gfnormal 域名 是阿里云的高防IP

最近DGA检出了一堆阿里高防的域名，例如：u3mbyv2siyaw2tnm.gfnormal09aq.com，然后专门查找了下相关文档。

例如 8264.com 这个网站启用了aliyun的高防DDoS。

dig 8264.com 可以看到：

; <<>> DiG 9.10.3-P4-Ubuntu <<>> 8264.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2432
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;8264.com.            IN    A

;; ANSWER SECTION:
8264.com.        120    IN    CNAME    qaz2d84guo7uz5q2.gfnormal01at.com.
qaz2d84guo7uz5q2.gfnormal01at.com. 120 IN A    116.211.174.228

;; Query time: 152 msec
;; SERVER: 223.6.6.6#53(223.6.6.6)
;; WHEN: Thu Mar 29 19:10:53 CST 2018
;; MSG SIZE  rcvd: 86

然后将真实机器的源IP藏到了aliyun的高防IP之下，也就是116.211.174.228。

看了下阿里云的高防DDoS文档，见：https://help.aliyun.com/document_detail/35165.html?spm=a2c4g.11186623.6.573.T16zuM

本质上高防DDoS就是代理机器，所有对源站的请求都会先到高防IP的机器上，经过DDoS清洗，再将清洗后的流量发给源站。

修改DNS解析，使所有用户的访问都先经过DDoS高防再回到源站（相当于将所有流量长牵引到高防IP）。

各个DNS解析提供商的配置原理相同，具体配置步骤可能有细微差别，本文以万网配置为例。

1. 登录万网域名控制台，进入域名解析设置。
   

   以图中的域名aliyundemo.com为例，当前的域名解析采用A记录的方式，默认线路（除联通以外的线路，包含电信、移动、教育网、铁通、海外等线路）的@和www记录（即用户直接访问域名“aliyundemo.com”或者“www.aliyundemo.com”）都是解析到源站IP地址为11.11.11.11的服务器，而联通线路则是解析到源站IP地址为22.22.22.22的服务器。

2. 接入DDoS高防后，需要修改域名解析配置让域名解析到高防IP上。
   目前，支持CNAME解析和A记录解析两种方式，推荐使用CNAME方式接入。

   把记录类型改为CNAME，在记录值内输入CNAME地址。
   在配置域名转发规则时，云盾DDoS防护管理控制台已自动生成该域名的CNAME地址，并且提供分线路智能解析功能。因此，CNAME解析只需要配置默认线路的解析即可。

注意：如果您的域名解析不支持或者无法配置CNAME解析（例如，已配置MX记录的域名会提示@主机记录和MX记录冲突），可以使用A记录进行域名解析。配置方法与普通A记录配置方法相同。
推荐按照以下方式进行A记录解析配置：

注意：请务必确保把所有业务都切换到DDoS高防，不然恶意攻击者还是能够通过未解析到DDoS高防的业务找到源站服务器IP地址，从而绕过DDoS高防直接攻击源站。