《大规模网络中蠕虫主动防治技术研究》 --利用DNS服务抑制蠕虫传播
作者：郑辉 日期：2003.12.22
大规 络中蠕虫主动防治技 术研究 --利用DNS服务抑制蠕虫传播 郑 辉
教育科研网应急响应组 zhenghui@ccert.edu.cn
内容
n 为什么选择DNS服务 n 利用DNS服务的方法 n 系统整体框架设计 n 基于配置视图方式的系统实施方案 n 基于端口转发方式的系统实施方案 n 性能分析、实施效果
为什么选择DNS服务
n 大部分Internet应用都会用到DNS服务； n 加快染毒用户响应速度； n 可以引导用户到指定机器，相较于其他方式增强 了交互性； n 减少用户和网管人员的 冲突； n 减少网管人员工作量； n 疏导方式对网络流量的影响更小； n 实施时间短，见效快；
利用DNS服务的方法
n 配置视图 n 端口转发
配置视图
n 工作原理
– DNS服务程序（BIND9）支持视图（view），对不同 的视图，服务程序产生不同的响应； – 把已感染蠕虫机器的IP地址列表放入一个视图中，对这 个视图的响应结果设定为指定结果；
n 优缺点
– 仅修改DNS配置文件，无需附加程序； – 操作简单，DNS服务 人员可以自行完成； – 不同DNS服务程序的配置方式不同，很多版本的DNS 服务程序不支持视图；
配置视图方式流程示意图
机 DNS请求
机 DNS响应
染毒机器 DNS请求 返回指定报文 检查视图
染毒 机
端口转发
n 工作原理
– 端口转发程序 原有DNS服务监听端口； – 收到DNS请求时，在指定为文件中查找DNS请求者IP地址；如果 在文件中找到DNS请求者IP地址，则返回伪造的DNS响应报文； – 否则，将请求报文转发给在其他端口（或主机）运行的 DNS 服务程序并将DNS服务程序返回的响应报文转回给DNS请求者。
n 优缺点
– 对原有系统改动小，可适用于各种不同的DNS服务程序； – 当黑名单为空时，同原有DNS系统工作效果相同； – 需单独编程，需要处理和考虑各种复杂情况；
端口转发方式流程示意图
机 DNS请求
转发 机 DNS请求 机 DNS响应
转回 机 DNS响应
染毒机器 DNS请求 返回伪造报文 检查黑名单
染毒 机
系统整体框架设计
n 检测服务器（IDS）：
– 定期生成染毒 机IP地址列表；
n 修改过的DNS服务器：
– 获取染毒 机IP地址列表 – 过滤染毒 机IP地址产生的DNS请求； – 将染毒计算机导向警示服务器；
n 警示服务器（Warning Information Server）：
– 提供染毒告警信息； – 提供补丁程序、杀毒工具下载； – 收集用户相关信息；
基于配置视图方式的系统结构示 意图
基于配置视图方式的系统实施 方案
n 检测服务器

下一页