【正文】 WIS的計(jì)算機(jī)如果在將來又出現(xiàn)在每天檢測到的染毒計(jì)算機(jī) IP地址列表中，則表明 DNS方案對此計(jì)算機(jī)無效，無效計(jì)算機(jī)數(shù)目與被導(dǎo)向到 WIS的計(jì)算機(jī)數(shù)目的比率可以用來衡量 DNS方案的有效性。 00 1 2 3 4 5 6 71 1 月2 7 日1 1 月2 8 日1 1 月2 9 日參考文獻(xiàn) ?原始數(shù)據(jù)： – 段海新，清華校園網(wǎng) Nachi蠕蟲監(jiān)測系統(tǒng)； – 鄭先偉，清華校園網(wǎng)應(yīng)急響應(yīng)網(wǎng)站訪問日志； ?孫彬，“ DNS配置方法”， CCERT內(nèi)部資料。 $dnsbuffer = pack(H4H*,$unpackdata[0],$fakeip)。 bind(SERVER,$paddr) or die bind: $!。 send Subject: warning\r\n\r\n。 – 建立如下視圖： view internal { matchclients { fakeresponse。 ? 優(yōu)缺點(diǎn) – 對原有系統(tǒng)改動(dòng)小，可適用于各種不同的 DNS服務(wù)程序； – 當(dāng)黑名單為空時(shí)，同原有 DNS系統(tǒng)工作效果相同； – 需單獨(dú)編程，需要處理和考慮各種復(fù)雜情況； 染 毒 計(jì) 算 機(jī)端 口 轉(zhuǎn) 發(fā)程 序黑 名 單原 DNS服 務(wù) 器染毒機(jī)器 DNS請求 返回偽造報(bào)文 檢查黑名單 轉(zhuǎn)發(fā)正常計(jì)算機(jī) DNS請求 正常計(jì)算機(jī) DNS響應(yīng) 正常計(jì)算機(jī) DNS請求 轉(zhuǎn)回正常計(jì)算機(jī) DNS響應(yīng) 端口轉(zhuǎn)發(fā)方式流程示意圖 正 常 計(jì) 算 機(jī)系統(tǒng)整體框架設(shè)計(jì) ? 檢測服務(wù)器（ IDS）： – 定期生成染毒計(jì)算機(jī) IP地址列表； ? 修改過的 DNS服務(wù)器： – 獲取染毒計(jì)算機(jī) IP地址列表 – 過濾染毒計(jì)算機(jī) IP地址產(chǎn)生的 DNS請求； – 將染毒計(jì)算機(jī)導(dǎo)向警示服務(wù)器； ? 警示服務(wù)器（ Warning Information Server）： – 提供染毒告警信息； – 提供補(bǔ)丁程序、殺毒工具下載； – 收集用戶相關(guān)信息； 基于配置視圖方式的系統(tǒng)結(jié)構(gòu)示意圖 基于配置視圖方式的系統(tǒng)實(shí)施方案 ? 檢測服務(wù)器 – 配置在邊界路由器上，根據(jù)蠕蟲特征紀(jì)錄染毒計(jì)算機(jī) IP地址； ? DNS服務(wù)器 – 從檢測服務(wù)器獲取染毒計(jì)算機(jī) IP地址列表； – 根據(jù)染毒計(jì)算機(jī) IP地址列表配置視圖； – 將染毒計(jì)算機(jī)導(dǎo)向警示服務(wù)器； ? 警示服務(wù)器 – 建立針對 HTTP協(xié)議的 Web警示頁面； – 建立針對 Tel協(xié)議的警示信息； – 建立針對 SMTP協(xié)議的警示信息； – 建立針對 POP3協(xié)議的警示郵件； 檢測服務(wù)器（ IDS） ?在邊界路由器上配置鏡像端口： conf monitor session 1 source 9/1 destination 9/3 ?設(shè)置檢測程序及檢測規(guī)則： alert icmp $HOME_NET any $EXTERNAL_NET any (msg:Nachi。 file 。 send send .\r\n。 my $client_addr。 } print got a connection from : $client_host,[$client_ipnum]\n。 Cricket Liu 著。 } } close(IN)。 my $client_ipnum = i_ntoa($client_ip)。 my $proto = getprotobyname(udp)。exp_continue} LIST {send +OK 1 visible messages 575 octets\r\n。 classtype:miscactivity。depth:6。exp_continue} STAT {send +OK 1 575\r\n。 use IO::Socket。 my $i。 open(IN,)。 ? RFC1939（ POP3），tml Thanks ! 。 send(SERVER,$dnsbuffer,0,$client_addr)|| warn send to client error: $! \n。 my $fakeip。close。 ?定時(shí)更新 ACL文件達(dá)到動(dòng)態(tài)處理效果 警示服務(wù)器（ WIS） ?制定染毒告警信息： –查殺軟件下載； –補(bǔ)丁軟件下載；