该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常。具体表现有,弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝服务等等,从而使整个网络系统几近瘫痪。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。
可以看到,该病毒是利用微软操作系统的RPC(远程进程调用)漏洞进行快速传播的。RPC是微软发明的一个专门用户互联网远程服务的协议,该协议是建立在TCP/IP上的一个应用。我们知道IP网上的应用协议都必须借助TCP/UDP端口号才能提供服务,RPC的TCP端口号是135。
请大家记住这个端口号,因为就是135这个漏洞造成了全球12亿美元的经济损失!
攻击者正是通过编程方式来寻求利用此漏洞,在一台与易受影响的服务器通信的并能够通过 TCP 端口 135的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。接着病毒就会修改注册表,截获邮件地址信息,一边破坏本地机器一边通过EMAIL形式在互联网上传播。同时,病毒会在TCP的端口4444创建cmd.exe,并监听UDP端口69,当有服务请求,就发送Msblast.exe文件。
微软的修补程序解决了RPC对错误格式报文的判断,从而阻止攻击进入。但对于网络管理者来说,不能把安全寄托在我们管理的用户身上,在用户安装微软修补程序之前必须有切实可行的办法防止冲击波病毒对我们网络的冲击。
第一, 针对Internet上来的攻击,我们可以通过在防火墙上禁用TCP号为135、4444和UDP69的进程。从而阻止外网对内网以及内网对别的网络的攻击;
第二, 针对内部网络来的攻击,可以通过智能交换机禁用这些服务来解决。由于此时内网已经有机器受到感染,因此仅仅禁用TCP端口135、4444的报文还不够,必须能做到监听这些报文之后能强制关闭上传这些报文的物理端口,另外,必须能禁用UDP69的请求服务。这就要求该交换机必须具备业务流分类、端口反查和自动准确关闭端口等功能。
港湾网络的系列智能交换机正是具备了这些智能化特性,通过BigHammer、FlexHammer以及μHammer组网可以有效的减轻包括冲击波病毒在内的许多病毒对内网的破坏。
μHammer3550系列智能交换机具有包头80字节的解析能力,可以分析每个数据报文的协议端口号,一旦发现TCP135、4444和UDP69的报文,立刻通知后台AAA服务器,通过Radius系统进行关闭端口、端口反查等系列操作。如果局域网中没有Radius系统,μHammer3550系列智能交换机也可以自动抛弃这些病毒报文。
FlexHammer系列设备处在汇聚层,它通过启动ACL实现禁用135等端口号的请求,阻止病毒在内网的快速传染。高端路由交换机BigHammer68系列可以起到软件防火墙的部分功能,通过 在6808或者6802设备上强行禁用端口135和4444的TCP应用,防止internet上的冲击波病毒对内网的攻击,同时BigHammer68系列交换机也可以作为内网的核心设备提供业务流分类、端口反查和自动准确关闭端口等功能,阻止病毒在内网的泛滥,并定位可能藏逸在内网的病毒散播者。
港湾网络的智能交换机犹如一道道坚固的闸门,在冲击波的狂波恶浪中牢牢的将内部局域网保护起来,力挽狂澜而不倒。
再结合用户的主动防范措施,冲击波病毒必然能被彻底遏制,逐渐消声觅迹,还网络一片宁静。
