云南龙网

  1. 首页 > 云知道 > >

Quidway S3500系列交换机防病毒攻略

云知道

摘要:本文描述了目前网络上存在的几种对网络设备危害很大的病毒的攻击原理 , 以及Quidway S3500系列路由交换机的防病毒机制 , 和如何有效地抑止这些病毒的蔓延和对设备、对网络自身保护的方法 。
1、背景
英特网的普及和IP技术的普遍应用正在为世界带来日新月异的变化 。随着IP网络日益深入人们的工作生活并发挥重要作用 , 网络入侵、攻击和病毒案例也日渐频繁 , 给人们带来的很多可见和不可见的损失 。以往的网络攻击和病毒多以PC或者服务器主机为主要攻击对象 , 但现在随着终端用户防病毒意识和能力的日益提高以及病毒制造者技术能力的日益增强 , 象路由器、交换机等网络设备也成为病毒攻击的对象 。在众多的网络病毒攻击当中 , IP地址扫描是最普遍的一种病毒攻击方式 。下面就简要介绍一下几种对部分路由器、交换机等网络设备有较大危害的此类病毒 。
1.1 红色代码(Red Code)病毒
“红色代码”病毒是一种新型网络病毒 , 其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合 , 将网络蠕虫、计算机病毒、木马程序合为一体 , 开创了网络病毒传播的新路 , 可称之为划时代的病毒 。假如稍加改造 , 将是非常致命的病毒 , 可以完全取得所攻破计算机的所有权限为所欲为 , 可以盗走机密数据 , 严重威胁网络安全 。
红色代码病毒采用了恶意IP地址扫描的途径进行自我复制或恶意攻击 。它通过IP扫描发送TCP连接请求 , 对回应的地址进行自我复制 , 这样很多时候一个三层交换机下挂的网络中会存在多个被红码病毒感染的客户端主机 , 这些客户端主机上的红码病毒又会不断的发送IP扫描报文 , 多个感染病毒的客户机发送给交换机大量的IP扫描报文对部分采用精确匹配转发策略的三层交换机是一个严重的考验 。病毒采用随机产生IP地址的方式 , 每个病毒天天能够扫描40万个IP地址 , 搜索未被感染的计算机和设备 , 在寻找到“猎物”后 , 病毒会向寄生虫一样 , 通过自我安装感染服务器 , 一旦在某台服务器中安装成功 , 接下来它就会利用这台服务器 , 搜寻更多的感染目标 , 其传播速度非常惊人 。
1.2 冲击波(MS Blaster)病毒
【Quidway S3500系列交换机防病毒攻略】冲击波病毒是今年8月份在网络上爆发的又一个极其猛烈的蠕虫病毒 。该蠕虫病毒选择目标IP地址的时候会首先选择受感染系统所在子网的IP , 然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机 , 发送的ICMP报文类型为echo , 总大小为92字节 , 数据区为64字节的“0xAA” 。由于发送的ICMP流量很大 , 可导致网络阻塞 。一旦找到存活主机 , 就会尝试用DCOM RPC溢出 。溢出成功后监听本机随机的一个小于1000的TCP端口 , 等待目标主机回连 , 进行病毒复制 。
病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机 , 找到后就利用DCOM RPC缓冲区漏洞攻击该系统 , 一旦攻击成功 , 病毒体将会被传送到对方计算机中进行感染 。
1.3 病毒攻击表现形式和危害
ARP攻击
此类蠕虫病毒会在短时间内向所有子网内主机、以及选择的互联网目标发起大量的ARP解析报文 , 造成“ARP风暴” 。由于现有网络一般的L2 / L3 LAN Switch、Router、BAS设备等对接收到的广播ARP报文都要做解析处理 , 因此 , 在短时间内会大量冲击设备的ARP解析模块 , 造成部分网络设备崩溃 , 或部分网络设备失效 。
ICMP攻击和网络流量攻击
蠕虫的变种 , 部分会发起ICMP选择被攻击主机 , 短时间内会有成千上万个ICMP报文从连接被感染主机的设备端口涌入 , 占据大量的带宽 。

推荐阅读


上一篇:羔羊安全过冬 留意五个方面

下一篇:八千工资扣多少五险一金