发器进行重启操作:
360sdns restart
5. 查看日志。
执行该命令查看360代理转发器最近50条日志:
360sdns log
6. 查看版本。
执行该命令查看360sdns本地DNS服务器程序的版本:
360sdns version
2
Windows Sever版
1. 查看运行状态。
进入操作系统“任务管理器”,进入“服务”页面,查看“360sdns”服务状态,状态为“正在运行”即服务正常,否则为异常。
2. 卸载软件。
进入软件安装目录,双击“uninst”即可卸载。
3. 查看相关信息。
从360DNS安全监测系统管理控制台的“部署管理”->“代理转发器接入”页面中,在对应接入点点击“查看详情”,即可查看代理转发器操作系统、客户端版本号、在线状态等信息
4. 软件升级。
当进行软件升级操作时,需从“部署管理->代理转发器接入”对应接入点下载软件,并进行安装,安装过程中需选择“保留配置并升级”或“全覆盖重新安装”,如不修改“接入点注册域名”则选择“保留配置并升级”,如修改“接入点注册域名”,则选择“全覆盖重新安装”,其他安装步骤无变化。
IP跟踪器使用说明
概述
IP跟踪程序用于自动识别网络出口IP,当用户网络出口IP为动态IP,此时通过安装IP跟踪程序会自动将网络出口IP绑定到云端。如果用户安装了代理转发器,则无需再单独安装IP跟踪程序。
1
运行环境要求
支持操作系统版本:CentOS 7 及以上,Ubuntu 18 及以上;Windows 7/8/10/11;Windows Server 2008/2012/2016/2019。
最低计算资源配置:CPU 1核以上,内存 1G 及以上。
网络环境:能够通过 HTTPS 协议访问互联网中指定 IP 或任意 IP 的 443 端口。
2
安装步骤(Linux操作系统)
1. 输入脚本命令。
DOMAIN=***.n.360.net MODE=ip-update sh -c "$(curl -sSL http://pub1-bjyt.s3.360.cn/360-saas/install)"
根据脚本提示安装IP跟踪程序。
说明:
***.n.360.net需登录系统选择“部署管理->网络分组”查看完整域名,域名根据不同用户随机生成。
2. 安装完成后,打开出口IP接入页面,检查系统是否已自动识别您的网络出口IP。
3
安装步骤(Windows操作系统)
1. 登录360DNS安全监测系统管理页面,选择“部署管理->网络分组->出口IP接入,点击“出口IP跟踪程序下载”按钮,下载安装包。
2. 双击执行安装程序开始安装。
3.安装过程中,选择程序运行模式为“动态网络出口IP跟踪”。
说明:
动态识别的出口IP有效期为24小时,安装软件的设备需要长时间保持开机运行状态。
关于漫游终端插件
概述
漫游终端插件适用于远程办公等脱离企业内网环境的终端设备,通过在终端安装Agent,自动将本地DNS服务器配置为360DNS安全监测系统地址。
安装步骤
1
安卓/鸿蒙操作系统。
1. 以华为手机为例,进入系统“设置”页面,选择“更多连接->加密DNS”。
2. 选择“指定加密DNS服务”。
3. 填写接入域名:***.n.360.net。
2
IOS操作系统。
1. 复制下载链接:
https://sdns.360.net/apis/v1/plist?uid=***
2. 通过 Safari 浏览器访问链接,并下载文件。
3. 进入系统“设置”页面,点击“已下载描述文件”,根据提示安装描述文件。
3
Windows操作系统。
1. 登录360DNS安全监测系统管理页面,选择“部署管理->网络分组->移动终端接入,点击“接入指南”按钮,下载“360安全DNS客户端”安装包
2. 双击执行安装程序开始安装。
3. 安装完成后,程序将自动配置主机DNS地址为360安全DNS的地址。
4
macOS操作系统。
1. 请复制安装命令,并根据脚本提示进行安装360安全DNS客户端:
DOMAIN=qwer1234.n.360.net MODE=personal sh -c "$(curl -sSL http://pub1-bjyt.s3.360.cn/360-saas/install)" 说明:
***.n.360.net需登录系统查看完整域名,域名根据不同用户随机生成。
2. 安装完成后,程序将自动配置主机DNS地址为“360安全DNS”的地址。
5
浏览器。
1. 以Chrome为例,打开浏览器,从 菜单栏中点击 【设置】选项。
