 |
4) 某些冲击波/震荡波病毒的变种,随机攻击外网地址的TCP 80端口,如果关闭此端口,将导致用户无法正常Web浏览。此时可以将该主机关闭。如下图,在步骤2.2)中建立策略关闭内网中毒主机192.168.0.100对外网的访问。图十
 |
2.SQL蠕虫病毒
【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
【快速查找】在WebUI?上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为1433;协议为UDP,外网端口为1434;
2、会话中有上传包,下载包往往很小或者为0。图十一
 |
【解决办法】
1、 将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQL Server的补丁。
2、 在安全网关上关闭该病毒的相关端口。
1) WebUI?高级配置?组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。图十二
 |
