cisco交換機安全大講堂：破解沖擊波病毒和紅色代碼，了解基本的病毒原理，對cisco交換機安全就會有很好的防范意識。簡單的安全措施也會得到相應(yīng)的關(guān)注，在今天的網(wǎng)絡(luò)世界里，安全是至關(guān)重要的。

隨著網(wǎng)絡(luò)給人們的生活帶來巨大的收益，人們也正逐漸遭受網(wǎng)絡(luò)病毒帶來的侵害之苦，網(wǎng)絡(luò)動蕩、網(wǎng)絡(luò)癱瘓。病毒有很多種，根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)型病毒，文件型病毒，引導(dǎo)型病毒等。文件型病毒和引導(dǎo)型病毒一般不影響網(wǎng)絡(luò)運行，但將造成用戶計算機文件系統(tǒng)的受損或丟失，對于用戶來說表象非常明顯。

然而對網(wǎng)絡(luò)型病毒，其通過網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的計算機，使網(wǎng)絡(luò)無法正常使用，一般不會對計算機用戶本身造成破壞，用戶通常不會感覺到機器中毒，只是感覺上網(wǎng)異?；虬c瘓，而這網(wǎng)絡(luò)異常往往被用戶誤解為物理網(wǎng)絡(luò)質(zhì)量問題，因此產(chǎn)生的諸多抱怨是免不了的，例如最近肆虐的沖擊波病毒。

當網(wǎng)絡(luò)病毒肆虐時，最可憐的應(yīng)該是我們網(wǎng)絡(luò)系統(tǒng)維護人員，他們變成了用戶的出氣筒，每天面對被打爆的投訴電話和用戶無情的聲討，卻無能為力，這種委屈實在有口難辯，因為確認誰家的機器中毒是非常困難的。

只能告訴每個投訴用戶自己去殺毒，然而投訴用戶的主機不一定是中毒主機，同時駐地網(wǎng)很多用戶對網(wǎng)絡(luò)知識了解非常少，這種解釋對憤怒的用戶來說是無法容忍的，一般被他們認為是推卸責任和無能的表現(xiàn)。讓我們先來了解一下最常見的兩種網(wǎng)絡(luò)病毒：

cisco交換機安全：熟悉沖擊波病毒

沖擊波病毒（Wrom.MSBlast.6176，原名爆破工）自從被瑞星全球反病毒監(jiān)測網(wǎng)于8月12日首次截獲開始，已經(jīng)在國內(nèi)造成了大范圍影響，雖然各大殺毒軟件公司都已推出專門的升級軟件包，但仍有許多疏于防范的用戶電腦不斷在遭受攻擊。

目前該病毒仍以每小時感染3萬個系統(tǒng)的速度蔓延。預(yù)計該病毒將會在全球范圍內(nèi)造成12億美元的經(jīng)濟損失。 該病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計算機，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常。

具體表現(xiàn)有，彈出RPC服務(wù)終止的對話框、系統(tǒng)反復(fù)重啟、不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴重影響，DNS和IIS服務(wù)遭到非法拒絕服務(wù)等等，從而使整個網(wǎng)絡(luò)系統(tǒng)幾近癱瘓。另外，該病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。

可以看到，該病毒是利用微軟操作系統(tǒng)的RPC（遠程進程調(diào)用）漏洞進行快速傳播的。RPC是微軟發(fā)明的一個專門用戶互聯(lián)網(wǎng)遠程服務(wù)的協(xié)議，該協(xié)議是建立在TCP/IP上的一個應(yīng)用。我們知道IP網(wǎng)上的應(yīng)用協(xié)議都必須借助TCP/UDP端口號才能提供服務(wù)，RPC的TCP端口號是135。

請大家記住這個端口號，因為就是135這個漏洞造成了全球12億美元的經(jīng)濟損失！ 攻擊者正是通過編程方式來尋求利用此漏洞，在一臺與易受影響的服務(wù)器通信的并能夠通過TCP 端口135的計算機上，發(fā)送特定類型的、格式錯誤的RPC 消息。

