文/沈科進
近些年,蠕蟲病毒的每一次大規模爆發,都給網絡世界帶來了深重的災害。蠕蟲病毒有著很強的破壞性,一個局域網中只要有一台電腦感染了蠕蟲病毒,就有可能引起網絡性能下降、網絡阻塞,嚴重的還會導致網絡癱瘓。對於蠕蟲病毒的檢測,普通用戶通常通過更新殺毒軟件的病毒庫,來判斷電腦是否感染了蠕蟲病毒;但作為局域網的管理者,是否有必要親自去更新每台電腦的病毒庫呢?況且即使更新了殺毒軟件的病毒庫,也未必一定能檢測出最新的蠕蟲病毒。下面筆者向大家推薦一個叫Iris軟件,它是網絡管理員的好幫手,能快速有效地查找出網絡中的蠕蟲病毒。
W32.Sasser(“震蕩波”)系列病毒是一種利用微軟操作系統的Lsass緩沖區溢出漏洞(MS04-011)進行傳播的蠕蟲病毒。由於該蠕蟲在傳播過程中會發起大量的掃描,因此對網絡運行會造成很大的沖擊。W32.Sasser.B.Worm(以下簡稱Sasser.B蠕蟲)是該系列的一個變種,此病毒通過在已被感染的機器上開啟TCP端口5554建立FTP服務器,並通過445端口掃描隨機的IP,向連接成功的機器發動攻擊,進一步感染其它機器。受感染的系統會出現倒計時對話框,頻繁重新啟動,系統運行速度明顯減慢或死機,上網只能持續很短時間就無法浏覽網頁等現象。
想快速檢測是否感染此病毒可以通過如下操作:
在命令狀態下輸入“netstat -an”命令。如果出現類似如圖1所示的清單,則說明已經感染。
圖1
從上圖中我們可以獲得以下信息:Sasser.B蠕蟲在445端口的狀態(State)不是監聽(Listening),也不是建立(Established),而是等待連接(SYN_SENT),且它要求等待連接的地址都是隨機產生的地址,根本無法到達,所以當這些要求連接的數據包傳送到交換設備後,由於目的地址不可能到達,很容易造成大量數據駐留,從而引起網絡癱瘓。
利用Iris檢測SasserB蠕蟲,具體步驟如下:
在做代理或者地址轉換的主機上安裝Iris軟件
Sasser.B蠕蟲所發送的數據包並不是廣播包,而是有明確目的地址。這些數據包直接經過代理或者地址轉換尋找目的地址,並非像ARP廣播包一樣發送到局域網中的每一台主機。所以我們說,Iris軟件只能安裝在做代理或者地址轉換的主機。
啟動Iris軟件進行端口設置
選擇“Filter”下拉菜單下的“Edit Filter”命令,在彈出的“Edit filter settings”對話框中,選擇左邊框架中“Ports”命令,把445端口作為端口過濾對象。Sasser.B蠕蟲病毒試圖通過445端口建立數據連接,並非其他端口,所以只要對445端口進行監控即可。具體如圖2所示。
圖2
捕獲數據分析數據
選擇工具欄上“開始”命令按鈕,開始捕獲數據。
從捕獲到的數據中我們可以獲知:一台IP地址為10.44.5.73的主機在短時間內通過端口445向目的地址發送大量數據包,並且這些目的地址都是隨機產生的,是不可到達的。
隨著時間的積累,大量數據包因找不到目的地址,很容易駐留在交換設備中,引起網絡阻塞。若出現上述情況,我們就可以斷定該主機中了Sasser.B蠕蟲病毒。
上面的實例詳細說明了Iris軟件的使用方法,當然Iris軟件中還有很多功能,比如統計功能,日志功能等,對蠕蟲病毒的監測也很有幫助。
雖然蠕蟲病毒在互聯網上大肆泛濫,給人們帶來了很大的損失,但只要我們提高網絡安全管理的水平,增強用戶的安全意識,就一定能把損失降到最低。