# Cloudflare DNS 1.1.1.2 误标 archive.today 为 C2 僵尸网络的根因与工程化缓解 > 深入分析 Cloudflare DNS 1.1.1.2 将 archive.today 误判为僵尸网络控制端的底层机制,并给出可落地的参数配置与监控建议。 ## 元数据 - 路径: /posts/2026/03/22/cloudflare-dns-archive-today-false-positive/ - 发布时间: 2026-03-22T15:02:55+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 当企业安全团队在日志中发现终端通过 Cloudflare 的 1.1.1.2 DNS 解析 archive.today 时触发 C2 告警,第一反应往往是己方网络已被入侵。但实际情况往往更为复杂——这是一起典型的 DNS 过滤误判问题,涉及递归解析器行为、目标站点的 EDNS 处理策略以及下游安全产品的检测逻辑三者交互。本文将从技术根因出发,推演误判链路并给出可落地的缓解参数与监控阈值。 ## Cloudflare DNS 产品线的过滤逻辑 Cloudflare 提供了三条公开的递归 DNS 服务:1.1.1.1 为标准解析器,不做内容过滤;1.1.1.2 在递归层面拦截已知恶意软件域名;1.1.1.3 则在此基础上增加成人内容过滤。这三条服务均使用相同的 Anycast 网络基础设施,区别仅在于返回结果前的域名分类检查环节。关键在于,1.1.1.2 的恶意软件拦截列表来自多个第三方威胁情报源,包括 Bambenek、MalwareDomains、URLhaus 等公开 Feed,这些列表在合并过程中可能混入误标条目。 从架构角度看,1.1.1.2 本身并不存储或中转任何 C2 流量,它仅在 DNS 查询阶段比对域名是否命中恶意软件黑名单。如果某个域名被错误地加入这些 Feed,使用 1.1.1.2 的终端将无法解析该域名,表现为 DNS 查询返回 NXDOMAIN 或 SERVFAIL。这种阻断机制与真正的 C2 通信在网络层上截然不同——前者是 DNS 层面的查询失败,后者是实际的数据通道。 ## archive.today 被误标的触发机制 archive.today(曾用名 archive.is)是一个合法的网页归档服务,允许用户保存任意网页的快照。然而,由于其技术实现方式,它在多个环节容易触发安全检测。首先,该服务使用动态 IP 池和频繁的域名重定向来对抗爬虫和审查,这种行为模式与某些僵尸网络的 Fast-flux 通信高度相似。其次,archive.today 在处理 EDNS Client Subnet(ECS)时与 Cloudflare DNS 存在兼容性问题——当递归解析器不传递 ECS 信息时,归档站点可能返回意外的响应或触发其反滥用检查,导致解析结果不稳定。 从社区历史案例来看,使用 1.1.1.1 或 1.1.1.2 访问 archive.today 时,用户报告过 CAPTCHA 无限循环、页面加载失败、解析出的 IP 在不同请求间剧烈变化等现象。这些现象本身不会直接导致 C2 告警,但当安全产品将「DNS 解析结果频繁变化」与「目标域名属于可疑类别」两条指标叠加时,就可能产生误判。在 2022 年的 Sophos ATP 案例中,安全设备将 Cloudflare 某段 IP 标记为 C2/Generic-A,实际上是该设备的检测规则对 Anycast IP 的行为产生了误读。 ## 安全产品的级联误判链 完整的误判链路通常包含以下环节:威胁情报 Feed 将 archive.today 错误归类为恶意域名 → 使用 1.1.1.2 的终端无法解析该域名 → 安全团队的 DNS 日志捕获大量对 archive.today 的失败查询 → EDR 或网络检测系统将这些失败查询关联到 C2 信标特征(请求频繁、域名非标准、返回 NXDOMAIN) → 最终在告警平台生成「疑似 C2 通信」事件。这一链路中每个环节单独看都是合理的安全检测逻辑,但组合在一起却产生了显著的假阳性。 值得注意的是,部分安全厂商的检测规则对 Cloudflare 的 IP 段存在固有偏见。由于 Cloudflare 承载了互联网上大量合法与非法流量,其 IP 段在某些基于「IP 信誉」的古老检测模型中会被标记为高风险。当终端与这些 IP 发生任何通信——包括上述的 DNS 解析失败——系统可能自动升级威胁等级。 ## 工程化缓解策略与关键参数 针对上述误判链路,企业可从四个层面实施缓解。第一,在 DNS 转发层面配置条件转发规则。使用 dnsmasq 或 AdGuard Home 时,可为 archive.today 及其关联域名(archive.is、archive.ph 等)设置专用上游——当查询这些域名时切换到 8.8.8.8(Google DNS)或 9.9.9.9(Quad9),而非继续使用 1.1.1.2。dnsmasq 配置文件示例如下: ``` server=/archive.today/8.8.8.8 server=/archive.is/8.8.8.8 server=/archive.ph/9.9.9.9 ``` 第二,在安全告警平台配置域名白名单。如果 SIEM 或威胁检测平台已接入 DNS 查询日志,建议将 archive.today 家族加入「已知误报域名列表」,在关联分析时降低其威胁评分。具体参数可设为:将包含 archive.today 的告警置信度阈值从默认的 70% 下调至 30%,并强制要求至少关联一个额外的高危指标(如异常流量规模、非标准端口通信)才触发工单。 第三,在终端检测层面添加诊断日志。当终端通过 1.1.1.2 解析任意域名失败时,记录完整的 DNS 响应码(RCODE)、返回的 IP 列表及查询延迟。建议设置告警阈值为:连续 5 次对同一域名解析失败且响应码为 NXDOMAIN 时,输出诊断级别告警而非安全级别告警,避免安全运营中心收到大量误报。 第四,在威胁情报管理流程中加入人工复核节点。对于来自第三方的恶意软件域名 Feed,建议安全团队每月抽样审计前 100 条新增条目,识别可能的误标。对于 archive.today 这类已知可能误标的域名,可建立静态白名单并与 Feed 供应商保持沟通,推动从源头修正分类。 ## 监控指标与回滚建议 部署上述缓解措施后,建议监控以下指标以验证效果:DNS 解析成功率(针对 archive.today 域名应回升至 99% 以上)、安全平台的 C2 误报工单数量(预期在首周内下降 60% 以上)、条件转发规则的查询命中次数(可反映实际流量走向)。回滚策略应保持简洁——若出现与预期相反的趋势(例如 archive.today 解析成功率下降),立即检查条件转发规则是否被安全策略覆盖,并确保主 DNS 通道仍可用。 整体而言,Cloudflare DNS 对 archive.today 的误判并非单一产品的缺陷,而是 DNS 递归解析、目标站点技术特性、威胁情报质量、安全检测规则四者交互的结果。通过在网络层实施细粒度的 DNS 条件转发,并在安全分析层引入领域知识驱动的白名单机制,可在保持整体安全态势感知能力的前提下,有效消除这一高频误报。 资料来源:Sophos ATP 误报案例(https://www.sophos.com/en-us/blogs/2022/12/atp-reports-cloudflare-188-114-97-3-as-c2-generic-a) ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。