华为65xx/55xx 交换机防毒 acl

常见蠕虫病毒介绍和常见ACL配置
目前网络蠕虫病毒是当前网络最大的危害，是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒，容易通过防火墙识别出这些被感染的计算机，它具有比较明显的扫描和连接特征，Eudemon防火墙支持黑名单功能，可以通过显示黑名单列表功能直接查看哪些设备可能感染了蠕虫病毒。当然有些BT下载用户，也可能被认为是在扫描被动态加入黑名单，这个还需要具体鉴别。
为了尽量减少蠕虫病毒在网络上的传播，现在常常配置ACL,把已知的蠕虫病毒常用的一些端口给封掉，可参考下面的配置，但需要注意的是，因为有些端口和一些网络游戏的端口是相同的，可能会导致一些游戏玩不起来，因此需要根据情况，把某些端口还是要打开。注意因为配置的ACL规则条数比较多时，例如超过5个，因为Eudemon 防火墙支持高速ACL算法，要注意配置启动ACL加速命令（acl accelate ），这时，无论配置多少ACL，查找ACL速度和ACL条数无关。（Eudemon 200,100支持该命令，500，1000默认就是支持，因此无需单独配置该命令）
rule 5 deny tcp destination-port eq 135
rule 10 deny udp destination-port eq 135
rule 15 deny tcp destination-port eq 139
rule 20 deny udp destination-port eq netbios-ssn
rule 25 deny tcp destination-port eq 445
rule 30 deny udp destination-port eq 445
rule 35 deny tcp destination-port eq 593
rule 40 deny udp destination-port eq 593
rule 45 deny tcp destination-port eq 4444
rule 50 deny tcp destination-port eq 5554
rule 55 deny udp destination-port eq tftp
rule 60 deny udp destination-port eq 1434
rule 65 deny tcp destination-port eq 9996
rule 70 deny tcp destination-port eq 44445
下面抽取几个比较常见的蠕虫病毒进行介绍，

1.1.1 slammer 蠕虫
slammer是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一种蠕虫。该蠕利用MS-SQL的一个漏洞进行传播。（MS-SQL的漏洞信息请参见sql漏洞）由于蠕虫发送大量的udp包，因此会造成网络Dos攻击。

影响版本：

　　SQL Server 2000 RTM
　　SQL Server 2000 SP1
　　SQL Server 2000 SP2
　　Microsoft SQL Desktop Engine Version (MSDE) 2000

详细信息：

　　蠕虫感染一台有漏洞的主机过程如下：

　　1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口

　　2.如果主机的SQL 服务器解析服务（SQL Server Resolution Service）开放并没有安装相应的补丁，蠕虫将利用漏洞覆盖一部分系统内存，以此获得SQL 服务进程所拥有的安全权限。

　　3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生的那些地址中，只要这些地址中存在具有该漏洞的主机均能感染．

蠕虫具有以下特征：

　　1.使用udp协议传播，传播速度快，传播面积广
　　2.蠕虫感染系统后，只驻留内存不在硬盘上写任何文件
　　3.由于发送大量的udp包会产生巨大的网络流量，造成Dos攻击

网络检测方法：
symantec提供了如下的网络检测规则
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation";
content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0;
depth:1;)

本地检测方法：　
微软提供了专门的检测工具，你可以在我们的网站上下载到相关的工具： 检测工具
使用里面的sqlscan你可以扫描出网络上易受slammer感染的主机来。软件内附有详细的使用说明。

网络控制方法：　
你可以在边界路由器上添加以下规则：
access-list 110 deny udp any any eq 1434
本地控制方法：　
为有MS-SQL的机器安装最新的补丁
使用单机防火墙屏蔽udp1434端口
解决方法：　
　　请先确定您的MS-SQL安装了最新补丁，如果没有请尽快安装补丁。如果不及时安装补丁，即便是你有效的清除了该蠕虫也会很快被重新感染。相关的补丁你可以在我们的网站上下载：chs_sql2ksp3

如果确定你的机器已经被感染了slammer蠕虫，请按以下方法操作：
　　1.暂时将本地的MS-SQL服务设为禁用，重新启动机器
　　2.下载相关的补丁到本地并安装
　　3.重新启用本地的MS-SQL服务
1.1.2 W32.Blaster 蠕虫

　　蠕虫名称

　　W32.Blaster.Worm (symantec)
　　W32/Lovsan.worm (McAfee)
　　WORM_MSBLAST.A (Trend Micro)
　　Win32.Posa.Worm (CA)
　　Lovsan (F-secure)
　　CVE参考：CAN-2003-0352
　　BUGTRAQ ID：8205

　　影响系统

　　Microsoft Windows NT 4.0 （包括所有SP补丁版本）
　　Microsoft Windows 2000 （包括所有SP补丁版本）
　　Microsoft Windows XP （包括所有SP补丁版本）
　　Microsoft Windows Server 2003

　　特征描述
　　W32.Blaster是一种利用DCOM RPC漏洞（请参考http://www.microsoft.com/technet/security/ bulletin/ MS03-026.asp）进行传播的蠕虫，传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe，从而导致系统不稳定，并可能造成系统崩溃。它扫描的端口号是TCP/135，攻击成功后它会利用TCP/4444和UDP/69端口下载并运行它的代码程序Msblast.exe。
　　蠕虫感染特征：
　　1、 蠕虫攻击可能导致RPC 服务停止，因此可能引起其他服务（如IIS）不能正常工作；
　　2、 攻击不成功时，可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，无法进入网站页面链接等等；
　　3、 成功溢出时，系统表现为如下特征：
　　* 系统被重启动；
　　* 用netstat 可以看到大量TCP/135端口的扫描；
　　* 系统中出现文件： %Windir%\system32\msblast.exe；
　　* 注册表中出现键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "windows auto update"="msblast.exe"；
　　控制方法

　　如果您不需要使用下面的端口，可以在防火墙或路由器上暂时阻塞下面的端口：

　　 * TCP 4444 蠕虫开设的后门端口，用于远程命令控制
　　* UDP Port 69 用于文件下载
　　* TCP Port 135 蠕虫用以下端口发现有漏洞的系统
　　* TCP Port 137
　　* TCP Port 139

　　如果您使用cisco 路由器，可以用如下访问控制列表来防止蠕虫的扫描和传播（仅作参考）：
　　! 以前的控制规则
　　! …..
　　access-list 110 deny tcp any any eq 135
　　access-list 110 deny tcp any any eq 4444
　　access-list 110 deny udp any any eq 69
　　access-list 110 permit ip any any
　　interface s0
　　ip access-group 110 in
　　检测和删除
　　如果你的计算机感染了蠕虫，可以用下面办法手工删除：
　　1. 检查、并删除文件: %Windir%\system32\msblast.exe
　　2. 打开任务管理器，停止以下进程 msblast.exe .
　　3. 进入注册表（“开始->运行：regedit)， 找到键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
　　4. 给系统打补丁（否则很快被再次感染），补丁下载地址参见下文。
　　5．如果您安装了网络入侵检测系统，请尽快升级检测规则，Symantec公司给出的检测规则如下：
alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \ (msg:"DCE RPC Interface Buffer Overflow Exploit"; \ content:"|00 5C 00 5C|"; \ content:!"|5C|"; within:32; \ flow:to_server,established; \ reference:bugtraq,8205; rev: 1; )讨论 http://bbs.pc51.net

上一篇：常见的病毒名字以及通常传播端口

下一篇：数字证书的基础知识

昵称 (必填)

验证码 (必填)