快速有效地封殺—巧利用Iris來查找蠕蟲病毒

　　文/沈科進

　　近些年，蠕蟲病毒的每一次大規模爆發，都給網絡世界帶來了深重的災害。蠕蟲病毒有著很強的破壞性，一個局域網中只要有一台電腦感染了蠕蟲病毒，就有可能引起網絡性能下降、網絡阻塞，嚴重的還會導致網絡癱瘓。對於蠕蟲病毒的檢測，普通用戶通常通過更新殺毒軟件的病毒庫，來判斷電腦是否感染了蠕蟲病毒；但作為局域網的管理者，是否有必要親自去更新每台電腦的病毒庫呢？況且即使更新了殺毒軟件的病毒庫，也未必一定能檢測出最新的蠕蟲病毒。下面筆者向大家推薦一個叫Iris軟件，它是網絡管理員的好幫手，能快速有效地查找出網絡中的蠕蟲病毒。

　　W32.Sasser(“震蕩波”)系列病毒是一種利用微軟操作系統的Lsass緩沖區溢出漏洞(MS04-011)進行傳播的蠕蟲病毒。由於該蠕蟲在傳播過程中會發起大量的掃描，因此對網絡運行會造成很大的沖擊。W32.Sasser.B.Worm(以下簡稱Sasser.B蠕蟲)是該系列的一個變種，此病毒通過在已被感染的機器上開啟TCP端口5554建立FTP服務器，並通過445端口掃描隨機的IP，向連接成功的機器發動攻擊，進一步感染其它機器。受感染的系統會出現倒計時對話框，頻繁重新啟動，系統運行速度明顯減慢或死機，上網只能持續很短時間就無法浏覽網頁等現象。

　　想快速檢測是否感染此病毒可以通過如下操作：

　　在命令狀態下輸入“netstat -an”命令。如果出現類似如圖1所示的清單，則說明已經感染。

圖1

　　從上圖中我們可以獲得以下信息：Sasser.B蠕蟲在445端口的狀態(State)不是監聽(Listening)，也不是建立(Established)，而是等待連接(SYN_SENT)，且它要求等待連接的地址都是隨機產生的地址，根本無法到達，所以當這些要求連接的數據包傳送到交換設備後，由於目的地址不可能到達，很容易造成大量數據駐留，從而引起網絡癱瘓。

　　利用Iris檢測SasserB蠕蟲，具體步驟如下:

　　在做代理或者地址轉換的主機上安裝Iris軟件

　　Sasser.B蠕蟲所發送的數據包並不是廣播包，而是有明確目的地址。這些數據包直接經過代理或者地址轉換尋找目的地址，並非像ARP廣播包一樣發送到局域網中的每一台主機。所以我們說，Iris軟件只能安裝在做代理或者地址轉換的主機。

　　啟動Iris軟件進行端口設置

　　選擇“Filter”下拉菜單下的“Edit Filter”命令，在彈出的“Edit filter settings”對話框中，選擇左邊框架中“Ports”命令，把445端口作為端口過濾對象。Sasser.B蠕蟲病毒試圖通過445端口建立數據連接，並非其他端口，所以只要對445端口進行監控即可。具體如圖2所示。

圖2

　　捕獲數據分析數據

　　選擇工具欄上“開始”命令按鈕，開始捕獲數據。

　　從捕獲到的數據中我們可以獲知：一台IP地址為10.44.5.73的主機在短時間內通過端口445向目的地址發送大量數據包，並且這些目的地址都是隨機產生的，是不可到達的。

　　隨著時間的積累，大量數據包因找不到目的地址，很容易駐留在交換設備中，引起網絡阻塞。若出現上述情況，我們就可以斷定該主機中了Sasser.B蠕蟲病毒。

　　上面的實例詳細說明了Iris軟件的使用方法，當然Iris軟件中還有很多功能，比如統計功能，日志功能等，對蠕蟲病毒的監測也很有幫助。

　　雖然蠕蟲病毒在互聯網上大肆泛濫，給人們帶來了很大的損失，但只要我們提高網絡安全管理的水平，增強用戶的安全意識，就一定能把損失降到最低。