8月下旬開學(xué) ， 我剛到學(xué)校就被告知:學(xué)校網(wǎng)絡(luò)時斷時續(xù) ， 大部分網(wǎng)站因超時無法訪問 。當(dāng)時我第一個念頭就是:沖擊波蠕蟲!路由器一定沒問題 ， 因為這臺路由器是新?lián)Q不到3個月的一臺國產(chǎn)品牌路由器 ， 一定是由于沖擊波蠕蟲爆發(fā)引起的網(wǎng)絡(luò)擁擠堵塞 。
于是我開始對網(wǎng)段內(nèi)的機器掃描 ， 忙著給每臺單機打補丁 。忙了兩天 ， 該補的補了 ， 該升的也升了 ， 可情況仍不見好轉(zhuǎn) ， 而且時通時不通的情況更加嚴(yán)重 ， ping外部網(wǎng)關(guān) ， 100個包掉90個包是常事 。碰巧的是學(xué)校周邊市政施工 ， 將單位光纖臨時挪動 ， 幾個同事認為可能是光纖受到損傷 ， 于是采用替換法將老Cisco 2621(設(shè)置相同)換上 。希奇的事情發(fā)生了 ， 網(wǎng)絡(luò)競?cè)煌?， ping100個通100個 ， 但連接質(zhì)量較差 ， 連接速度均在lOOms左右 ， 由此可斷定光纖無損 。接下來 ， 我將國產(chǎn)路由器IOS升級 ， 打電話咨詢 ， 換全新的國產(chǎn)路由器……忙活了近一個星期 ， 問題仍無法解決 。
9月初 ， 我將Cisco路由器接上 ， 好奇之余打開Debug監(jiān)控 ， 在鍵入debug ip icmp后 ， 意想不到的情況出現(xiàn)了 ， 類似 "2002-1-100:01:05 ICMP:sent unreachable to211.93.39.44(dstwas210.42.94.79),len36"的記錄開始瘋狂地翻屏 。
記錄的含義如下:
ICMP:Internet控制信息協(xié)議 。
sent.發(fā)送ICMP報文 。
to 211.93.39.44:ICMP報文的目的地址是211.93.39.44 。
dstwas210.42.94.79:引起ICMP報文的原始報文的目的地址是210.42.94.79;
"len 36".ICMP報文的長度是36字節(jié) ， 其中不包括舊報頭長度 。
我既驚奇又慶幸 ， 驚奇的是 ， 我調(diào)試時是拋開內(nèi)網(wǎng)的 ， 產(chǎn)生如此大的ICMP報文 ， 只能說明路由器接收到外網(wǎng)大量無用報文;慶幸的是 ， 簡單的Debuq命令競?cè)粠臀艺业搅藛栴}所在 。于是我換上國產(chǎn)路由器 ， 將1CMP端口封閉 ， 呵呵 ， 隨便找一個網(wǎng)站均能順利打開了 ?？墒菂s不能再用傳統(tǒng)的pinq來測試速度了 ， 不過能順利打開各個網(wǎng)站就說明問題已經(jīng)解決了一大半 ?，F(xiàn)將幾種蠕蟲對網(wǎng)絡(luò)通信質(zhì)量危害的主要方式及解決方法總結(jié)如下 。
沖擊波殺手
首先 ， 沖擊波殺手W32.Nachi蠕蟲使用類型為echo(ICMP TYPE=8)的1CMP報文ping根據(jù)自身算法得出的舊地址段 ， 發(fā)送大量載荷為"aa"、填充長度為92字節(jié)的ICMP報文 ， 檢測這些地址段中存活的主機 ， 結(jié)果大量1CMP報文導(dǎo)致網(wǎng)絡(luò)擁擠、堵塞 。這就是以下大量1CMP報文數(shù)據(jù)產(chǎn)生的原因!
下面便是使用了訪問列表后 ， 使用debugIPpacket
detaiI命令后 ， 一秒內(nèi)產(chǎn)生的l35條記錄中的1條記錄:
　
對記錄的解釋如下:
IP.表示這條信息是關(guān)于IP報文的 。
src=https://www.rkxy.com.cn/dnjc/218.72.13.36(FastEtherent0/0):IP報文的源地址和收到報文的接口名稱 (假如不是本地生成的報文) 。
dst=210.42.92.86.IP報文的目的地址和發(fā)送報文的接口名稱 (假如路由成功的活) 。
len=92:IP報文的長度 。
Denied by incoming acl FastEthernet0/0:被FastEthernet0/0的接收接口的接收訪問表拒絕 。
ICMP:type-8,code-0:ICMP報文的類型和代碼值 。
隨機一秒鐘就有l(wèi)35次的1CMP報文 ， 可想而知高峰期一分鐘有多少?一小時有多少?
蠕蟲一旦發(fā)現(xiàn)存活的主機 ， 便試圖使用135端口的RPC漏洞和80端目的Wehdav漏洞進行溢出攻擊 。溢出成功后會監(jiān)聽666-765范圍中隨機的一個端口 ， 等待目標(biāo)主機回連 。但是從我們監(jiān)測的情況看 ， 通常都是707端口 。
解決方法
假如您不需要應(yīng)用這些端口來進行服務(wù) ， 為了防范這種蠕蟲 ， 您應(yīng)該在路由器上關(guān)閉下面的協(xié)議端口:UDP Port 69,TCP Port135,ICMP echo request(type8) 。
span
strip 在路由器上配置如下訪問列表:

推薦閱讀

• 

  剛生下來的螳螂吃什么 螳螂幼崽生下來吃什么
• 

  描寫人物外貌的成語
• 

  西安就業(yè)補貼可以在網(wǎng)上申請嗎
• 

  榮耀手機中更新系統(tǒng)具體方法介紹
• 

  一般常吃的海鮮有哪些種類
• 

  鬼子姜的功效與作用及禁忌,怎樣腌制鬼子姜又脆又好吃
• 

  etc怎么在網(wǎng)上充值
• 

  太陽是什么星 太陽屬于什么星
• 

  wifi已連接但有感嘆號
• 

  口腔內(nèi)壁浮腫是什么原因
• 

  羊肉怎么挑選，吃涮羊肉時怎樣挑選好的羊肉？
• 

  怎么關(guān)閉距離傳感器？
• 

  小編教你樂教樂學(xué)APP分發(fā)教師帳號的簡單操作。
• 

  杭州|專業(yè)律師解答房產(chǎn)買賣過程中的七大經(jīng)典問題
• 

  初中數(shù)學(xué)教學(xué)課堂練習(xí)中如何體現(xiàn)以生為本,一明一暗一反思；初中數(shù)學(xué)一鍵通達
• 

  變形補碼怎么計算

• 清酒和白酒有什么區(qū)別 清酒和白酒的區(qū)別
• 路由器的類型
• 支付寶轉(zhuǎn)賬到別人銀行卡的操作流程
• CIDR 細述無類別域間路由技術(shù)
• 布偶貓公母的區(qū)別
• 雪燕和燕窩的區(qū)別是什么
• 辯證唯物主義和舊唯物主義的區(qū)別辯證唯物主義和舊唯物主義的區(qū)別在于
• 榮耀20pro防水級別
• 路由器和交換機的區(qū)別
• iphone11三個版本區(qū)別