[新产品/新功能] Amazon Route 53 DNS Firewall 新增对基于字典的 DGA 攻击的防护

**发布时间:** 2025-11-17 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-route-53-dns-firewall-protection-dictionary-dga-attacks ---  [新产品/新功能] Amazon Route 53 DNS Firewall 新增对基于字典的 DGA 攻击的防护   # 产品功能分析 ## 新功能/新产品概述 AWS **Route 53 Resolver DNS Firewall** 的高级功能（Advanced）新增了对**基于字典的域名生成算法（Dictionary-based Domain Generation Algorithm, DGA）**攻击的防护能力。 - **核心定义与目标**：该功能旨在监控并阻止由**基于字典的DGA**生成的恶意域名查询。这类攻击通过伪随机地拼接预定义字典中的单词（例如 `sun-flower-cloud.com`）来创建看似合法的域名，从而绕过传统安全检测，与命令和控制（C2）服务器通信。新功能的目标是在DNS解析层面精准识别并拦截此类威胁。 - **技术原理**：当VPC内的资源发起DNS查询时，**Route 53 Resolver DNS Firewall** 会实时检查域名。对于启用了此防护的规则，防火墙会利用内置的高级检测模型分析域名结构，识别其是否符合**基于字典的DGA**生成的模式。一旦匹配，便会根据用户配置的策略（如阻止）进行处理。 - **目标用户群与市场定位**：该功能主要面向关注网络安全、希望在云原生环境中实现纵深防御的AWS用户。它增强了AWS原生的DNS层安全能力，与第三方DNS安全过滤服务（如Cisco Umbrella, Palo Alto Networks DNS Security）形成竞争，为客户提供了更集成、更简便的替代方案。 ## 关键客户价值 - **增强对高级规避性威胁的防护** - 有效识别并拦截**基于字典的DGA**攻击，这种攻击生成的域名具有高可读性，能有效绕过依赖域名随机性（如高熵值）进行检测的传统DGA防护模型。此功能弥补了安全防护的短板，提升了对隐蔽C2通信的发现率。 - **简化安全运维与管理** - 作为一项托管服务，客户无需自行部署、维护或更新威胁情报库和检测算法。只需在**DNS Firewall**中配置一条规则即可启用防护。 - 与 **AWS Firewall Manager**、**AWS CloudFormation**、**AWS Resource Access Manager (RAM)** 和 **Route 53 Profiles** 等工具深度集成，支持跨多账户、多VPC的集中化策略部署和自动化管理，极大地降低了大规模环境下的运维复杂性。 - **原生集成与高性能** - 防护功能直接在 **Route 53 Resolver** 服务中执行，对VPC内的DNS流量进行原生过滤。这避免了将DNS流量重定向至第三方安全设备或代理所带来的额外延迟、单点故障风险和架构复杂性。 ## 关键技术洞察 - **基于域名结构异常的智能检测** - 该功能的核心是 _基于域名结构异常检测_ 的高级分析能力。它不依赖于静态的域名黑名单，而是通过算法实时分析查询的域名，识别其是否由多个常见单词拼接而成，并评估其组合方式是否符合恶意软件的生成模式，从而发现未知的恶意域名。 - **实时内联（In-line）拦截机制** - 防护能力被直接嵌入到 **Route 53 Resolver** 的DNS解析路径中。这意味着威胁检测和拦截是在DNS查询发生的瞬间完成的，实现了低延迟的实时防护，能在恶意软件成功与C2服务器建立连接之前就将其阻断。 ## 其他信息 - **部署灵活性** - 用户可将包含此规则的规则组直接关联到单个VPC，或利用 **AWS Firewall Manager** 等工具实现跨区域、跨账户的统一策略分发，满足不同规模企业的部署需求。 - **广泛的可用性** - 该功能已在所有AWS商业区域及AWS GovCloud（美国）区域提供，确保全球客户及有特殊合规性要求的政府客户均可使用。   # Amazon Route 53 DNS Firewall 新增针对基于字典的 DGA 攻击的防护功能 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-route-53-dns-firewall-protection-dictionary-dga-attacks](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-route-53-dns-firewall-protection-dictionary-dga-attacks) **发布时间:** 2025-11-17 **厂商:** AWS **类型:** WHATSNEW --- # Amazon Route 53 DNS Firewall 新增针对基于字典的 DGA 攻击的防护功能发布于: 2025 年 11 月 17 日从今天开始，您可以启用 Route 53 Resolver DNS Firewall Advanced 来监控和阻止与基于字典的域名生成算法 (Dictionary-based Domain Generation Algorithm, DGA) 攻击相关的查询。这类攻击通过伪随机地拼接预定义字典中的单词来生成域名，从而创建人类可读的字符串以逃避检测。 Route 53 DNS Firewall Advanced 是 Route 53 DNS Firewall 提供的一项功能，它使您能够根据从 VPC 中查询的域名中识别出的异常，实时监控和阻止 DNS 流量，从而实施保护。这些保护措施包括针对 DNS 隧道 (DNS tunneling) 和 DGA 攻击的防护。在此次发布后，您还可以针对基于字典的 DGA 攻击实施保护。这是 DGA 攻击的一种变体，其生成的域名会模仿并混入合法域名中，以抵抗检测。要开始使用，您可以配置一个或多个 DNS Firewall Advanced 规则，并将“基于字典的 DGA”指定为要检查的威胁类型。您可以将这些规则添加到一个 DNS Firewall 规则组中，并通过将该规则组直接关联到每个所需的 VPC，或使用 AWS Firewall Manager、AWS Resource Access Manager (RAM)、AWS CloudFormation 或 Route 53 Profiles，在您的 VPC 上强制执行这些规则。 Route 53 Resolver DNS Firewall Advanced 对基于字典的 DGA 的支持已在所有 AWS 区域 (AWS Regions) 推出，包括 AWS GovCloud (US) 区域。要了解有关新功能和定价的更多信息，请访问 Route 53 Resolver DNS Firewall [网页](https://aws.amazon.com/route53/resolver-dns-firewall/) 和 [Route 53 定价页面](https://aws.amazon.com/route53/pricing/) 。要开始使用，请访问 Route 53 [文档](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/firewall-advanced.html) 。