《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑制蠕虫传播.pdf

《大规模网络中蠕虫主动防治技术研究》 --利用DNS服务抑制蠕虫传播 作者：郑辉 日期：2003.12.22 大规模网络中蠕虫主动防治技 术研究 --利用DNS服务抑制蠕虫传播 郑 辉 教育科研网应急响应组 zhenghui@ 内容 n为什么选择DNS服务 n利用DNS服务的方法 n系统整体框架设计 n基于配置视图方式的系统实施方案 n基于端口转发方式的系统实施方案 n性能分析、实施效果 为什么选择DNS服务 n大部分Internet应用都会用到DNS服务； n加快染毒用户响应速度； n可以引导用户到指定机器，相较于其他方式增强 了交互性； n减少用户和网管人员的正面冲突； n减少网管人员工作量； n疏导方式对网络流量的影响更小； n实施时间短，见效快； 利用DNS服务的方法 n配置视图 n端口转发 配置视图 n工作原理 DNS服务程序（BIND9）支持视图 （view ），对不同 的视图，服务程序产生不同的响应； 把已感染蠕虫机器的IP地址列表放入一个视图中，对这 个视图的响应结果设 为指定结果； n优缺点 仅修改DNS配置文件，无需附加程序； 操作简单，DNS服务管理人员可以自行完成； 不同DNS服务程序的配置方式不同，很多版本的DNS 服务程序不支持视图； 配置视图方式流程示意图 正常计算机 DNS请求 正常计算机 DNS响应 染毒机器 DNS请求 检查视图 返回指 报文 染毒计算机 端口转发 n 工作原理 端口转发程序代替原有DNS服务监听端口； 收到DNS请求时，在指 为文件中查找DNS请求者IP地址；如果 在文件中找到DNS请求者IP地址，则返回伪造的DNS响应报文； 否则，将请求报文转发给在其他端口 （或主机）运行的正常DNS 服务程序并将DNS服务程序返回的响应报文转回给DNS请求者。 n优缺点 对原有系统改动小，可适用于各种不同的DNS服务程序； 当黑名单为空时，同原有DNS系统工作效果相同； 需单独编程，需要处理和考虑各种复杂情况； 端口转发方式流程示意图 正常计算机 DNS请求 转发正常计算机 DNS请求 转回正常计算机 DNS响应 正常计算机 DNS响应 染毒机器 DNS请求 检查黑名单