《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑制.pptVIP

大规模网络中蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播 郑 辉 教育科研网应急响应组 zhenghui@ 内容 为什么选择DNS服务 利用DNS服务的方法 系统整体框架设计 基于配置视图方式的系统实施方案 基于端口转发方式的系统实施方案 性能分析、实施效果 为什么选择DNS服务 大部分Internet应用都会用到DNS服务； 加快染毒用户响应速度； 可以引导用户到指定机器，相较于其他方式增强了交互性； 减少用户和网管人员的正面冲突； 减少网管人员工作量； 疏导方式对网络流量的影响更小； 实施时间短，见效快； 利用DNS服务的方法 配置视图 端口转发 配置视图 工作原理 DNS服务程序（BIND9）支持视图（view），对不同的视图，服务程序产生不同的响应； 把已感染蠕虫机器的IP地址列表放入一个视图中，对这个视图的响应结果设定为指定结果； 优缺点 仅修改DNS配置文件，无需附加程序； 操作简单，DNS服务管理人员可以自行完成； 不同DNS服务程序的配置方式不同，很多版本的DNS服务程序不支持视图； 配置视图方式流程示意图 端口转发 工作原理 端口转发程序代替原有DNS服务监听端口； 收到DNS请求时，在指定为文件中查找DNS请求者IP地址；如果在文件中找到DNS请求者IP地址，则返回伪造的DNS响应报文； 否则，将请求报文转发给在其他端口（或主机）运行的正常DNS服务程