返回
《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf

《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf

ID:52939232

大小:1.49 MB

页数:36页

时间:2020-04-02

《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf_第1页
《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf_第2页
《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf_第3页
《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf_第4页
《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf_第5页
资源描述:

《《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、《大规模网络中蠕虫主动防治技术研究》--利用DNS服务抑制蠕虫传播作者:郑辉日期:2003.12.22大规模网络中蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播郑辉教育科研网应急响应组zhenghui@ccert.edu.cn内容n为什么选择DNS服务n利用DNS服务的方法n系统整体框架设计n基于配置视图方式的系统实施方案n基于端口转发方式的系统实施方案n性能分析、实施效果为什么选择DNS服务n大部分Internet应用都会用到DNS服务;n加快染毒用户响应速度;n可以引导用户到指定机器,相较于其他方式增强了交互

2、性;n减少用户和网管人员的正面冲突;n减少网管人员工作量;n疏导方式对网络流量的影响更小;n实施时间短,见效快;利用DNS服务的方法n配置视图n端口转发配置视图n工作原理–DNS服务程序(BIND9)支持视图(view),对不同的视图,服务程序产生不同的响应;–把已感染蠕虫机器的IP地址列表放入一个视图中,对这个视图的响应结果设定为指定结果;n优缺点–仅修改DNS配置文件,无需附加程序;–操作简单,DNS服务管理人员可以自行完成;–不同DNS服务程序的配置方式不同,很多版本的DNS服务程序不支持视图;配置视图方式流程

3、示意图正常计算机DNS请求正常计算机DNS响应染毒机器DNS请求检查视图返回指定报文染毒计算机端口转发n工作原理–端口转发程序代替原有DNS服务监听端口;–收到DNS请求时,在指定为文件中查找DNS请求者IP地址;如果在文件中找到DNS请求者IP地址,则返回伪造的DNS响应报文;–否则,将请求报文转发给在其他端口(或主机)运行的正常DNS服务程序并将DNS服务程序返回的响应报文转回给DNS请求者。n优缺点–对原有系统改动小,可适用于各种不同的DNS服务程序;–当黑名单为空时,同原有DNS系统工作效果相同;–需单独编程

4、,需要处理和考虑各种复杂情况;端口转发方式流程示意图正常计算机DNS请求转发正常计算机DNS请求转回正常计算机DNS响应正常计算机DNS响应染毒机器DNS请求检查黑名单返回伪造报文染毒计算机系统整体框架设计n检测服务器(IDS):–定期生成染毒计算机IP地址列表;n修改过的DNS服务器:–获取染毒计算机IP地址列表–过滤染毒计算机IP地址产生的DNS请求;–将染毒计算机导向警示服务器;n警示服务器(WarningInformationServer):–提供染毒告警信息;–提供补丁程序、杀毒工具下载;–收集用户相关信息

5、;基于配置视图方式的系统结构示意图基于配置视图方式的系统实施方案n检测服务器–配置在边界路由器上,根据蠕虫特征纪录染毒计算机IP地址;nDNS服务器–从检测服务器获取染毒计算机IP地址列表;–根据染毒计算机IP地址列表配置视图;–将染毒计算机导向警示服务器;n警示服务器–建立针对HTTP协议的Web警示页面;–建立针对Telnet协议的警示信息;–建立针对SMTP协议的警示信息;–建立针对POP3协议的警示邮件;检测服务器(IDS)n在边界路由器上配置镜像端口:confmonitorsession1source9/1

6、destination9/3n设置检测程序及检测规则:alerticmp$HOME_NETany->$EXTERNAL_NETany(msg:"Nachi";content:"

7、aaaaaa

8、";dsize:64;itype:8;offset:1;depth:6;reference:arachnids,154;sid:483;classtype:misc-activity;rev:2;)n生成染毒计算机IP地址列表;BIND9视图配置方案(con.)n建立ACL文件–包含染毒计算机IP地址列表;–/var/named

9、/ip包含内容如下acl"fakeresponse"{202.112.50.214;#theipofoneinfectedmachine.};n建立区域解析文件–/var/named/fake.cn包含内容如下$TTL600@INSOAccert.edu.cn.hostmaster.ccert.edu.cn(200203180128800180060480086400)INNS127.0.0.1*.INA202.112.57.9#theipofWISBIND9视图配置方案(#)n修改named.conf–引入控制地址

10、列表:include"ip";–建立如下视图:view"internal"{match-clients{"fakeresponse";};zone"."in{typemaster;file"fake.cn";};};n定时更新ACL文件达到动态处理效果警示服务器(WIS)n制定染毒告警信息:–查杀软件下载;–补丁软件下载;–用户信息收集;n设计

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。