【IT168 安全频道】目前，一种新蠕虫正在互联网上肆虐，思科客户的网络上出现了来自内外系统的巨额流量。这种蠕虫引发的许多问题的根源都在于，网络上出现了大量92字节的ICMP 8型（回声请求）包。思科设备的症状包括（但不局限于）CPU使用率升高，输入接口上的流量减少。本文将重点介绍蠕虫抵御技术、用于抵御蠕虫的思科软件或Microsoft操作系统补丁。

    这种蠕虫被称为“Nachi”－冲击波杀手，它利用Microsoft以前发现的两个漏洞发动攻击。欲知详情，请访问：

http://www.microsoft.com/technet/security/bulletin/MS03.026.asp

http://www.microsoft.com/technet/security/bulletin/MS03.007.asp

    目前，有两种蠕虫瞄准了没有安装用于应付MS03-026的补丁的系统，它们是Nachi冲击波杀手和Blaster冲击波。本文将重点介绍抵御Nachi冲击波杀手的各种技术，其它文档将重点介绍抵御Blaster冲击波的各种技术，其网址为：

    点击查看网址

    这些文档的目的都是利用相关技术抵御各类蠕虫。

    详细情况

    如果想了解蠕虫的详细情况，请访问Microsoft的Web站点：

http://www.microsoft.com/technet/security/virus/alerts/nachi.asp

    抵御这种蠕虫的方法是，挡住它需要的协议和用于传播自己的端口，通过扫描寻找新的感染对象，然后传播可执行代码。本文将重点介绍内部网络受感染之前或之后应怎样阻挡蠕虫的传播。由于这种蠕虫利用合法协议和端口传播，因此，阻挡这些端口可能会影响正常功能，例如网络监控、文件共享或TFTP。无论您使用的是哪种网络配置，思科都建议您在操作正常时建立基线流量文档，并利用此文档决定是否阻挡端口或网络中的流量。为避免影响网络功能，阻挡端口时要特别谨慎。这些端口的简要正常使用说明如下。

    ICMP 8型协议也称作回声请求，人们熟知的“ping”实用程序用它执行连接测试和网络监控。阻挡这种协议可以防止蠕虫的传播，但会引发某些网络诊断问题。

    TCP端口135用于MS RPC协议，许多基于RPC的应用都使用这个端口提供Windows互联网名称服务（WINS）、DHCP服务器、终端等服务。这个端口是蠕虫通过MS03-026描述的MS RPC DCOM漏洞最初使用的漏洞，是完全感染整台机器的开始。阻挡端口135可以防止最初感染，但会中断网络中的其它正常功能。

    TCP端口80由超文本传输协议（HTTP）使用，主要使用者是Worldwide Web（WWW）服务器。Nachi蠕虫试图利用MS03-007描述的漏洞感染机器。阻挡端口80可以防止最初感染，但会中断基于Web的各种应用。

    蠕虫将TCP端口707 作为控制通道，各种命令通过这个通道从受感染的服务器下载名为svchost.exe 和dllhost.exe的文件。 阻挡端口707可以防止将命令传递到易损目标，使其无法下载蠕虫二进制文件，从而避免受到感染。

    UDP端口69由普通文件传输协议（TFTP）使用，通常用于向联网设备加载新软件图像或配置。感染了Nachi蠕虫的主机将打开这个端口，将svchost.exe和 dllhost.exe文件从受感染的机器传输到其它干净机器。挡住这个端口可以防止蠕虫从已经感染的机器传播到易损主机上，但会中断网络内的正常TFTP功能，包括某些IP语音功能。

    TCP和/或UDP端口137、138、139和593都有薄弱环节，很可能会使主机受到感染，但据目前所知，这还不是传播Nachi蠕虫的直接原因。思科建议，为防止被遥控，所有不需要的端口，尤其是自身有弱点的端口，都应该在边缘网络处挡住内外通路。