系統 - 巧利用Iris來查找蠕蟲病毒

[psac]

巧利用Iris來查找蠕蟲病毒

近些年，蠕蟲病毒的每一次大規模爆發，都給網路世界帶來了深重的災害。蠕蟲病毒有著很強的破壞性，一個局域網中只要有一台電腦感染了蠕蟲病毒，就有可能引起網路性能下降、網路阻塞，嚴重的還會導致網路癱瘓。對於蠕蟲病毒的檢測，普通用戶通常通過更新殺毒軟件的病毒庫，來判斷電腦是否感染了蠕蟲病毒；但作為局域網的管理者，是否有必要親自去更新每台電腦的病毒庫呢？況且即使更新了殺毒軟件的病毒庫，也未必一定能檢測出最新的蠕蟲病毒。下面筆者向大家推薦一個叫Iris軟件，它是網路管理員的好幫手，能快速有效地查找出網路中的蠕蟲病毒。

　　W32.Sasser(「震盪波」)系列病毒是一種利用微軟操作系統的Lsass緩衝區溢出漏洞(MS04-011)進行傳播的蠕蟲病毒。由於該蠕蟲在傳播過程中會發起大量的掃瞄，因此對網路執行會造成很大的衝擊。W32.Sasser.B.Worm(以下簡稱Sasser.B蠕蟲)是該系列的一個變種，此病毒通過在已被感染的機器上開啟TCP連接阜5554建立FTP服務器，並通過445連接阜掃瞄隨機的IP，向連接成功的機器發動攻擊，進一步感染其它機器。受感染的系統會出現倒計時交談視窗，頻繁重新啟動，系統執行速度明顯減慢或死機，上網只能持續很短時間就無法瀏覽網頁等現象。

　　想快速檢測是否感染此病毒可以通過如下操作：

　　在命令狀態下輸入「netstat -an」命令。如果出現類似如圖1所示的清單，則說明已經感染。



　　從上圖中我們可以獲得以下訊息：Sasser.B蠕蟲在445連接阜的狀態(State)不是監聽(Listening)，也不是建立(Established)，而是等待連接(SYN_SENT)，且它要求等待連接的地址都是隨機產生的地址，根本無法到達，所以當這些要求連接的資料包傳送到交換設備後，由於目的地址不可能到達，很容易造成大量資料駐留，從而引起網路癱瘓。

　　利用Iris檢測SasserB蠕蟲，具體步驟如下:

　　在做代理或者地址轉換的主機上安裝Iris軟件

　　Sasser.B蠕蟲所發送的資料包並不是廣播包，而是有明確目的地址。這些資料包直接經過代理或者地址轉換尋找目的地址，並非像ARP廣播包一樣發送到局域網中的每一台主機。所以我們說，Iris軟件只能安裝在做代理或者地址轉換的主機。

　　啟動Iris軟件進行連接阜設置

　　選擇「Filter」下拉表菜單下的「Edit Filter」命令，在彈出的「Edit filter settings」交談視窗中，選擇左邊框架中「Ports」命令，把445連接阜作為連接阜過濾對象。Sasser.B蠕蟲病毒試圖通過445連接阜建立資料連接，並非其他連接阜，所以只要對445連接阜進行監控即可。具體如圖2所示。



　　捕獲資料分析資料

　　選擇工具欄上「開始」命令按鈕，開始捕獲資料。

　　從捕獲到的資料中我們可以獲知：一台IP地址為10.44.5.73的主機在短時間內通過連接阜445向目的地址發送大量資料包，並且這些目的地址都是隨機產生的，是不可到達的。

　　隨著時間的積累，大量資料包因找不到目的地址，很容易駐留在交換設備中，引起網路阻塞。若出現上述情況，我們就可以斷定該主機中了Sasser.B蠕蟲病毒。

　　上面的實例詳細說明了Iris軟件的使用方法，當然Iris軟件中還有很多功能，比如統計功能，日誌功能等，對蠕蟲病毒的監測也很有幫助。

　　雖然蠕蟲病毒在互連網上大肆氾濫，給人們帶來了很大的損失，但只要我們提高網路安全管理的水平，增強用戶的安全意識，就一定能把損失降到最低。