Cisco交換機解決網絡蠕蟲病毒入侵

　　今年來網絡蠕蟲泛濫給ISP和企業都造成了巨大損失，截至目前已發現近百萬種病毒及木馬。受感染的網絡基礎設施遭到破壞，以Sql Slammer為例，它發作時會造成丟包率為30%。

　　我們如何在LAN上防范蠕蟲？大家知道，接入交換機遍布於每個配電間，我們不可能在每個接入交換機上都部署IDS,如何在三成交換的核心部署IDS,對於匯集了接入層的所有電腦的流量來說,工作在第七層軟件的IDS無法處理海量數據.這樣監控 不現實.經過長期研究利用cisco catalyst交換機的安全特性和netflow就可以發現可以流量.蠕蟲的特性就是發作時會稍描大量的IP,從而產生大量的TCP,ICMP,UPD 流量.

　　這裡的netflow和傳統的IDS的一個主要區別是不包含高程信息.一邊硬件高速處理.我把netflow部署在cisco 4006上.所以netflow不能對ip packets作深度分析,但足夠發現蠕蟲了.例如,一個正常用戶有50-150的活動連接就可以接受,如果一個用戶發起大量( >1000個)活動流就肯定有問題.通過分析我們可以發現原地址,但通過源地址還不足以定位源頭.

　　比如我們要知道登陸的端口,登陸的用戶等信息.我們可以用netflow捕捉可以流量並導向網絡分儀.catalyst繼承了安全特性提供了基於身份的網絡服務IBNS,源IP防護,動態ARP檢測等功能.再結合ACS還可以定位登陸用戶的信息在netflow collector上編寫個script,當發現可以流量時候就以email的方式發給管理員,並push到手機上.

　　掌握了以上信息administrator 就可以馬上采取以下行動:通過SPAN捕捉可以流量,將接入層的某交換機的某端口,或某VLAN的流量鏡像到核心層的某個端口(接IDS)來.作為個有經驗的網絡工程師這些操作也就5分鐘搞定了.

　　作者：kaduo

　　【賽迪網-IT技術報道】Win32/Cutwail.GC是一種帶有rootkit功能的特洛伊病毒，能夠修改系統的winlogon.exe文件。它可能用來下載並運行任意文件，將它們保存到磁盤或者注入其它的程序。

　　Win32.Cutwail.GC 病毒特征

　　病毒名稱：Win32.Cutwail.GC

　　瘋狂性：低

　　破壞性：中

　　普及度：中

　　Win32.Cutwail.GC 病毒描述

　　Win32/Cutwail.GC是一種帶有rootkit功能的特洛伊病毒，能夠修改系統的winlogon.exe文件。它可能用來下載並運行任意文件，將它們保存到磁盤或者注入其它的程序。同時，這些文件被用來發送大量的郵件和更新Cutwail的最新變體。

　　Cutwail運行時生成%Windows%/System32/main.sys文件。

　　Win32.Cutwail.GC 病毒危害

　　下載並運行任意文件；

　　發送大量的郵件；

　　Rootkit 功能。

　　建議：

　　不要隨意運行exe文件；

　　設置強壯的管理員賬號。

　　“KILL”提示大家：

　　1.不要隨意運行郵件的附件，尤其是英文郵件。

　　2.最好及時升級病毒代碼庫。

　　3.建議企業級用戶使用網關型產品。

　　4.關閉共享目錄並為管理員賬戶設置強口令，不要將管理員口令設置為空或過於簡單的密碼。

　　(責任編輯:董建偉)

　　作者：左邊

　　【賽迪網-IT技術報道】據外電消息，日前，一種通過發布有關北京奧運會虛假信息的郵件來傳播新型網絡病毒，正在席卷全球。報道中寫道，一封號稱內容有關“北京奧運會可能因四川大地震取消和延遲”的電子郵件成為了“新型蠕蟲惡意攻擊程序”的源頭，這些郵件內都號稱提供了一個有關上述“新聞”的視頻地址鏈接，但點擊該鏈接後就變為一個名為“Beijing”的程序下載，該程序就包含著木馬病毒。

　　看來惡意傳播病毒的黑客已經蓄謀已久，而且在實際操作中也是“用心良苦”。八月的北京世界矚目，八月的北京也異彩紛呈，這些惡意的人們也是想通過這樣的一個可以讓世界認識自己的大好時機來一舉成名，如果是這樣以善良的名義作惡事，那這樣的方式只會徒留遺憾，留下千古恨。

　　(責任編輯：董建偉)