接收此類消息會導(dǎo)致易受影響的計算機上的RPC 服務(wù)出現(xiàn)問題，進而使任意代碼得以執(zhí)行。接著病毒就會修改注冊表，截獲郵件地址信息，一邊破壞本地機器一邊通過EMAIL形式在互聯(lián)網(wǎng)上傳播。同時，病毒會在TCP的端口4444創(chuàng)建cmd.exe，并監(jiān)聽UDP端口69，當有服務(wù)請求，就 發(fā)送Msblast.exe文件。

cisco交換機安全：揭秘紅色代碼

紅色代碼（Red Code）是一種蠕蟲病毒，感染運行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000、IIS中啟用了Indexing Service（索引服務(wù)）的系統(tǒng)。該蠕蟲利用了一個緩沖區(qū)溢出漏洞進行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變的不安全）。

蠕蟲的傳播是通過TCP/IP協(xié)議和端口80，利用上述漏洞蠕蟲將自己作為一個TCP/IP流直接發(fā)送到染毒系統(tǒng)的緩沖區(qū)，蠕蟲依次掃描WEB，以便能夠感染其他的系統(tǒng)。一旦感染了當前的系統(tǒng)，蠕蟲會檢測硬盤中是否存在c:\notworm，如果該文件存在，蠕蟲將停止感染其他主機。與其它病毒不同的是，Code Red并不將病毒信息寫入被攻擊服務(wù)器的硬盤。

它只是駐留在被攻擊服務(wù)器的內(nèi)存中，并借助這個服務(wù)器的網(wǎng)絡(luò)連接攻擊其它的服務(wù)器。Code Red蠕蟲能夠迅速傳播，并造成網(wǎng)絡(luò)大范圍的訪問速度下降甚至阻斷。"紅色代碼"蠕蟲造成的破壞主要是涂改網(wǎng)頁,對網(wǎng)絡(luò)上的其它服務(wù)器進行攻擊，被攻擊的服務(wù)器又可以繼續(xù)攻擊其它服務(wù)器。

針對這些病毒的具體情況XINGNET的智能安全三層交換機的防病毒功能完全可以解決用戶對以上病毒的安全擔憂。另一方面，網(wǎng)絡(luò)防火墻一般放在內(nèi)部網(wǎng)的出口，更多的作用是外部網(wǎng)絡(luò)的入侵防護，其對內(nèi)部網(wǎng)絡(luò)的控制非常有限，尤其是對內(nèi)部網(wǎng)絡(luò)的合法攻擊者，這些技術(shù)經(jīng)常束手無策。

而對于一個內(nèi)部被病毒弄得擁塞不堪的網(wǎng)絡(luò)，其對外防護再好也是沒任何意義的。目前很多的被動式的防范技術(shù)很難有效解決內(nèi)部網(wǎng)絡(luò)的安全問題。如防火墻，反查找能力比較薄弱，它只簡單地記錄cisco交換機安全活動狀態(tài)。

而三層交換機作為用戶最近的智能接入點，與防火墻相比，更深入到網(wǎng)絡(luò)基層，在這個層面上進行網(wǎng)絡(luò)的控制更容易，更有效，成本更低。在內(nèi)亂發(fā)生時，能有效地控制影響范圍，準確定位出亂源頭。

所以XINGNET智能安全三層交換機并不是簡單的通過配置交換機的訪問控制列表（ACL）來實現(xiàn)病毒的阻斷，而是具有發(fā)現(xiàn)和追蹤病毒來源的能力，能準確地發(fā)現(xiàn)被感染的計算機，并采取相應(yīng)措施，準確查找出病毒的來源，并能給出病毒源名單日志。

如同防火墻一樣，只要網(wǎng)絡(luò)管理員在交換機上配置好安全防護策略，病毒攻擊便被扼殺在搖籃中，跟本無法形成攻擊狂潮。網(wǎng)絡(luò)維護人員再也不用遭受這種莫大的委屈，完全可以高枕無憂了。

cisco交換機安全還具有包頭字節(jié)的解析能力，可以分析每個數(shù)據(jù)報文特征，一旦發(fā)現(xiàn)策略病毒特征的報文，立刻阻斷，同時記錄病毒源，并動態(tài)阻斷病毒源指定的時間。病毒防范策略是一種可以根據(jù)用戶配置的病毒參數(shù)來阻斷病毒。

進而暫時阻斷發(fā)送病毒的主機的策略，它可以分為基本策略和超級策略兩種?；静呗允欠婪兑訲CP/UDP方式來承載的報文，大部分病毒數(shù)據(jù)報都是這種方式；超級策略可以對不具有TCP/UDP特征的病毒報文進行控制。