日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

港灣交換機(jī)對(duì)沖擊波病毒的抑制

云知道


沖擊波病毒(Wrom.MSBlast.6176,原名爆破工)自從被瑞星全球反病毒監(jiān)測(cè)網(wǎng)于8月12日首次截獲開(kāi)始,已經(jīng)在國(guó)內(nèi)造成了大范圍影響,雖然各大殺毒軟件公司都已推出專門(mén)的升級(jí)軟件包,但仍有許多疏于防范的用戶電腦不斷在遭受攻擊 。目前該病毒仍以每小時(shí)感染3萬(wàn)個(gè)系統(tǒng)的速度蔓延 。預(yù)計(jì)該病毒將會(huì)在全球范圍內(nèi)造成12億美元的經(jīng)濟(jì)損失 。
該病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī),找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng),一旦攻擊成功,病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染,使系統(tǒng)操作異常 。具體表現(xiàn)有,彈出RPC服務(wù)終止的對(duì)話框、系統(tǒng)反復(fù)重啟、不能收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常瀏覽網(wǎng)頁(yè),復(fù)制粘貼等操作受到嚴(yán)重影響,DNS和IIS服務(wù)遭到非法拒絕服務(wù)等等,從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)幾近癱瘓 。另外,該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊,導(dǎo)致該網(wǎng)站堵塞,使用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng) 。
可以看到,該病毒是利用微軟操作系統(tǒng)的RPC(遠(yuǎn)程進(jìn)程調(diào)用)漏洞進(jìn)行快速傳播的 。RPC是微軟發(fā)明的一個(gè)專門(mén)用戶互聯(lián)網(wǎng)遠(yuǎn)程服務(wù)的協(xié)議,該協(xié)議是建立在TCP/IP上的一個(gè)應(yīng)用 。我們知道IP網(wǎng)上的應(yīng)用協(xié)議都必須借助TCP/UDP端口號(hào)才能提供服務(wù),RPC的TCP端口號(hào)是135 。
請(qǐng)大家記住這個(gè)端口號(hào),因?yàn)榫褪?35這個(gè)漏洞造成了全球12億美元的經(jīng)濟(jì)損失!
攻擊者正是通過(guò)編程方式來(lái)尋求利用此漏洞,在一臺(tái)與易受影響的服務(wù)器通信的并能夠通過(guò) TCP 端口 135的計(jì)算機(jī)上,發(fā)送特定類型的、格式錯(cuò)誤的 RPC 消息 。接收此類消息會(huì)導(dǎo)致易受影響的計(jì)算機(jī)上的 RPC 服務(wù)出現(xiàn)問(wèn)題,進(jìn)而使任意代碼得以執(zhí)行 。接著病毒就會(huì)修改注冊(cè)表,截獲郵件地址信息,一邊破壞本地機(jī)器一邊通過(guò)EMAIL形式在互聯(lián)網(wǎng)上傳播 。同時(shí),病毒會(huì)在TCP的端口4444創(chuàng)建cmd.exe,并監(jiān)聽(tīng)UDP端口69,當(dāng)有服務(wù)請(qǐng)求,就發(fā)送Msblast.exe文件 。
微軟的修補(bǔ)程序解決了RPC對(duì)錯(cuò)誤格式報(bào)文的判定,從而阻止攻擊進(jìn)入 。但對(duì)于網(wǎng)絡(luò)治理者來(lái)說(shuō),不能把安全寄托在我們治理的用戶身上,在用戶安裝微軟修補(bǔ)程序之前必須有切實(shí)可行的辦法防止沖擊波病毒對(duì)我們網(wǎng)絡(luò)的沖擊 。
第一,針對(duì)Internet上來(lái)的攻擊,我們可以通過(guò)在防火墻上禁用TCP號(hào)為135、4444和UDP69的進(jìn)程 。從而阻止外網(wǎng)對(duì)內(nèi)網(wǎng)以及內(nèi)網(wǎng)對(duì)別的網(wǎng)絡(luò)的攻擊;
第二,針對(duì)內(nèi)部網(wǎng)絡(luò)來(lái)的攻擊,可以通過(guò)智能交換機(jī)禁用這些服務(wù)來(lái)解決 。由于此時(shí)內(nèi)網(wǎng)已經(jīng)有機(jī)器受到感染,因此僅僅禁用TCP端口135、4444的報(bào)文還不夠,必須能做到監(jiān)聽(tīng)這些報(bào)文之后能強(qiáng)制關(guān)閉上傳這些報(bào)文的物理端口,另外,必須能禁用UDP69的請(qǐng)求服務(wù) 。這就要求該交換機(jī)必須具備業(yè)務(wù)流分類、端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能 。
港灣網(wǎng)絡(luò)的系列智能交換機(jī)正是具備了這些智能化特性,通過(guò)BigHammer、FlexHammer以及μHammer組網(wǎng)可以有效的減輕包括沖擊波病毒在內(nèi)的許多病毒對(duì)內(nèi)網(wǎng)的破壞 。
【港灣交換機(jī)對(duì)沖擊波病毒的抑制】μHammer3550系列智能交換機(jī)具有包頭80字節(jié)的解析能力,可以分析每個(gè)數(shù)據(jù)報(bào)文的協(xié)議端口號(hào),一旦發(fā)現(xiàn)TCP135、4444和UDP69的報(bào)文,馬上通知后臺(tái)AAA服務(wù)器,通過(guò)Radius系統(tǒng)進(jìn)行關(guān)閉端口、端口反查等系列操作 。假如局域網(wǎng)中沒(méi)有Radius系統(tǒng),μHammer3550系列智能交換機(jī)也可以自動(dòng)拋棄這些病毒報(bào)文 。
FlexHammer系列設(shè)備處在匯聚層,它通過(guò)啟動(dòng)ACL實(shí)現(xiàn)禁用135等端口號(hào)的請(qǐng)求,阻止病毒在內(nèi)網(wǎng)的快速傳染 。高端路由交換機(jī)BigHammer68系列可以起到軟件防火墻的部分功能,通過(guò) 在6808或者6802設(shè)備上強(qiáng)行禁用端口135和4444的TCP應(yīng)用,防止internet上的沖擊波病毒對(duì)內(nèi)網(wǎng)的攻擊,同時(shí)BigHammer68系列交換機(jī)也可以作為內(nèi)網(wǎng)的核心設(shè)備提供業(yè)務(wù)流分類、端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能,阻止病毒在內(nèi)網(wǎng)的泛濫,并定位可能藏逸在內(nèi)網(wǎng)的病毒散播者 。

推薦閱讀