2. 在搜索框中输入“DNS”,在下方的检索结果中,点击【安全】右侧的展开箭头。
3. 页面下拉到最下方,在【高级】选项中,开通“使用安全DNS”功能。
4. 在【使用】-【自定义】框中输入 https://***.n.360.net/dns-query 即可完成配置。
说明:
***.n.360.net需登录系统查看完整域名,域名根据不同用户随机生成。
接入常见问题
1
软件安装过程中提示网络异常。
1. 请检查安装机器网络和本机DNS解析是否正常。
2. 如果网络中有防火墙,需要将360安全DNS的IP进行加白。需要加白的IP列表如下:
sdns.360.net n.360.net pro.n.360.net beijing.xstore.qihu.com 101.198.191.4 101.198.198.198 101.198.199.200 101.226.4.6 218.30.118.6 123.125.81.6 140.207.198.6 123.125.81.60 36.99.171.138 117.135.153.199 101.198.198.131 180.163.239.249 101.199.255.246 180.163.246.66 101.198.3.179 106.120.164.231 101.199.252.8 140.207.202.178 36.110.234.252 101.198.3.80 111.206.127.27 39.156.85.160
3. 安装完成后测试网络联通性。
linux:命令行执行
360sdns tools -action test-network
windows:使用管理员命令启动控制台,cd到 "C:\Program Files\360sdns" 目录,执行
360sdns tools -action test-network2
串行模式安装过程中提示系统53端口占用。
1. Windows服务器。
打开任务管理器,根据报错提示中PID找到占用53端口的进程,请确认本机没有对外提供DNS服务,停止或卸载占用53端口的服务。如果是Windows
DNS服务占用,请使用插件模式安装。
2. Linux服务器。
使用
lsof -i:53dnsmasq 占用53端口(Centos 7常见)
首先查看状态是否启用
systemctl status dnsmasq.service
若启用,先kill -9 端口号,停掉
systemctl stop dnsmasq.servicesystemctl disable dnsmasq.service禁用后重启服务器测试,确保服务不会再起来。
systemd-resolved 占用53端口(Ubuntu Server常见)
首先修改 /etc/systemd/resolved.conf,内容如下:
[Resolve]
DNS=101.198.198.131 101.198.198.198
DNSStubListener=no
说明:
DNS 是配置本机指向的DNS服务器,建议配置运营商或者360公共DNS。
DNSStubListener=no 是指不监听53端口。
配置完成后执行命令重启系统服务:
sudo systemctl daemon-reloadsudo systemctl restart systemd-resolved
查看/etc/resolv.conf 软链位置,执行命令
ll /etc/resolv.conf/etc/resolv.conf -> /run/systemd/resolve/resolv.confsudo ln -s -f /run/systemd/resolve/resolv.conf /etc/resolv.conf3
Windows插件模式安装过程中网卡选择列表为空,安装后软件无法正常启动。
请检查操作系统是否是64位版本,软件暂不支持在32位系统安装。
建议在交换机配置端口镜像,将软件安装在另外一台64位版本机器进行流量采集。
4
旁路模式、插件模式下软件无法采集到网卡流量。
Linux:执行命令 tcpdump -ni 网卡名 dst port 53 ,查看网卡上是否有DNS流量。
Windows:使用 Wireshark 软件对指定网卡进行抓包,查看网卡上是否有DNS流量。
软件只对DNS请求数据包进行采集。如果网卡上只有响应包没有请求包,需要配置交换机调整镜像流量的方向。