您的当前位置:首页正文

四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法

2020-11-11 来源:小奈知识网


四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法

冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗,是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。

这几种病毒发作时,非常消耗局域网和接入设备的资源,造用户上网变得很慢或者不能上网。下面就来介绍一下,怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒,以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。

1.冲击波/震荡波病毒 【故障现象】

感染此类病毒的计算机和网络的共同点: 1、不断重新启动计算机或者莫名其妙的死机;

2、大量消耗系统资源,导致windows操作系统速度极慢;

3、中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。

造成局域网内所有人网速变慢直至无法上网。

局域网的主机在感染冲击波、震荡波及其变种病毒之后,会向外部网络发出大量的数据包,以查找其他开放了这些端口的主机进行传播,常见的端口有: TCP 135端口(常见);TCP 139端口(常见);TCP 445端口(常见);TCP 1025端口(常见);TCP 4444端口;TCP 5554端口;TCP 9996端口;UDP 69端口… … 【快速查找】

在WebUI上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:

1、 协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等; 2、 会话中该主机有上传包,下载包往往很小或者为0。

【解决办法】

1、 将中病毒的主机从内网断开,杀毒,安装微软提供的相关Windows的补丁。 2、 在安全网关上关闭该病毒向外发包的相关端口。

1) WebUI高级配置组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。 注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。

2) WebUI高级配置业务管理业务策略配置,建立策略“f_445”(可以自定义名称),屏蔽目的端口为TCP 445的数据包,按照下图进行配置,保存。

3)

WebUI高级配置业务管理业务策略列表中,可以查看到上一步建立的“f_445”的策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。

4) 在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允许”,保存。

5) 重复步骤

2),将其他冲击波/震荡波端口

TCP

135/139/445/1025/4444/5554/9996等关闭。

6) WebUI高级配置业务管理全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。

3、 注意:

1) 配置之前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2) 如果,已经有工作组存在,并且在业务管理中配置了策略,必须在WebUI高级配置组管理中,将该网段所有用户分配在相关的组中,然后在WebUI高级配置业务管理中将每个组的相关端口关闭。

3) 某些冲击波/震荡波病毒的变种,攻击外网固定IP地址的TCP 80端口,如果关闭此端口,将导致用户无法正常Web浏览。此时可以将其攻击的外网地址关闭。如下图,在步骤2.2)中建立策略关闭内网用户到外网地址218.1.1.1/32的访问。

4) 某些冲击波/震荡波病毒的变种,随机攻击外网地址的TCP 80端口,如果关闭此端口,将导致用户无法正常Web浏览。此时可以将该主机关闭。如下图,在步骤2.2)中建立策略关闭内网中毒主机192.168.0.100对外网的访问。

2.SQL蠕虫病

【故障现象】

SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。

此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。

中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。

【快速查找】

在WebUI上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:

1、协议为TCP,外网端口为1433;协议为UDP,外网端口为1434;

2、会话中有上传包,下载包往往很小或者为0。

【解决办法】

1、 将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQL Server的补丁。

2、 在安全网关上关闭该病毒的相关端口。

1) WebUI高级配置组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。

注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。

2) WebUI高级配置业务管理业务策略配置,建立策略“f_1433”(可以自定义名称),屏蔽目的端口为TCP1433的数据包,按照下图进行配置,保存。

3)

WebUI高级配置业务管理业务策略列表中,可以查看到上一步建立的“f_1433”策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。

4) 在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编

辑为“允许”,保存。

5) 重复步骤2),将SQL蠕虫其他的端口如:UDP 1434端口关闭。

6) WebUI高级配置业务管理全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。

3、 注意:

1) 配置前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2) 如果,已经有工作组存在,并且在业务管理中配置了策略,必须在WebUI高级配置组管理中,将该网段所有用户分配在相关的组中,然后在WebUI高级配置业务管理中将这些组的相关端口关闭。

3) 如果内网有人

确实需要使用外部的SQL服务,2.2)步骤会屏蔽内网所有向外请求的SQL服务,此时,可以只将内网中毒主机(假设192.168.0.100/24)的向外网的TCP 1433端口关闭,2.2)步骤作如下操作:

3.伪造源地址DDoS攻击

【故障现象】伪造源地址攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。

【快速查找】在WebUI系统状态NAT统计NAT状态,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户:

WebUI系统状态用户统计用户统计信息,可以看到安全网关接收到某用户(192.168.0.67/24)发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击:

【解决办法】

1、 将中病毒的主机从内网断开,杀毒。

2、 在安全网关配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接:

1) WebUI高级配置组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP1--192.168.0.254)。

注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。

2) WebUI高级配置业务管理业务策略配置,建立策略“pemit”(可以自定义名称),允许“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照下图进行配置,保存。

3) WebUI高级配置业务管理全局配置中,取消“允许

因篇幅问题不能全部显示,请点此查看更多更全内容