四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法文档格式.docx

四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法文档格式.docx

《四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法文档格式.docx》由会员分享，可在线阅读，更多相关《四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法文档格式.docx（12页珍藏版）》请在冰豆网上搜索。

　　2、大量消耗系统资源，导致windows操作系统速度极慢；

　　3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。

造成局域网内所有人网速变慢直至无法上网。

局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，以查找其他开放了这些端口的主机进行传播，常见的端口有：

TCP135端口（常见）；

TCP139端口（常见）；

TCP445端口（常见）；

TCP1025端口（常见）；

TCP4444端口；

TCP5554端口；

TCP9996端口；

UDP69端口……

【快速查找】

在WebUI&

#61664;

上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

1、协议为TCP，外网端口为135/139/445/1025/4444/5554/9996等；

2、会话中该主机有上传包，下载包往往很小或者为0。

【解决办法】

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。

2、在安全网关上关闭该病毒向外发包的相关端口。

1）WebUI&

高级配置&

组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：

这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP地址段指定。

2）WebUI&

业务管理&

业务策略配置，建立策略“f_445”（可以自定义名称），屏蔽目的端口为TCP445的数据包，按照下图进行配置，保存。

3）WebUI&

业务策略列表中，可以查看到上一步建立的“f_445”的策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。

4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允许”，保存。

5）重复步骤2），将其他冲击波/震荡波端口TCP135/139/445/1025/4444/5554/9996等关闭。

6）WebUI&

全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置之前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，已经有工作组存在，并且在业务管理中配置了策略，必须在WebUI&

组管理中，将该网段所有用户分配在相关的组中，然后在WebUI&

业务管理中将每个组的相关端口关闭。

3）某些冲击波/震荡波病毒的变种，攻击外网固定IP地址的TCP80端口，如果关闭此端口，将导致用户无法正常Web浏览。

此时可以将其攻击的外网地址关闭。

如下图，在步骤2.2）中建立策略关闭内网用户到外网地址218.1.1.1/32的访问。

4）某些冲击波/震荡波病毒的变种，随机攻击外网地址的TCP80端口，如果关闭此端口，将导致用户无法正常Web浏览。

此时可以将该主机关闭。

如下图，在步骤2.2）中建立策略关闭内网中毒主机192.168.0.100对外网的访问。

2.SQL蠕虫病毒

SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQLServerTCP1433或者UDP1434端口，它会试图在SQLServer系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQLService帐号威胁远程系统。

此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。

它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。

中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。

1、协议为TCP，外网端口为1433；

协议为UDP，外网端口为1434；

2、会话中有上传包，下载包往往很小或者为0。

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQLServer的补丁。

2、在安全网关上关闭该病毒的相关端口。

业务策略配置，建立策略“f_1433”（可以自定义名称），屏蔽目的端口为TCP1433的数据包，按照下图进行配置，保存。

业务策略列表中，可以查看到上一步建立的“f_1433”策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。

5）重复步骤2），将SQL蠕虫其他的端口如：

UDP1434端口关闭。

1）配置前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

业务管理中将这些组的相关端口关闭。

3）如果内网有人确实需要使用外部的SQL服务，2.2）步骤会屏蔽内网所有向外请求的SQL服务，此时，可以只将内网中毒主机（假设192.168.0.100/24）的向外网的TCP1433端口关闭，2.2）步骤作如下操作：

3.伪造源地址DDoS攻击

【故障现象】伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCPSYN报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。

【快速查找】在WebUI&

系统状态&

NAT统计&

NAT状态，可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户：

用户统计&

用户统计信息，可以看到安全网关接收到某用户（192.168.0.67/24）发送的海量的数据包，但是安全网关发向该用户的数据包很小，依此判断该用户可能在做伪造源地址攻击：

1、将中病毒的主机从内网断开，杀毒。

2、在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的TCP连接：

组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP1--192.168.0.254）。

业务策略配置，建立策略“pemit”（可以自定义名称），允许“all工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照下图进行配置，保存。

全局配置中，取消“允许其他用户”的选中，选中“启用业务管理