|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-06-26, 06:05 AM | #1 |
榮譽會員
|
系統 - 巧利用Iris來查找蠕蟲病毒
巧利用Iris來查找蠕蟲病毒
近些年,蠕蟲病毒的每一次大規模爆發,都給網路世界帶來了深重的災害。蠕蟲病毒有著很強的破壞性,一個局域網中只要有一台電腦感染了蠕蟲病毒,就有可能引起網路性能下降、網路阻塞,嚴重的還會導致網路癱瘓。對於蠕蟲病毒的檢測,普通用戶通常通過更新殺毒軟件的病毒庫,來判斷電腦是否感染了蠕蟲病毒;但作為局域網的管理者,是否有必要親自去更新每台電腦的病毒庫呢?況且即使更新了殺毒軟件的病毒庫,也未必一定能檢測出最新的蠕蟲病毒。下面筆者向大家推薦一個叫Iris軟件,它是網路管理員的好幫手,能快速有效地查找出網路中的蠕蟲病毒。 W32.Sasser(「震盪波」)系列病毒是一種利用微軟操作系統的Lsass緩衝區溢出漏洞(MS04-011)進行傳播的蠕蟲病毒。由於該蠕蟲在傳播過程中會發起大量的掃瞄,因此對網路執行會造成很大的衝擊。W32.Sasser.B.Worm(以下簡稱Sasser.B蠕蟲)是該系列的一個變種,此病毒通過在已被感染的機器上開啟TCP連接阜5554建立FTP服務器,並通過445連接阜掃瞄隨機的IP,向連接成功的機器發動攻擊,進一步感染其它機器。受感染的系統會出現倒計時交談視窗,頻繁重新啟動,系統執行速度明顯減慢或死機,上網只能持續很短時間就無法瀏覽網頁等現象。 想快速檢測是否感染此病毒可以通過如下操作: 在命令狀態下輸入「netstat -an」命令。如果出現類似如圖1所示的清單,則說明已經感染。 從上圖中我們可以獲得以下訊息:Sasser.B蠕蟲在445連接阜的狀態(State)不是監聽(Listening),也不是建立(Established),而是等待連接(SYN_SENT),且它要求等待連接的地址都是隨機產生的地址,根本無法到達,所以當這些要求連接的資料包傳送到交換設備後,由於目的地址不可能到達,很容易造成大量資料駐留,從而引起網路癱瘓。 利用Iris檢測SasserB蠕蟲,具體步驟如下: 在做代理或者地址轉換的主機上安裝Iris軟件 Sasser.B蠕蟲所發送的資料包並不是廣播包,而是有明確目的地址。這些資料包直接經過代理或者地址轉換尋找目的地址,並非像ARP廣播包一樣發送到局域網中的每一台主機。所以我們說,Iris軟件只能安裝在做代理或者地址轉換的主機。 啟動Iris軟件進行連接阜設置 選擇「Filter」下拉表菜單下的「Edit Filter」命令,在彈出的「Edit filter settings」交談視窗中,選擇左邊框架中「Ports」命令,把445連接阜作為連接阜過濾對象。Sasser.B蠕蟲病毒試圖通過445連接阜建立資料連接,並非其他連接阜,所以只要對445連接阜進行監控即可。具體如圖2所示。 捕獲資料分析資料 選擇工具欄上「開始」命令按鈕,開始捕獲資料。 從捕獲到的資料中我們可以獲知:一台IP地址為10.44.5.73的主機在短時間內通過連接阜445向目的地址發送大量資料包,並且這些目的地址都是隨機產生的,是不可到達的。 隨著時間的積累,大量資料包因找不到目的地址,很容易駐留在交換設備中,引起網路阻塞。若出現上述情況,我們就可以斷定該主機中了Sasser.B蠕蟲病毒。 上面的實例詳細說明了Iris軟件的使用方法,當然Iris軟件中還有很多功能,比如統計功能,日誌功能等,對蠕蟲病毒的監測也很有幫助。 雖然蠕蟲病毒在互連網上大肆氾濫,給人們帶來了很大的損失,但只要我們提高網路安全管理的水平,增強用戶的安全意識,就一定能把損失降到最低。 |
__________________ |
|
送花文章: 3,
|