SQL蠕蟲一直是讓企業(yè)網(wǎng)絡(luò)管理人員很頭疼的問題，許多時候如果通過Etherpeek針對端口1433、1434抓包會發(fā)現(xiàn)，很多用戶電腦上面并沒有安裝SQL服務(wù)器，但是仍能監(jiān)測有蠕蟲通過1433端口向外面大量發(fā)包。一般來說微軟的桌面數(shù)據(jù)庫MSDE也有可能感染該蠕蟲。

看看SQLsnake蠕蟲，也叫Spida及Digispid，***露面以來，就一直在掃描成千上萬臺與Internet相連的電腦系統(tǒng)的1433端口，企圖尋找運行微軟SQL且沒有在系統(tǒng)管理員賬號上設(shè)置適當(dāng)密碼的系統(tǒng)。還存在另外一種病毒，即使并沒有安裝數(shù)據(jù)庫的PC也會感染。這個時候客戶端PC如果沒有辦法解決的話，就只能從網(wǎng)絡(luò)層進行防護了。

一般來說UDP端口1434都是用來做偵聽的，可以在網(wǎng)絡(luò)設(shè)備上過濾掉UDP1434；而TCP端口1433是SQL服務(wù)器正常通信需要的端口，并不能全網(wǎng)過濾掉。

但是一般來說，跨網(wǎng)段的數(shù)據(jù)庫很少，這樣，我們可以開放有數(shù)據(jù)庫的網(wǎng)段的1433端口，然后再過濾全網(wǎng)的1433，這樣減少了故障處理點，也達到了目的。

看看下面的ACL，核心三層交換機S8016針對1433、1434所做的ACL，其他設(shè)備類似。

注：全網(wǎng)封UDP 1434，開放10.145.7.0網(wǎng)段的TCP端口1433。

rule-map intervlan rule72 tcp  any  any   eq 1433
rule-map intervlan rule73 tcp  any  any  eq 1434
rule-map intervlan rule69 tcp  any  10.145.7.0 0.0.0.255  eq 1433
eacl acl-jxic rule69 permit priority 34083
eacl acl-jxic rule72 deny priority 34088
eacl acl-jxic rule73 deny priority 34090

之后用Etherpeek抓包一看，SQL蠕蟲沒有了，設(shè)備也沒有告警，大功告成！