《病毒爆发导致异常流量的应急》.docx

1、病毒爆发导致异常流量的应急病毒爆发导致异常流量的防范及应急目录1. 病毒爆发导致异常流量的原理和特征 21.1 ARP病毒 21.1.1 ARP病毒的特征 21.1.2 ARP病毒的原理 41.1.3 小结 61.2 蠕虫病毒 61.2.1 蠕虫病毒的特性 61.2.2 蠕虫病毒对网络设备的影响 71.2.3 常见的蠕虫病毒及其爆发现象 71.2.4 小结 82. 防范病毒爆发的方法和应急响应 82.1 ARP病毒的防范 82.1.1 双向静态ARP绑定 82.1.2 网络设备过滤技术：如cisco DAI技术 102.2 ARP病毒的应急响应 102.3 蠕虫病毒的防范 122.3.1 升级

2、操作系统及其自带软件的安全补丁 122.3.2 使用病毒防火墙。 122.3.3 使用邮件监控系统。 122.4 蠕虫病毒的应急响应。 123. 总结 121. 病毒爆发导致异常流量的原理和特征网络病毒是利用网络资源进行传播、破坏的一系列计算机病毒的总称，具有感染速度快、扩散面光、传播形式复杂多样、难于彻底清除、破坏性大、可激发性多样、潜在威胁巨大等特点，一旦爆发会对网络产生极大的影响，可导致网络中断或性能急剧下降等问题。本文基于ARP病毒和蠕虫病毒这两种网络中的常见病毒，分析病毒的特征，提出防范措施和应急处理办法。1.1 ARP病毒ARP地址欺骗类病毒是一类特殊的病毒，该病毒一般属于木马(T

3、rojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的主机向假网关发数据，而不是通过正常的路由器途径上网。主机的现象就是无

4、法上网，或者上网速度非常慢1.1.1 ARP病毒的特征ARP病毒发作时候的特征为，中毒的主机会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。例如：一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp a命令查看：C: arp aInterface: 192.168.100.93 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-50-da-8a-62-2c dynamic192.168.100.23 00-11-2f

5、-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.100.1的实际MAC地址为00-02-ba-0b-04-32，可以判定192.168.100.24为感染病毒的主机，它伪造了192.168.100.1的MAC地址。二、在19

6、2.168.100.24上进入命令提示符(或MS-DOS方式)，用arp a命令查看：C:arp aInterface: 192.168.100.24 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-02-ba-0b-04-32 dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.

7、168.100.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该主机运行速度缓慢，应该为所有流量在二层通过该主机进行转发而导致，该主机重启后所有其他主机都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。三、如果可以登录网关设备，可以用show arp查询arp表信息：Gateway#show arpProtocol Address Age (min) Hardware Addr Type InterfaceInternet 192.168.100.1 - 0002.ba0b.0432 ARPA Etherne

8、t0/0Internet 192.168.100.23 10 0050.da8a.622c ARPA Ethernet0/0Internet 192.168.100.24 10 0050.da8a.622c ARPA Ethernet0/0Internet 192.168.100.25 10 0050.da8a.622c ARPA Ethernet0/0Internet 192.168.100.193 10 0050.da8a.622c ARPA Ethernet0/0Internet 192.168.100.200 10 0050.da8a.622c ARPA Ethernet0/0当病毒发

9、作之前，在网关设备上看到的地址情况如下： Gateway#show arpProtocol Address Age (min) Hardware Addr Type InterfaceInternet 192.168.100.1 - 0002.ba0b.0432 ARPA Ethernet0/0Internet 192.168.100.23 12 0011.2f43.818b ARPA Ethernet0/0Internet 192.168.100.24 25 0050.da8a.622c ARPA Ethernet0/0Internet 192.168.100.25 30 0005.5dff

10、.a887 ARPA Ethernet0/0Internet 192.168.100.193 5 0011.2fb2.9d17 ARPA Ethernet0/0Internet 192.168.100.200 10 0050.bafa.59fe ARPA Ethernet0/0病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。1.1.2 ARP病毒的原理假设一个只有三台主机组成的局域网，该局域网由交换机(Switch)连接。其中一个主机名为A，代表攻击方；一台主机为S，代表源主机，即发送数据的主机；令一台主机为

11、D，代表目的主机，即接收数据的主机。这三台主机的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别为MAC_A，MAC_S，MAC_D。其网络拓扑环境如图1。 图1 网络拓扑正常ARP交互时：当主机S发送数据到主机D时，在主机S内部，已经完成IP数据包的封装，准备封装成以太帧发出。首先，主机S要先查询自身的ARP缓存表，查看里面是否有对应192.168.0 .4 IP地址的ARP条目，并找到其的MAC地址。如果有，就将 IP数据包封装成相应的以太帧直接发送出去。如果没有， S主机会向局域网内发送一个ARP广播包，询问D的MAC地址：“我的IP是

