金融/某银行僵尸网络定位分析产品系统

某银行 IMDDOS 僵尸网络攻击分析与处置
某银行办公网出现异常，经科来流量分析系统监测：核心交换机下联 9 台 PC 因感染木马，形成 IMDDOS 僵尸网络，通过循环发送大量 DNS 查询请求攻击多台国内外 DNS 服务器，致服务器资源过载、性能下降，存在网络延迟及业务风险。

一、攻击定位
攻击源：9 台感染木马的办公 PC，均启用 “个人共享网卡”，加速病毒扩散与协同攻击。
目标 DNS 服务器：含国内（114.114.114.114、202.102.152.3）与国际（8.8.8.8、4.4.4.4）公共 DNS，覆盖南京信风、济南联通、谷歌等机构节点。
二、攻击行为分析
IMDDOS 攻击具典型特征，与正常查询差异显著：
持续性强：单轮攻击超 4 小时，无间断发送请求；（见图片1）
高频重复：单 PC 每秒发 3.74 个包，每隔 1 秒重复查询www.baidu.com等域名（正常短期仅查 1 次）；（见图片2）
随机消耗：部分 PC 用随机端口、生成teredo.ipv6.microsoft.com等无效域名查询，进一步占用服务器资源。（见图片3）
以攻击 8.8.8.8 为例：2015 年 9 月 24 日某时段，单 PC（如 10.168.1.7）通过多端口高频查询，部分请求返回 “域名不存在” 仍持续发起，致 DNS 服务器面临堆栈溢出风险。

三、故障结论
类型：IMDDOS 僵尸网络发起的 DNS 拒绝服务攻击；
感染原因：外网黑客渗透传播木马，PC 因开放危险端口、启用共享网卡被感染；
机制：受感染 PC 以 “固定 / 随机端口 + 重复 / 随机域名查询” 耗尽 DNS 资源，间接影响银行业务。
四、处置与建议
即时处置：通过异常端口定位进程 PID，终止木马进程并全盘杀毒；防火墙启用 DNS 应答频率限制（RRL），超阈值时暂止回应，防攻击复