僵尸网络数据流过滤器问题用可适应安全工具-cisco.pdf

僵尸网络数据流过滤器问题用可适应安全工具 目录 简介 背景信息 排除故障工作流 步骤 1：检查动态过滤器数据库 步骤 2： 保证DNS流量交叉此ASA 步骤 3： 检查DNS监听缓存 步骤 4： 测试有流量的僵尸网络数据流过滤器 简介 本文描述步骤排除故障僵尸网络在可适应安全工具(ASA)的数据流过滤器功能。关于与僵尸网络数 据流过滤器配置的协助，请参阅此此配置指南： 配置僵尸网络数据流过滤器。 背景信息 僵尸网络数据流过滤器监视器域名服务器(DNS)请求和答复在内部DNS客户端和外部DNS服务器之 间。当DNS答复处理时，域关联与答复根据已知有恶意的域数据库核对。如果有匹配，对IP地址的 任何另外流量现在DNS答复阻塞。请参阅此图表。 1. 检查动态过滤器数据库。ASA周期地下载已知有恶意的域和IP地址一个当前数据库。思科的安 全智能操作(SIO)确定域和IP地址在此数据库为恶意软件或其他有恶意的内容服务。 2. 保证DNS流量交叉ASA。 内部网络或一个受感染的机器的一个用户在内部网络设法访问一个有 恶意的服务器为了下载恶意软件或参加僵尸网络。为了连接到有恶意的服务器，主机必须执行 DNS查找。在本例中，对的计算机尝试访问。主机发送DNS请求到本地 DNS服务器或直接地到一个外部DNS服务器。在这两种情况下， DNS请求必须横断ASA，并 且DNS答复必须也横断同样ASA。 3. 检查Dns监听缓存。DNS检查的Dns监听功能，如果启用，监控DNS流量并且确定DNS A类记 录答复从DNS服务器返回。Dns监听功能采取域，并且IP地址在A类记录答复提交并且添加它 到Dns监听缓存。域根据从step1的下载的数据库核对，并且找到匹配。DNS答复没有丢弃和 允许通过通过。 4. 测试有流量的僵尸网络数据流过滤器。 由于有在步骤3的一匹配， ASA增加指示的一个内部规 则到/从IP的所有流量关联与丢弃。感染的计算机然后设法访问URL 服务器，并且流量丢弃。  排除故障工作流 请使用这些步骤为了排除故障和验证功能运作。 步骤 1：检查动态过滤器数据库 检查数据库是否下载并且输入show命令动态过滤器数据。看此输出示例: ：  # show dynamic-filter data Dynamic Filter is using downloaded database version 1404865586 Fetched at 21:32:02 EDT Jul 8 2014, size: 2097145 Sample contents from downloaded database: bnch.ru 52 paketoptom.ru avtovirag.ru cnner.mobi Sample meta data from downloaded database: threat-level: very-high, category: Malware, description: These are sources that use various exploits to deliver adware, spyware and other malware to victim computers. Some of these are associated with rogue online vendors and distributors of dialers which deceptively call premium-rate phone numbers. threat-level: high, category: Bot and Threat Networks, description: These are rogue systems that control infected computers. They are either systems hosted on threat networks or systems that are part of the botnet itself threat-level: moderate, category: Malware, description: These are sources that deliver deceptive or malicious anti-spyware, anti-malware, registry cleaning, and