12、192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？” 全局域网的主机都可以收到该ARP广播包，包括A主机和D主机。主机收到ARP广播包后，首先检查该ARP包中被查询的IP地址，和自己的IP地址是否一致，如果不一致则丢弃该ARP包，不予理会。如果一致，则作出回应。A主机应丢弃该ARP广播包，D主机应给予回应。D主机以单播ARP数据包回应S主机：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”，主机S收到ARP单播包回应，得到主机D的硬件地址MAC_D，更新自身的ARP缓存表，将192.168.0.4MAC_D这一条记录

13、添加进去，并封装相应的以太帧发送IP数据包。ARP攻击发生时:当主机S发送ARP广播包时，收到病毒感染的主机A会不停回应ARP单播包： “我的IP地址是192.168.0.4，我的硬件地址是MAC_A”本来主机S已经收到了主机D发送的正确的回应，ARP缓存表中已经保存了正确的记录：192.168.0.4MAC_D，但是由于主机A的不停应答，这时主机S并不知道主机A发送的数据包是伪造的，导致主机S又重新动态更新自身的ARP缓存表，记录成：192.168.0.4MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是主机S要发送给主机D，也就是IP地址为192.168

14、.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机。这就是ARP欺骗的过程。 同理，如果主机A冒充网关，所有局域网访问外网的数据包都会通过主机A，主机A可以监听所有发往外网的数据包。若主机A没有开启路由功能，则所有内部主机都不能访问外网，若主机A开启了路由功能，所有内部主机可以访问外网，但速度非常慢，现象如ARP病毒的特征中所举的例子。1.1.3 小结综上所述，ARP病毒是局域网最常见的一种病毒，主要影响网络资源，不会对被感染主机造成硬件或软件破坏。多用于黑客窃取局域网内传输的信息资源或恶意攻击网络资源，如防范得当，不会对网络造成影响。ARP病毒感染者多为主机，基本不会感染路由器

15、，交换机等网络设备。1.2 蠕虫病毒蠕虫病毒是一类病毒的统称，具有破坏力极强，传播速度极快等特点。蠕虫病毒主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式，象蠕虫一样从一台计算机传染到另一台计算机。因为蠕虫使用多种方式进行传播，所以其的传播速度是非常快。 蠕虫侵入一台主机后，首先获取其他主机的IP地址，然后将自身副本发送给这些主机，蠕虫病毒也使用存储在染毒主机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。1.2.1 蠕虫病毒的特性一般情况下，蠕虫会驻留在内存、系统目录和开机自启动项这二个

16、地方。当蠕虫发作时，有三种破坏现象：阻塞网络、窃取用户资料和破坏操作系统。特点如下1. 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆达”，以及至今依然肆虐的“求职信”等，由于 IE浏览器的漏洞(Ifram ExecCommand)，使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。2. 传播方式多样如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等.

17、3. 病毒制作技术新 与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBscript等技术，可以潜伏在HTML页面里，在上网浏览时触发。4. 与黑客技术相结合潜在的威胁和损失更大。以红色代码为例,感染后的机器的web目录的scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。1.2.2 蠕虫病毒对网络设备的影响蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可能是路由器、交换机

18、的处理能力或者内存资源。需要指出的是，网络中的路由器、交换机已经达到或接近线速，内网带宽往往不收敛，在这种情况下，病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量，因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网络瘫痪。蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导致服务不可用；二是占用CPU资源，导致宕机，红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网

19、络出口堵塞。宕机共分几种情况:一是普通三层交换机都采用流转发模式，也就是将第一个数据包发送到CPU处理，根据其目的地址建流，频繁建流会急剧消耗CPU资源，蠕虫病毒最重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的网络设备是致命的；二是如果网络规划有问题，在Slammer作用下导致大量ARP请求发生，也会耗尽CPU资源。再比如，Slammer病毒拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包）丢失，导致整个网络的路由震荡。类似的情形还有利用交换机安全漏洞对交换机CPU等资源发起的DoS攻击。1.2.3 常见的蠕虫病毒及其爆发现象一. 冲击波/震荡波病毒感染此类病毒的计

20、算机和网络的共同点： 1、不断重新启动计算机或者莫名其妙的死机； 2、大量消耗系统资源，导致windows操作系统速度极慢； 3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，以查找其他开放了这些端口的主机进行传播，常见的端口有： TCP 135端口（常见）；TCP 139端口（常见）；TCP 445端口（常见）；TCP 1025端口（常见）；TCP 4444端口；TCP 5554端口；TCP 9996端口；UDP 69端口。二

21、. SQL蠕虫病毒SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。1.2

22、.4 小结蠕虫病毒，是一类破坏力极强的病毒，爆发过程中会对网络资源造成极大的影响。自身有一定的破坏性，某些蠕虫会对被感染主机的硬件软件造成不可修复的破坏，如震荡波，冲击波，熊猫烧香等等。但这一类病毒基本都以操作系统漏洞来攻击和传播，如能及时更新补丁，可以大大降低蠕虫病毒的破坏性。2. 防范病毒爆发的方法和应急响应2.1 ARP病毒的防范2.1.1 双向静态ARP绑定因为ARP病毒是基于ARP协议的一种攻击病毒，如果能够全网使用静态ARP绑定技术在每个中断主机上静态绑定网关的ARP信息。并在网关设备上绑定所有主机的ARP信息，就能有效的防御ARP攻击。这是最安全的防御方式。即使局域网中有主机感染

