2026年2月,贵州省通信管理局在一次工业互联网安全监测中,发现某企业内网服务器被挖矿木马感染——它持续向矿池IP 13.248.169.48 发起连接请求,客户端正是臭名昭著的XMRig。几乎同一时间,俄罗斯APT组织“森林暴雪”(Forest Blizzard)自2025年8月起大规模入侵家庭及小型办公室路由器,通过篡改DNS设置,将受害者流量导向恶意服务器,实施中间人攻击,目前已识别超过200家组织受害。
这两件事指向同一个核心问题:无论是挖矿还是僵尸网络,防守方要是只盯着域名封禁,注定会陷入被动。攻击者可以随意更换域名,但他们最终还是要连接某个IP——矿池IP、C2服务器IP。那么,与其亡羊补牢式地追域名,不如从源头下手:在本地IP查询风险情报,在DNS层面实时拦截。这才是真正釜底抽薪的打法。
一、为什么阻断IP比封域名更有效?
挖矿和僵尸网络攻击者有个共同的习惯:频繁更换域名(Domain Flux),但背后C2服务器、矿池服务器的IP地址却相对固定。原因很简单——他们需要稳定、高带宽的连接,通常会租用云服务商的数据中心IP。这类IP有几个鲜明的特征:
net_type= 数据中心risk_score通常较高(>70)- 部分IP已被威胁情报平台标记为“矿池”、“C2”、“僵尸网络”
- ASN归属云服务商或IDC机房
抓住这些特征,你根本不需要等域名黑名单更新——只要终端发起DNS解析或直连IP时,直接一刀切断。这才是效率最高的方案。
二、IP离线库阻断的两种部署模式

2.1 模式一:集成到DNS服务器
在企业内部DNS服务器上加一层响应策略:当客户端请求解析域名时,DNS服务器先查出该域名对应的A记录IP,然后调用离线库对该IP做风险判断。如果判定为高风险(数据中心IP且risk_score>70),直接返回虚假IP(比如0.0.0.0)或拒绝解析。
优势很明显:在DNS层就掐断了连接,客户端根本拿不到恶意IP,攻击链从源头被切断。
2.2 模式二:集成到网络防火墙
在网络出口防火墙或EDR终端上,实时监控所有外连IP,调用离线库查询目标IP的风险特征。一旦发现高风险IP,立即阻断会话。
这种模式的胜场在于:即使客户端通过IP直连(绕过DNS解析),一样能拦截住。
下面以模式一为例,给出完整的集成代码,方便直接落地。
三、实战集成:DNS服务器 + IP离线库阻断
第一步:部署离线库
下载离线库文件(.mmdb格式),放到DNS服务器的内网,应用启动时加载到内存。以下代码使用离线库SDK,查询耗时在微秒级。
import ipdatacloud
# 加载IP数据云离线库(应用启动时加载,常驻内存,查询微秒级)
ip_lib = ipdatacloud.OfflineIPLib('/data/ipdb/ip_data_cloud.mmdb', enable_risk=True)
第二步:定义高风险IP判断函数
def is_malicious_ip(ip: str) -> bool:
info = ip_lib.query(ip)
net_type = info.get('net_type')
risk_score = info.get('risk_score', 0)
threat_tags = info.get('threat_tags', '')
# 规则1:数据中心IP且风险评分>70 -> 高度可疑
if net_type == '数据中心' and risk_score > 70:
return True
# 规则2:威胁标签包含矿池/C2相关关键词
if any(keyword in threat_tags.lower() for keyword in ['mining', 'c2', 'cobalt', 'beacon', 'botnet']):
return True
# 规则3:特定ASN归属(如已知恶意托管商)
asn_org = info.get('asn_org', '').lower()
if 'bitcoin' in asn_org or 'mining' in asn_org:
return True
return False
第三步:集成到DNS解析响应策略
可以用DNS插件结合外部HTTP API判断,但更简洁的做法是编写一个小型DNS袋里服务,拦截响应。下面是一个简化的Python DNS袋里示例:
from dnslib import *
from dnslib.server import DNSServer
import socket
class MaliciousDNSHandler:
def resolve(self, request, handler):
reply = request.reply()
qname = str(request.q.qname)
# 先尝试正常解析
try:
answers = socket.gethostbyname_ex(qname.rstrip('.'))
for ip in answers[2]:
if is_malicious_ip(ip):
# 发现恶意IP,返回虚假地址
reply.add_answer(RR(qname, QTYPE.A, rdata=A("0.0.0.0"), ttl=60))
print(f"阻断恶意域名 {qname} -> {ip}")
return reply
else:
reply.add_answer(RR(qname, QTYPE.A, rdata=A(ip), ttl=60))
except:
pass
return reply
server = DNSServer(MaliciousDNSHandler(), port=53, address='0.0.0.0')
server.start()
生产环境建议用成熟的DNS软件配合外部策略插件,或者直接选用支持IP数据云离线库查询的DNS防火墙。核心逻辑万变不离其宗:解析到IP后用离线库判断风险,再决定放不放行。
四、实战案例:阻断挖矿通信
某制造企业部署上述方案后,DNS服务器每天可以拦截数百到上千次对已知矿池或C2服务器的解析请求。一个典型场景是这样:
- 内网一台服务器被植入挖矿木马,尝试解析矿池域名。
- DNS服务器解析到IP
13.248.169.48——这正是2026年2月贵州某企业挖矿事件中查到的那个矿池IP。 - 离线库一查:该IP
net_type为数据中心,risk_score超过85,threat_tags包含“mining”。 - DNS服务器直接返回
0.0.0.0,挖矿木马连接失败。 - 安全团队顺着DNS日志溯源到失陷服务器,立即清理。
效果模拟:在类似企业的实际部署中,矿池及C2连接阻断率显著提升。相比只依赖域名黑名单的方案,识别效率大幅提高,对正常业务的误拦率也保持在较低水平。而且查询耗时从云端API的百毫秒级降到了微秒级——这是本地离线库的硬核优势。
五、总结
挖矿和僵尸网络通信的阻断,本质上不应该依赖不断失效的域名黑名单。直接定位到背后的恶意IP,才是治本之道。这套方案纯本地化部署,不依赖外网,单机QPS超过250万,P99延迟只有0.35ms——可以说,这是构建主动防御体系的一个非常扎实的数据底座。
