《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑制详解.pptVIP

大规模网络中蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播 郑 辉 教育科研网应急响应组 zhenghui@ 内容 为什么选择DNS服务 利用DNS服务的方法 系统整体框架设计 基于配置视图方式的系统实施方案 基于端口转发方式的系统实施方案 性能分析、实施效果 为什么选择DNS服务 大部分Internet应用都会用到DNS服务； 加快染毒用户响应速度； 可以引导用户到指定机器，相较于其他方式增强了交互性； 减少用户和网管人员的正面冲突； 减少网管人员工作量； 疏导方式对网络流量的影响更小； 实施时间短，见效快； 利用DNS服务的方法 配置视图 端口转发 配置视图 工作原理 DNS服务程序（BIND9）支持视图（view），对不同的视图，服务程序产生不同的响应； 把已感染蠕虫机器的IP地址列表放入一个视图中，对这个视图的响应结果设定为指定结果； 优缺点 仅修改DNS配置文件，无需附加程序； 操作简单，DNS服务管理人员可以自行完成； 不同DNS服务程序的配置方式不同，很多版本的DNS服务程序不支持视图； 配置视图方式流程示意图 端口转发 工作原理 端口转发程序代替原有DNS服务监听端口； 收到DNS请求时，在指定为文件中查找DNS请求者IP地址；如果在文件中找到DNS请求者IP地址，则返回伪造的DNS响应报文； 否则，将请求报文转发给在其他端口（或主机）运行的正常DNS服务程序并将DNS服务程序返回的响应报文转回给DNS请求者。 优缺点 对原有系统改动小，可适用于各种不同的DNS服务程序； 当黑名单为空时，同原有DNS系统工作效果相同； 需单独编程，需要处理和考虑各种复杂情况； 端口转发方式流程示意图 系统整体框架设计 检测服务器（IDS）： 定期生成染毒计算机IP地址列表； 修改过的DNS服务器： 获取染毒计算机IP地址列表 过滤染毒计算机IP地址产生的DNS请求； 将染毒计算机导向警示服务器； 警示服务器（Warning Information Server）： 提供染毒告警信息； 提供补丁程序、杀毒工具下载； 收集用户相关信息； 基于配置视图方式的系统结构示意图 基于配置视图方式的系统实施方案 检测服务器 配置在边界路由器上，根据蠕虫特征纪录染毒计算机IP地址； DNS服务器 从检测服务器获取染毒计算机IP地址列表； 根据染毒计算机IP地址列表配置视图； 将染毒计算机导向警示服务器； 警示服务器 建立针对HTTP协议的Web警示页面； 建立针对Telnet协议的警示信息； 建立针对SMTP协议的警示信息； 建立针对POP3协议的警示邮件； 检测服务器（IDS） 在边界路由器上配置镜像端口： conf monitor session 1 source 9/1 destination 9/3 设置检测程序及检测规则： alert icmp $HOME_NET any - $EXTERNAL_NET any (msg:Nachi; content:|aaaaaa|;dsize:64;itype:8;offset:1;depth:6; reference:arachnids,154; sid:483; classtype:misc-activity; rev:2;) 生成染毒计算机IP地址列表； BIND 9 视图配置方案 (con.) 建立ACL文件 包含染毒计算机IP地址列表； /var/named/ip包含内容如下 acl fakeresponse { 14; # the ip of one infected machine. }; 建立区域解析文件 /var/named/包含内容如下 $TTL 600 @ IN SOA . ( 2002031801 28800 1800 604800 86400 ) IN NS *. IN A #the ip of WIS BIND 9 视图配置方案 (#) 修改named.conf 引入控制地址列表： include ip; 建立如下视图： view internal { match-clients { fakeresponse;}; zone . in { type master; file ; }; }; 定时更新ACL文件达到动态处理效果 警示服务器（WIS） 制定染毒告警信息： 查杀软件下载； 补丁软件下载； 用户信息收集； 设计常规Internet服务 HTTP； Telnet； SMTP； POP3； 警示服务器上针对Telnet协议的警示方案 (con.) 编写telnet