cisco交換機(jī)安全大講堂：破解沖擊波病毒和紅色代碼，了解基本的病毒原理，對(duì)cisco交換機(jī)安全就會(huì)有很好的防范意識(shí)。簡單的安全措施也會(huì)得到相應(yīng)的關(guān)注，在今天的網(wǎng)絡(luò)世界里，安全是至關(guān)重要的。

隨著網(wǎng)絡(luò)給人們的生活帶來巨大的收益，人們也正逐漸遭受網(wǎng)絡(luò)病毒帶來的侵害之苦，網(wǎng)絡(luò)動(dòng)蕩、網(wǎng)絡(luò)癱瘓。病毒有很多種，根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)型病毒，文件型病毒，引導(dǎo)型病毒等。文件型病毒和引導(dǎo)型病毒一般不影響網(wǎng)絡(luò)運(yùn)行，但將造成用戶計(jì)算機(jī)文件系統(tǒng)的受損或丟失，對(duì)于用戶來說表象非常明顯。

然而對(duì)網(wǎng)絡(luò)型病毒，其通過網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的計(jì)算機(jī)，使網(wǎng)絡(luò)無法正常使用，一般不會(huì)對(duì)計(jì)算機(jī)用戶本身造成破壞，用戶通常不會(huì)感覺到機(jī)器中毒，只是感覺上網(wǎng)異常或癱瘓，而這網(wǎng)絡(luò)異常往往被用戶誤解為物理網(wǎng)絡(luò)質(zhì)量問題，因此產(chǎn)生的諸多抱怨是免不了的，例如最近肆虐的沖擊波病毒。

當(dāng)網(wǎng)絡(luò)病毒肆虐時(shí)，最可憐的應(yīng)該是我們網(wǎng)絡(luò)系統(tǒng)維護(hù)人員，他們變成了用戶的出氣筒，每天面對(duì)被打爆的投訴電話和用戶無情的聲討，卻無能為力，這種委屈實(shí)在有口難辯，因?yàn)榇_認(rèn)誰家的機(jī)器中毒是非常困難的。

只能告訴每個(gè)投訴用戶自己去殺毒，然而投訴用戶的主機(jī)不一定是中毒主機(jī)，同時(shí)駐地網(wǎng)很多用戶對(duì)網(wǎng)絡(luò)知識(shí)了解非常少，這種解釋對(duì)憤怒的用戶來說是無法容忍的，一般被他們認(rèn)為是推卸責(zé)任和無能的表現(xiàn)。讓我們先來了解一下最常見的兩種網(wǎng)絡(luò)病毒：

cisco交換機(jī)安全：熟悉沖擊波病毒

沖擊波病毒（Wrom.MSBlast.6176，原名爆破工）自從被瑞星全球反病毒監(jiān)測網(wǎng)于8月12日首次截獲開始，已經(jīng)在國內(nèi)造成了大范圍影響，雖然各大殺毒軟件公司都已推出專門的升級(jí)軟件包，但仍有許多疏于防范的用戶電腦不斷在遭受攻擊。

目前該病毒仍以每小時(shí)感染3萬個(gè)系統(tǒng)的速度蔓延。預(yù)計(jì)該病毒將會(huì)在全球范圍內(nèi)造成12億美元的經(jīng)濟(jì)損失。 該病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常。

具體表現(xiàn)有，彈出RPC服務(wù)終止的對(duì)話框、系統(tǒng)反復(fù)重啟、不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕服務(wù)等等，從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)幾近癱瘓。另外，該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級(jí)系統(tǒng)。

可以看到，該病毒是利用微軟操作系統(tǒng)的RPC（遠(yuǎn)程進(jìn)程調(diào)用）漏洞進(jìn)行快速傳播的。RPC是微軟發(fā)明的一個(gè)專門用戶互聯(lián)網(wǎng)遠(yuǎn)程服務(wù)的協(xié)議，該協(xié)議是建立在TCP/IP上的一個(gè)應(yīng)用。我們知道IP網(wǎng)上的應(yīng)用協(xié)議都必須借助TCP/UDP端口號(hào)才能提供服務(wù)，RPC的TCP端口號(hào)是135。

請(qǐng)大家記住這個(gè)端口號(hào)，因?yàn)榫褪?35這個(gè)漏洞造成了全球12億美元的經(jīng)濟(jì)損失！ 攻擊者正是通過編程方式來尋求利用此漏洞，在一臺(tái)與易受影響的服務(wù)器通信的并能夠通過TCP 端口135的計(jì)算機(jī)上，發(fā)送特定類型的、格式錯(cuò)誤的RPC 消息。

