当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 使用安全网关清除蠕虫病毒

杀毒防毒
国内最“臭名昭著”的灰鸽子
杀掉进程的shellcode(netbsd/x86)
解析Java Script木马的攻与防
八大防火墙之较量
MiniBlog 3.0 漏洞
防止黑客入侵的安全设置技巧
堵住木马进入的可疑端口
僵尸网络蠕虫进入路由器
瑞星使用小技巧之主动防御
如何设置NOD32 才能无忧网上冲浪?
如何使用Dr.Web的计划任务功能
教你解除卡巴斯基2009的keylogger警报
Adobe公布Shockwave Player漏洞补丁
Dr.Web杀毒恢复被移动文件的办法
shellcode增加管理员账户开telnet
预防.exe后缀文件夹图标的病毒
微软杀毒软件只公布一天就被迫停止
黑客趁变形金刚热映发布病毒
半个月里有近263万网民感染新型病毒
当心“狂风下载器”暑期作恶

杀毒防毒 中的 使用安全网关清除蠕虫病毒


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 71 ::
收藏到网摘: n/a

  自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界。

  自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界。

  不同于一般的病毒,蠕虫病毒以计算机为载体,复制自身在互联网环境下进行传播,蠕虫病毒的传染目标是网络上所有计算机――局域网条件下的共享文件夹、电子邮件E-mail、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

  首先,扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址,然后对这一地址段上的主机扫描,扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道哪些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。

  其次,攻击:当蠕虫扫描到网络中存在的主机后,就开始利用自身的破坏功能获取主机的管理员权限。最后,利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。由此可见,蠕虫的危害有两个方面:

  一、蠕虫大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪。

  二、网络上存在漏洞的主机被扫描到以后,会被迅速感染,使得管理员权限被窃取。方便黑客的攻击。

  魔高一尺,道高一丈,随着蠕虫的快速演变,解毒的的高手也不断涌现,Tamin盛世网安安全网关就以简单的“检测――屏蔽”两个步骤解决了以上“虫毒”问题。

  首先,使用Tamin盛世网安进行网络检测:这一步骤需要手工来操作。由于网络中的蠕虫病毒不断向外界计算机发出扫描包,这些扫描包是有显而易见的特点的。例如,被感染的计算机中的蠕虫病毒会向网络中的某段IP地址发送扫描包,这时蠕虫病毒需要对外建立大量的会话连接数,所以可以从主机对外建立的会话数来判断感染蠕虫病毒的主机。Tamin盛世网安安全网关对于网络所来往发送接收的包都会进行动态检测与记录,通过Tamin盛世网安安全网关的WEB管理界面进入防火墙->会话列表,可察看到当前盛世网安安全网关所记录下来的当前前十名会话数,即当前会话数最多的前10台主机。

  主机正常状态下的平均会话数一般不超出100左右水平,但在受到蠕虫病毒攻击时则会数量猛增,Tamin盛世网安安全网关即时地侦测到了这一反常网络特征被感染的主机的NAT会话数陡然大量增加,由此判定该主机已经被蠕虫病毒感染。如下图的19.168.1.50,就是已经被感染蠕虫病毒。

  这种情况下,就要进入第二步,对网络中的主机实施屏蔽。屏蔽的方法是:利用Tamin盛世网安安全网关的访问规则功能,建立相应的策略,关闭病毒向外发包的端口。如下图,进入TaminOS管理界面->防火墙->访问规则->新增,增加规则对主机19.168.1.50实行屏蔽。屏蔽主机之后,采取杀毒措施或者安装相应的补丁程序。这样,就轻松消灭了蠕虫病毒。