随着网络给人们的生活带来巨大的收益,人们也正逐渐遭受网络病毒带来的侵害之苦,网络动荡、网络瘫痪。。。。。。
病毒有很多种,根据病毒存在的媒体,病毒可以划分为网络型病毒,文件型病毒,引导型病毒等。文件型病毒和引导型病毒一般不影响网络运行,但将造成用户计算机文件系统的受损或丢失,对于用户来说表象非常明显。 然而对网络型病毒,其通过网络传播感染网络中的计算机,使网络无法正常使用,一般不会对计算机用户本身造成破坏,用户通常不会感觉到机器中毒,只是感觉上网异常或瘫痪,而这网络异常往往被用户误解为物理网络质量问题,因此产生的诸多抱怨是免不了的,例如最近肆虐的冲击波病毒。
当网络病毒肆虐时,最可怜的应该是我们网络系统维护人员,他们变成了用户的出气筒,天天面对被打爆的投诉电话和用户无情的声讨,却无能为力,这种委屈实在有口难辩,因为确认谁家的机器中毒是非常困难的。只能告诉每个投诉用户自己去杀毒,然而投诉用户的主机不一定是中毒主机,同时驻地网很多用户对网络知识了解非常少,这种解释对愤怒的用户来说是无法容忍的,一般被他们认为是推卸责任和无能的表现。
让我们先来了解一下最常见的两种网络病毒:
1.冲击波病毒
冲击波病毒(Wrom.MSBlast.6176,原名爆破工)自从被瑞星全球反病毒监测网于8月12日首次截获开始,已经在国内造成了大范围影响,虽然各大杀毒软件公司都已推出专门的升级软件包,但仍有许多疏于防范的用户电脑不断在遭受攻击。目前该病毒仍以每小时感染3万个系统的速度蔓延。预计该病毒将会在全球范围内造成12亿美元的经济损失。 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常。具体表现有,弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝服务等等,从而使整个网络系统几近瘫痪。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。
可以看到,该病毒是利用微软操作系统的RPC(远程进程调用)漏洞进行快速传播的。RPC是微软发明的一个专门用户互联网远程服务的协议,该协议是建立在TCP/IP上的一个应用。我们知道IP网上的应用协议都必须借助TCP/UDP端口号才能提供服务,RPC的TCP端口号是135。 请大家记住这个端口号,因为就是135这个漏洞造成了全球12亿美元的经济损失! 攻击者正是通过编程方式来寻求利用此漏洞,在一台与易受影响的服务器通信的并能够通过TCP 端口135的计算机上,发送特定类型的、格式错误的RPC 消息。接收此类消息会导致易受影响的计算机上的RPC 服务出现问题,进而使任意代码得以执行。接着病毒就会修改注册表,截获邮件地址信息,一边破坏本地机器一边通过EMAIL形式在互联网上传播。同时,病毒会在TCP的端口4444创建cmd.exe,并监听UDP端口69,当有服务请求,就 发送Msblast.exe文件。
2.红色代码
红色代码(Red Code)是一种蠕虫病毒,感染运行Microsoft Index Server 2.0的系统,或是在windows 2000、IIS中启用了Indexing Service(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全)。 蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,假如该文件存在,蠕虫将停止感染其他主机。与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。Code Red蠕虫能够迅速传播,并造成网络大范围的访问速度下降甚至阻断。"红色代码"蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。
针对这些病毒的具体情况XINGNET的智能安全三层交换机的防病毒功能完全可以解决用户对以上病毒的安全担忧。如何对付这些病毒,我们通常会想到杀毒软件或者是防火墙。由于这些网络型病毒对于个人主机并没有明显的影响,只是造成上网的异常,同时在现实网络环境中,尤其是在园区网中,用户成分复杂,男女老少,各行各业,很难整洁划一的行动,即使你已经提供给他们杀毒软件,他们都不一定去安装。或许由于历史上我们的网络确实经历了一段脆弱时期,使我们的网络在质量上难以给用户一个非常强的信心,因此,在网络出现问题时,用户第一想一般是把问题归结到网络质量上,而不是自己,是网络运营者的责任,不干他们的事。 另一方面,网络防火墙一般放在内部网的出口,更多的作用是外部网络的入侵防护,其对内部网络的控制非常有限,尤其是对内部网络的合法攻击者,这些技术经常束手无策。而对于一个内部被病毒弄得拥塞不堪的网络,其对外防护再好也是没任何意义的。目前很多的被动式的防范技术很难有效解决内部网络的安全问题。如防火墙,反查找能力比较薄弱,它只简单地记录活动状态。 而三层交换机作为用户最近的智能接入点,与防火墙相比,更深入到网络基层,在这个层面上进行网络的控制更轻易,更有效,成本更低。在内乱发生时,能有效地控制影响范围,准确定位出乱源头。
所以XINGNET智能安全三层交换机并不是简单的通过配置交换机的访问控制列表(ACL)来实现病毒的阻断,而是具有发现和追踪病毒来源的能力,能准确地发现被感染的计算机,并采取相应措施,准确查找出病毒的来源,并能给出病毒源名单日志。如同防火墙一样,只要网络治理员在交换机上配置好安全防护策略,病毒攻击便被扼杀在摇篮中,跟本无法形成攻击狂潮。网络维护人员再也不用遭受这种莫大的委屈,完全可以高枕无忧了。
XINGNET智能交换机还具有包头字节的解析能力,可以分析每个数据报文特征,一旦发现策略病毒特征的报文,马上阻断,同时记录病毒源,并动态阻断病毒源指定的时间。
病毒防范策略是一种可以根据用户配置的病毒参数来阻断病毒,进而暂时阻断发送病毒的主机的策略,它可以分为基本策略和超级策略两种。基本策略是防范以TCP/UDP方式来承载的报文,大部分病毒数据报都是这种方式;超级策略可以对不具有TCP/UDP特征的病毒报文进行控制。