快速有效地封杀—巧利用Iris来查找蠕虫病毒(转)

快速有效地封杀—巧利用Iris来查找蠕虫病毒(转)

  近些年,蠕虫病毒的每一次大规模爆发,都给网络世界带来了深重的灾害。蠕虫病毒有着很强的破坏性,一个局域网中只要有一台电脑感染了蠕虫病毒,就有可能引起网络性能下降、网络阻塞,严重的还会导致网络瘫痪。对于蠕虫病毒的检测,普通用户通常通过更新杀毒软件的病毒库,来判断电脑是否感染了蠕虫病毒;但作为局域网的管理者,是否有必要亲自去更新每台电脑的病毒库呢?况且即使更新了杀毒软件的病毒库,也未必一定能检测出最新的蠕虫病毒。下面笔者向大家推荐一个叫Iris软件,它是网络管理员的好帮手,能快速有效地查找出网络中的蠕虫病毒。

  W32.Sasser(“震荡波”)系列病毒是一种利用微软操作系统的Lsass缓冲区溢出漏洞(MS04-011)进行传播的蠕虫病毒。由于该蠕虫在传播过程中会发起大量的扫描,因此对网络运行会造成很大的冲击。W32.Sasser.B.Worm(以下简称Sasser.B蠕虫)是该系列的一个变种,此病毒通过在已被感染的机器上开启TCP端口5554建立FTP服务器,并通过445端口扫描随机的IP,向连接成功的机器发动攻击,进一步感染其它机器。受感染的系统会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览网页等现象。

   想快速检测是否感染此病毒可以通过如下操作:

  在命令状态下输入“netstat -an”命令。如果出现类似如图1所示的清单,则说明已经感染。

  

   2004.11.13.14.17.44.01.jpg

  从上图中我们可以获得以下信息:Sasser.B蠕虫在445端口的状态(State)不是监听(Listening),也不是建立(Established),而是等待连接(SYN_SENT),且它要求等待连接的地址都是随机产生的地址,根本无法到达,所以当这些要求连接的数据包传送到交换设备后,由于目的地址不可能到达,很容易造成大量数据驻留,从而引起网络瘫痪。

   利用Iris检测SasserB蠕虫,具体步骤如下:

  在做代理或者地址转换的主机上安装Iris软件

  Sasser.B蠕虫所发送的数据包并不是广播包,而是有明确目的地址。这些数据包直接经过代理或者地址转换寻找目的地址,并非像ARP广播包一样发送到局域网中的每一台主机。所以我们说,Iris软件只能安装在做代理或者地址转换的主机。

   启动Iris软件进行端口设置

  选择“Filter”下拉菜单下的“Edit Filter”命令,在弹出的“Edit filter settings”对话框中,选择左边框架中“Ports”命令,把445端口作为端口过滤对象。Sasser.B蠕虫病毒试图通过445端口建立数据连接,并非其他端口,所以只要对445端口进行监控即可。具体如图2所示。

   2004.11.13.14.17.53.02.jpg

   捕获数据分析数据

  选择工具栏上“开始”命令按钮,开始捕获数据。

  从捕获到的数据中我们可以获知:一台IP地址为10.44.5.73的主机在短时间内通过端口445向目的地址发送大量数据包,并且这些目的地址都是随机产生的,是不可到达的。

  随着时间的积累,大量数据包因找不到目的地址,很容易驻留在交换设备中,引起网络阻塞。若出现上述情况,我们就可以断定该主机中了Sasser.B蠕虫病毒。

  上面的实例详细说明了Iris软件的使用方法,当然Iris软件中还有很多功能,比如统计功能,日志功能等,对蠕虫病毒的监测也很有帮助。

  虽然蠕虫病毒在互联网上大肆泛滥,给人们带来了很大的损失,但只要我们提高网络安全管理的水平,增强用户的安全意识,就一定能把损失降到最低。

  

本文来自:http://www.linuxpk.com/30521.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇: 防病毒必务宝典—计算机病毒专杀进程列表

·下一篇: 让木马无处遁形彻底分析木马加载计算机
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117400/,如需转载,请注明出处,否则将追究法律责任。

user_pic_default.png
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%><%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看
<%}%>
<%}%> <%}%>

转载于:http://blog.itpub.net/14102/viewspace-117400/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值