僵尸网络意思就是用户在不知情或没有获得用户的授权下，就有自动运行任务的计算机，而攻击者通过远程控制这些计算机发起拒绝服务器（DOS）攻击。因为有可能一大堆计算机被远程控制了，从而发起大范围的攻击，后果还是挺严重的。就是平常所说的肉鸡网络。所以我们可以采用BTF这个技术来解决这个问题。BTF机制是用于阻止流量源自于或者去往已知感染的计算机站点。通过DNS监控实现的高级保护特性，使用从已知的错误域名及IP地址动态数据库中获取到的信息，来监测并有选择性地阻塞那些去往已被恶意程序控制侵占的站点的连接。

结合完整版思科华为2020年最新版双厂商XCNA实战合集观看更高效哟

如何做过滤呢？

1. 僵尸网络流量过滤特性是一个基于名誉的机制，用于阻止流量源自于或者去往己知的感染主机。

2. 僵尸网络流量过滤比较每一个连接中的源和目的ip地址。

-动态SensorBase数据库，被Cisco动态更新。

-静态数据库，需要手动更新数据库。

3. 当流量匹配上数据库屮的某一条目，一个syslog信息会被记录，流量可以采取丢弃行为。

 

1. 动态数据库中包含那些有问题的主机名，这个数据库从 Cisco SensorBase数据库中下载，并被Cisco持续更新。

2. 对那些有问题主机的DNS解析回应，被缓存在ASA本地的DNS反向査询缓存中。

3. 当一个新的连接初始化时，源和目的IP地址被用来和DNS反向缓存中的条目进行比较。

 

1. 可以手动的添加有问题的和好的主机名和IP地址到静态数据库。

2. 有问题的主机名被添加到“blacklist”,好的主机名被添加到“whitelist”

3. Cisco ASA为所有静态添加的名字，执行DNS查询，并且把查果，映射到ASA本地DNS主机缓存。

4. 当一个新的连接被初始化，源目IP地址被与DNS主机缓存中的条目进行比较。

下面我通过一个小实验演示一下演示网络过滤的例子：

 

做好DNS解析

 

在ASA的ASDM界面配置:

 

 

 

 

1. 当出现源自于或者去往，黑名单或者白名单ip地址流量时产生syslog信息

2. 在面向互联网的所有接口**Botnet Traffic filter。

3. 你可以在ASA上把不确定是不是攻击者的地址也放入黑名中。

 

1. 必须添加drop行为，botnet流量才会被drop

2. 默认只是把中等以上级别的botnet流量予以drop

3. 可以配置适当的级别或者级别范围的botnet流童予以drop

4. 可以配置ACL，只会丢弃ACL范围内的botnet流量

测试之后，在ASDM界面查看日志:

 

扫码获取学更多学习资料哟