云南龙网

  1. 首页 > 云知道 > >

XINGNET 交换机病毒防范保你网络无忧

云知道


随着网络给人们的生活带来巨大的收益,人们也正逐渐遭受网络病毒带来的侵害之苦,网络动荡、网络瘫痪 。。。。。。
病毒有很多种,根据病毒存在的媒体,病毒可以划分为网络型病毒,文件型病毒,引导型病毒等 。文件型病毒和引导型病毒一般不影响网络运行,但将造成用户计算机文件系统的受损或丢失,对于用户来说表象非常明显 。然而对网络型病毒,其通过网络传播感染网络中的计算机,使网络无法正常使用,一般不会对计算机用户本身造成破坏,用户通常不会感觉到机器中毒,只是感觉上网异常或瘫痪,而这网络异常往往被用户误解为物理网络质量问题,因此产生的诸多抱怨是免不了的,例如最近肆虐的冲击波病毒 。
当网络病毒肆虐时,最可怜的应该是我们网络系统维护人员,他们变成了用户的出气筒,天天面对被打爆的投诉电话和用户无情的声讨,却无能为力,这种委屈实在有口难辩,因为确认谁家的机器中毒是非常困难的 。只能告诉每个投诉用户自己去杀毒,然而投诉用户的主机不一定是中毒主机,同时驻地网很多用户对网络知识了解非常少,这种解释对愤怒的用户来说是无法容忍的,一般被他们认为是推卸责任和无能的表现 。
让我们先来了解一下最常见的两种网络病毒:
1.冲击波病毒
冲击波病毒(Wrom.MSBlast.6176,原名爆破工)自从被瑞星全球反病毒监测网于8月12日首次截获开始,已经在国内造成了大范围影响,虽然各大杀毒软件公司都已推出专门的升级软件包,但仍有许多疏于防范的用户电脑不断在遭受攻击 。目前该病毒仍以每小时感染3万个系统的速度蔓延 。预计该病毒将会在全球范围内造成12亿美元的经济损失 。该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常 。具体表现有,弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝服务等等,从而使整个网络系统几近瘫痪 。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统 。
可以看到,该病毒是利用微软操作系统的RPC(远程进程调用)漏洞进行快速传播的 。RPC是微软发明的一个专门用户互联网远程服务的协议,该协议是建立在TCP/IP上的一个应用 。我们知道IP网上的应用协议都必须借助TCP/UDP端口号才能提供服务,RPC的TCP端口号是135 。请大家记住这个端口号,因为就是135这个漏洞造成了全球12亿美元的经济损失! 攻击者正是通过编程方式来寻求利用此漏洞,在一台与易受影响的服务器通信的并能够通过TCP 端口135的计算机上,发送特定类型的、格式错误的RPC 消息 。接收此类消息会导致易受影响的计算机上的RPC 服务出现问题,进而使任意代码得以执行 。接着病毒就会修改注册表,截获邮件地址信息,一边破坏本地机器一边通过EMAIL形式在互联网上传播 。同时,病毒会在TCP的端口4444创建cmd.exe,并监听UDP端口69,当有服务请求,就 发送Msblast.exe文件 。
2.红色代码
红色代码(Red Code)是一种蠕虫病毒,感染运行Microsoft Index Server 2.0的系统,或是在windows 2000、IIS中启用了Indexing Service(索引服务)的系统 。该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全) 。
蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统 。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:notworm,假如该文件存在,蠕虫将停止感染其他主机 。与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘 。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器 。Code Red蠕虫能够迅速传播,并造成网络大范围的访问速度下降甚至阻断 。"红色代码"蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器 。

推荐阅读


上一篇:沟通是信息的什么过程

下一篇:conj是什么词性?