23、ARP病毒。病毒所产生的ARP欺骗数据包也会被接收到的主机丢弃。具体方法如下1) 客户端操作：假设网关IP地址为192.168.1.1，MAC地址为11-22-33-44-55-66。在客户端计算机打开记事本，输入内容：“arp s 192.168.1.1 11-22-33-44-55-66”。保存为d:arpstatic.bat，然后在开始菜单的启动组里添加到这个批处理文件的快捷方式就可以实现开机自动绑定网关IP和MAC地址了。2) 网关操作：事先统计好所有客户端的MAC地址，然后在路由器(或三层交换机等)上，把网络内所有IP地址都与对定的MAC地址做静态绑定(未使用的IP地址可与不存在的M

24、AC绑定)。下面以Cisco 2821和H3C AR18-21为例，说明具体操作方法(假设路由器IP 192.168.1.1，网络地址192.168.1.0/24)：Cisco 2821：Cisco2821enCisco2821#conf tCisco2821(config)#arp 192.168.1.2 1122.3344.5566 arpaCisco2821(config)#arp 192.168.1.3 1122.3344.5567 arpaCisco2821(config)#arp 192.168.1.4 1122.3344.5568 arpaCisco2821(config)#ar

25、p 192.168.1.254 1122.3344.5569 arpaCisco2821(config)#endCisco2821#writeH3C AR18-21：sysAR18-21 arp static 192.168.1.2 1122-3344-5566AR18-21 arp static 192.168.1.2 1122-3344-5567AR18-21 arp static 192.168.1.2 1122-3344-5568AR18-21 arp static 192.168.1.254 1122-3344-5569AR18-21 quitsave2.1.2 网络设备过滤技术：如

26、cisco DAI技术cisco的DAI技术：思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，控制VLAN内部的ARP数据包，可以做到在网络层面丢弃ARP攻击的数据包，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范ARP攻击。2.2 ARP病毒的应急响应ARP攻击问题一旦发生，极可能在

27、短时间内造成大面积网络故障，因此应急处理的目的是在最短时间内恢复业务。应急操作步骤如下：第一步 缓解ARP爆发时的影响，恢复网络运行1) 得到网关的正确的MAC地址在能上网时，进入MS-DOS窗口，输入命令：arp a 查看网关IP对应的正确MAC地址，将其记录下来。 注：如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp a。 2) 手动绑定网关的ARP信息如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑

28、定可在MS-DOS窗口下运行以下命令： arp s 网关IP 网关MAC。例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp a后输出如下： C:Documents and Settingsarp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（d

29、ynamic）的，因此是可被改变。 被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，可以在此时将该MAC记录下来，为以后查找攻击源做准备。 手工绑定的命令为： arp s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp a查看arp缓存： C:Documents and Settingsarp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静

30、态（static），就不会再受攻击影响了。第二步 查找并隔离攻击主机1) 在受攻击的vlan进行镜像抓包确定ARP攻击包的源MAC地址。与被攻击主机上的伪装MAC进行对比。相同，则确定该MAC地址为攻击源主机的MAC地址。2) 如果有MAC地址对应主机接口的绑定表，则直接找到接口隔离该主机。如果没有记录过MAC地址与接口的绑定表，则需要逐个接口进行镜像抓包，找到ARP攻击包所从哪个接口进入交换机，找到接口隔离主机。2.3 蠕虫病毒的防范2.3.1 升级操作系统及其自带软件的安全补丁有90的蠕虫是通过软件的各种漏洞非法主机的，所以及时安装补丁程序，就能防御绝大多数的蠕虫病毒。2.3.2 使用病毒

31、防火墙。病毒防火墙可以监控主机所有的网络端口，只要设置好其安全策略，蠕虫在一般情况下是不容易攻破的。一些杀毒软件自带的病毒防火墙还有自学功能，可以在用户使用的过程中主动积累经验，为用户自动设置。 2.3.3 使用邮件监控系统。Email是蠕虫最常用的传播载体，很大一部分蠕虫都会利用邮件系统的漏洞， 利用垃圾邮件进行传播。通过邮件监控系统，可以过滤绝大多数的蠕虫病毒通过邮件进行传播。进而保护主机和网络不被蠕虫病毒所攻击。2.4 蠕虫病毒的应急响应。蠕虫病毒一旦在网络中爆发，极可能利用大量的流量吞噬网络带宽，造成拒绝服务攻击，因此应急处理的目的是在隔离病毒源，最短时间内回复网络业务通畅。因为蠕虫病毒对网络的影响基本都在带宽方面，所以应急相应操作也从这方面入手。应急操作如下：1) 在交换机中用show interface 命令查询受攻击网络各个接口的流量情况，找到有大量输入流量的接口2) 在此接口进行镜像抓包，确定攻击源的ip 地址和mac地址。确定流量属于正常的流量或异常流量。3) 隔离该接口所连接的主机。3. 总结本文以ARP病毒和蠕虫