接收此類消息會(huì)導(dǎo)致易受影響的計(jì)算機(jī)上的RPC 服務(wù)出現(xiàn)問題，進(jìn)而使任意代碼得以執(zhí)行。接著病毒就會(huì)修改注冊(cè)表，截獲郵件地址信息，一邊破壞本地機(jī)器一邊通過EMAIL形式在互聯(lián)網(wǎng)上傳播。同時(shí)，病毒會(huì)在TCP的端口4444創(chuàng)建cmd.exe，并監(jiān)聽UDP端口69，當(dāng)有服務(wù)請(qǐng)求，就 發(fā)送Msblast.exe文件。

cisco交換機(jī)安全：揭秘紅色代碼

紅色代碼（Red Code）是一種蠕蟲病毒，感染運(yùn)行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000、IIS中啟用了Indexing Service（索引服務(wù)）的系統(tǒng)。該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變的不安全）。

蠕蟲的傳播是通過TCP/IP協(xié)議和端口80，利用上述漏洞蠕蟲將自己作為一個(gè)TCP/IP流直接發(fā)送到染毒系統(tǒng)的緩沖區(qū)，蠕蟲依次掃描WEB，以便能夠感染其他的系統(tǒng)。一旦感染了當(dāng)前的系統(tǒng)，蠕蟲會(huì)檢測硬盤中是否存在c:\notworm，如果該文件存在，蠕蟲將停止感染其他主機(jī)。與其它病毒不同的是，Code Red并不將病毒信息寫入被攻擊服務(wù)器的硬盤。

它只是駐留在被攻擊服務(wù)器的內(nèi)存中，并借助這個(gè)服務(wù)器的網(wǎng)絡(luò)連接攻擊其它的服務(wù)器。Code Red蠕蟲能夠迅速傳播，并造成網(wǎng)絡(luò)大范圍的訪問速度下降甚至阻斷。"紅色代碼"蠕蟲造成的破壞主要是涂改網(wǎng)頁,對(duì)網(wǎng)絡(luò)上的其它服務(wù)器進(jìn)行攻擊，被攻擊的服務(wù)器又可以繼續(xù)攻擊其它服務(wù)器。

針對(duì)這些病毒的具體情況XINGNET的智能安全三層交換機(jī)的防病毒功能完全可以解決用戶對(duì)以上病毒的安全擔(dān)憂。另一方面，網(wǎng)絡(luò)防火墻一般放在內(nèi)部網(wǎng)的出口，更多的作用是外部網(wǎng)絡(luò)的入侵防護(hù)，其對(duì)內(nèi)部網(wǎng)絡(luò)的控制非常有限，尤其是對(duì)內(nèi)部網(wǎng)絡(luò)的合法攻擊者，這些技術(shù)經(jīng)常束手無策。

而對(duì)于一個(gè)內(nèi)部被病毒弄得擁塞不堪的網(wǎng)絡(luò)，其對(duì)外防護(hù)再好也是沒任何意義的。目前很多的被動(dòng)式的防范技術(shù)很難有效解決內(nèi)部網(wǎng)絡(luò)的安全問題。如防火墻，反查找能力比較薄弱，它只簡單地記錄cisco交換機(jī)安全活動(dòng)狀態(tài)。

而三層交換機(jī)作為用戶最近的智能接入點(diǎn)，與防火墻相比，更深入到網(wǎng)絡(luò)基層，在這個(gè)層面上進(jìn)行網(wǎng)絡(luò)的控制更容易，更有效，成本更低。在內(nèi)亂發(fā)生時(shí)，能有效地控制影響范圍，準(zhǔn)確定位出亂源頭。

所以XINGNET智能安全三層交換機(jī)并不是簡單的通過配置交換機(jī)的訪問控制列表（ACL）來實(shí)現(xiàn)病毒的阻斷，而是具有發(fā)現(xiàn)和追蹤病毒來源的能力，能準(zhǔn)確地發(fā)現(xiàn)被感染的計(jì)算機(jī)，并采取相應(yīng)措施，準(zhǔn)確查找出病毒的來源，并能給出病毒源名單日志。

如同防火墻一樣，只要網(wǎng)絡(luò)管理員在交換機(jī)上配置好安全防護(hù)策略，病毒攻擊便被扼殺在搖籃中，跟本無法形成攻擊狂潮。網(wǎng)絡(luò)維護(hù)人員再也不用遭受這種莫大的委屈，完全可以高枕無憂了。

cisco交換機(jī)安全還具有包頭字節(jié)的解析能力，可以分析每個(gè)數(shù)據(jù)報(bào)文特征，一旦發(fā)現(xiàn)策略病毒特征的報(bào)文，立刻阻斷，同時(shí)記錄病毒源，并動(dòng)態(tài)阻斷病毒源指定的時(shí)間。病毒防范策略是一種可以根據(jù)用戶配置的病毒參數(shù)來阻斷病毒。

進(jìn)而暫時(shí)阻斷發(fā)送病毒的主機(jī)的策略，它可以分為基本策略和超級(jí)策略兩種。基本策略是防范以TCP/UDP方式來承載的報(bào)文，大部分病毒數(shù)據(jù)報(bào)都是這種方式；超級(jí)策略可以對(duì)不具有TCP/UDP特征的病毒報(bào)文進(jìn)行控制。