【正文】 WIS的計算機如果在將來又出現(xiàn)在每天檢測到的染毒計算機 IP地址列表中，則表明 DNS方案對此計算機無效，無效計算機數(shù)目與被導向到 WIS的計算機數(shù)目的比率可以用來衡量 DNS方案的有效性。 00 1 2 3 4 5 6 71 1 月2 7 日1 1 月2 8 日1 1 月2 9 日參考文獻 ?原始數(shù)據(jù)： – 段海新，清華校園網(wǎng) Nachi蠕蟲監(jiān)測系統(tǒng)； – 鄭先偉，清華校園網(wǎng)應急響應網(wǎng)站訪問日志； ?孫彬，“ DNS配置方法”， CCERT內部資料。 $dnsbuffer = pack(H4H*,$unpackdata[0],$fakeip)。 bind(SERVER,$paddr) or die bind: $!。 send Subject: warning\r\n\r\n。 – 建立如下視圖： view internal { matchclients { fakeresponse。 ? 優(yōu)缺點 – 對原有系統(tǒng)改動小，可適用于各種不同的 DNS服務程序； – 當黑名單為空時，同原有 DNS系統(tǒng)工作效果相同； – 需單獨編程，需要處理和考慮各種復雜情況； 染 毒 計 算 機端 口 轉 發(fā)程 序黑 名 單原 DNS服 務 器染毒機器 DNS請求 返回偽造報文 檢查黑名單 轉發(fā)正常計算機 DNS請求 正常計算機 DNS響應 正常計算機 DNS請求 轉回正常計算機 DNS響應 端口轉發(fā)方式流程示意圖 正 常 計 算 機系統(tǒng)整體框架設計 ? 檢測服務器（ IDS）： – 定期生成染毒計算機 IP地址列表； ? 修改過的 DNS服務器： – 獲取染毒計算機 IP地址列表 – 過濾染毒計算機 IP地址產(chǎn)生的 DNS請求； – 將染毒計算機導向警示服務器； ? 警示服務器（ Warning Information Server）： – 提供染毒告警信息； – 提供補丁程序、殺毒工具下載； – 收集用戶相關信息； 基于配置視圖方式的系統(tǒng)結構示意圖 基于配置視圖方式的系統(tǒng)實施方案 ? 檢測服務器 – 配置在邊界路由器上，根據(jù)蠕蟲特征紀錄染毒計算機 IP地址； ? DNS服務器 – 從檢測服務器獲取染毒計算機 IP地址列表； – 根據(jù)染毒計算機 IP地址列表配置視圖； – 將染毒計算機導向警示服務器； ? 警示服務器 – 建立針對 HTTP協(xié)議的 Web警示頁面； – 建立針對 Tel協(xié)議的警示信息； – 建立針對 SMTP協(xié)議的警示信息； – 建立針對 POP3協(xié)議的警示郵件； 檢測服務器（ IDS） ?在邊界路由器上配置鏡像端口： conf monitor session 1 source 9/1 destination 9/3 ?設置檢測程序及檢測規(guī)則： alert icmp $HOME_NET any $EXTERNAL_NET any (msg:Nachi。 file 。 send send .\r\n。 my $client_addr。 } print got a connection from : $client_host,[$client_ipnum]\n。 Cricket Liu 著。 } } close(IN)。 my $client_ipnum = i_ntoa($client_ip)。 my $proto = getprotobyname(udp)。exp_continue} LIST {send +OK 1 visible messages 575 octets\r\n。 classtype:miscactivity。depth:6。exp_continue} STAT {send +OK 1 575\r\n。 use IO::Socket。 my $i。 open(IN,)。 ? RFC1939（ POP3），tml Thanks ! 。 send(SERVER,$dnsbuffer,0,$client_addr)|| warn send to client error: $! \n。 my $fakeip。close。 ?定時更新 ACL文件達到動態(tài)處理效果 警示服務器（ WIS） ?制定染毒告警信息： –查殺軟件下載； –補丁軟件下載；