使用安全網關清除蠕蟲

來源:互聯網
上載者:User

自1988年出現第一個蠕蟲以來,電腦蠕蟲以其快速、多樣化的傳播方式不斷給網路世界帶來災害。特別是網路的迅速發展令蠕蟲造成的危害日益嚴重,造成一個談毒色變的的網路世界。

不同於一般的病毒,蠕蟲以電腦為載體,複製自身在互連網環境下進行傳播,蠕蟲的傳染目標是網路上所有電腦――區域網路條件下的共用資料夾、電子郵件E-mail、網路中的惡意網頁、大量存在著漏洞的伺服器等都成為蠕蟲擴散的良好途徑。

首先,掃描:由蠕蟲的掃描功能模組負責探測存在漏洞的主機。隨機選取某一段IP地址,然後對這一位址區段上的主機掃描,掃描程式可能會不斷重複上面這一過程。這樣,隨著蠕蟲的傳播,新感染的主機也開始進行這種掃描,這些掃描程式不知道哪些地址已經被掃描過,它只是簡單的隨機掃描互連網。於是蠕蟲擴散的越廣,網路上的掃描包就越多。即使掃描程式發出的探測包很小,積少成多,大量蠕蟲程式的掃描引起的網路擁塞就非常嚴重了。

其次,攻擊:當蠕蟲掃描到網路中存在的主機後,就開始利用自身的破壞功能擷取主機的管理員權限。最後,利用原主機和新主機的互動將蠕蟲程式複製到新主機並啟動。由此可見,蠕蟲的危害有兩個方面:

一、蠕蟲大量而快速的複製使得網路上的掃描包迅速增多,造成網路擁塞,佔用大量頻寬,從而使得網路癱瘓。

二、網路上存在漏洞的主機被掃描到以後,會被迅速感染,使得管理員權限被竊取。方便駭客的攻擊。

魔高一尺,道高一丈,隨著蠕蟲的快速演變,解毒的的高手也不斷湧現,Tamin盛世網安安全網關就以簡單的“檢測――屏蔽”兩個步驟解決了以上“蟲毒”問題。

首先,使用Tamin盛世網安進行網路檢測:這一步驟需要手工來操作。由於網路中的蠕蟲不斷向外界電腦發出掃描包,這些掃描包是有顯而易見的特點的。例如,被感染的電腦中的蠕蟲會向網路中的某段IP地址發送掃描包,這時蠕蟲需要對外建立大量的會話串連數,所以可以從主機對外建立的會話數來判斷感染蠕蟲的主機。Tamin盛世網安安全網關對於網路所來往發送接收的包都會進行動態檢測與記錄,通過Tamin盛世網安安全網關的WEB管理介面進入防火牆->會話列表,可察看到當前盛世網安安全網關所記錄下來的當前前十名會話數,即當前會話數最多的前10台主機。

主機正常狀態下的平均會話數一般不超出100左右水平,但在受到蠕蟲攻擊時則會數量猛增,Tamin盛世網安安全網關即時地偵測到了這一反常網路特徵被感染的主機的NAT會話數陡然大量增加,由此判定該主機已經被蠕蟲感染。如下圖的19.168.1.50,就是已經被感染蠕蟲。

這種情況下,就要進入第二步,對網路中的主機實施屏蔽。屏蔽的方法是:利用Tamin盛世網安安全網關的訪問規則功能,建立相應的策略,關閉病毒向外發包的連接埠。如下圖,進入TaminOS管理介面->防火牆->訪問規則->新增,增加規則對主機19.168.1.50實行屏蔽。屏蔽主機之後,採取殺毒措施或者安裝相應的補丁程式。這樣,就輕鬆消滅了蠕蟲。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。