检 测

    使用启用了NetFlow的IOS检测受感染的主机

    NetFlow可以找到受感染的主机。在接口上，NetFlow必须用ip route-cache flow命令启用。在下例中，受感染的主机使用ICMP 8型分组扫描IP地址空间。

    Router>show ip cache flow | include 0000 0800
    SrcIf   SrcIPaddress   DstIf  DstIPaddress   Pr  SrcP    DstP  Pkts
    Fa2/0  XX.XX.XX.242  Fa1/0  XX.XX.XX.119  01  0000   0800  1
    Fa2/0  XX.XX.XX.242  Fa1/0  XX.XX.XX.169  01  0000   0800  1
    Fa2/0  XX.XX.XX.204  Fa1/0  XX.XX.XX.63  01  0000   0800  1
    Fa2/0  XX.XX.XX.204  Fa1/0  XX.XX.XX.111  01  0000   0800  1
    Fa2/0  XX.XX.XX.204  Fa1/0  XX.XX.XX.95  01  0000   0800  1
    Fa2/0  XX.XX.XX.204  Fa1/0  XX.XX.XX.79  01  0000   0800  1

    注意：在输出中将列出通过路由器的所有ICMP 8型（回声）流量，而且并非所有ICMP流量都与蠕虫有关。受Nachi感染的主机将作为去往随机目的地的多股流量的源头显示。

    使用Catalyst 6500上的CatOS和IOS以及MLS检测受感染的主机

    MLS统计数据可以用于跟踪受感染的主机。如下例所示，为查看源端口和目标端口，应在全流中启用NetFlow。

    注意：并非输出中的所有ICMP流都与蠕虫相关。受Nachi感染的主机将作为去往随机目的地的多股流量的源头显示。

    在混合设备上：

    Router>(enable)set mls flow full
    Router>show mls statistics entry ip protocol icmp
    Last   Used
    Destination IP   Source IP   Prot  DstPrt  SrcPrt  Stat.Pkts   Stat.Bytes
    ................ ............... ..... ...... ...... ......... ...........
    XX.XX.XX.28  XX.XX.XX.10  ICMP  0   0   0     0
    XX.XX.XX.58  XX.XX.XX.28  ICMP  0   0   0     0
    XX.XX.XX.141  XX.XX.XX.223 ICMP  0   0   0     0
    XX.XX.XX.189  XX.XX.XX.1   ICMP  0   0   0     0
    XX.XX.XX.12  XX.XX.XX.19  ICMP  0   0   0     0
    XX.XX.XX.245  XX.XX.XX.137  ICMP  0   0   0     0
    XX.XX.XX.29  XX.XX.XX.22  ICMP  0   0   0     0

    在本地设备上：

    注意：这个命令将显示所有协议的流，读者需要寻找协议为ICMP的流。

    Router(config)# mls flow ip full
    Router> show mls ip
    Displaying Netflow entries in Supervisor Earl
    DstIP SrcIP Prot:SrcPort:DstPort Src i/f:AdjPtr
    ....................................................................
    Pkts Bytes Age LastSeen Attributes
    ...................................................
    XX.XX.XX.254 XX.XX.XX.14 icmp:0 :0 0 : 0
    0 0 821 16:05:30 L3 . Dynamic
    XX.XX.XX.254 XX.XX.XX.10 icmp:0 :0 0 : 0
    0 0 149 16:05:31 L3 . Dynamic
    XX.XX.XX.254 XX.XX.XX.25 icmp:0 :0 0 : 0
    0 0 817 16:05:32 L3 . Dynamic
    XX.XX.XX.254 XX.XX.XX.10 icmp:0 :0 0 : 0
    1040 58240 821 16:05:36 L3 . Dynamic
    XX.XX.XX.254 XX.XX.XX.10 icmp:0 :0 0 : 0
    0 0 821 16:05:33 L3 . Dynamic

    CSIDS签名

    如果使用了思科安全入侵检测系统，注册客户就可以在以下位置利用签名更新文件：
    • For Version 4.x_http://www.cisco.com/cgi.bin/tablebuild.pl/ids4 （只限注册客户使用）
    • For Version 3.x_http://www.cisco.com/cgi.bin/tablebuild.pl/ids3.app（只限注册客户使用）

    Cisco Secure IDS Signature 3327可以检测对MS03-026的利用企图。

    为降低虚警率，应将签名3327设置为只检测端口135，而不检测139或445。

    为对付这种蠕虫，还可以添加定制签名字串。

    简要指令如下：
    Engine STRING.UDP
    SigName MS Blast Worm TFTP Request
    ServicePorts 69
    RegexString \x00\x01[Mm][Ss][Bb][Ll][Aa][Ss][Tt][.][Ee][Xx][Ee]\x00
    Direction ToService

    Cisco Secure IDS Signature 5364可以检测对MS03-007的利用企图。

    为对付这种蠕虫，还可以添加定制签名字串。

    简要指令如下：
    Signature Name = IIS WebDAV Overflow
    Engine = SERVICE.HTTP
    AlarmThrottle = FireOnce
    DeObfuscate = True
    Direction = ToService
    HeaderRegex = [Tt][Rr][Aa][Nn][Ss][Ll][Aa][Tt][Ee][:][ \t][Ff]
    MaxUriFieldLength = 65000
    MinHits = 1
    ResetAfterIdle = 15
    ThrottleInterval = 15