背景介绍           

　　机器狗病毒问题一直缠绕着各路网吧，而各路网吧的网管们就成了受苦受难的兄弟，每天都在不停的日夜劳作--克盘、克盘、还是克盘！福州火星人网吧的网管小陈正是这其中一人。

　　随着丢号、网络卡、掉线等典型中毒事件的不断发生，网民的抱怨和网吧老板的责难也随之不断上演。

　　解决之道--常规篇

　　先说软件的吧。

　　针对机器狗病毒的windows系统补丁很快就出现了。但过不了不久就发现，打了补丁也不管用。

　　原来，病毒作者在用腻了系统漏洞后，霍然间发现了应用程序漏洞这片广阔的天空，不知道从此以后还有多少应用程序在为我们提供服务的同时，也沦为病毒传播快速通道。软件漏洞无处不在，只要有漏洞可利用，就可能被病毒作者所利用。我只是想告诉你，单纯的通过打Windows系统补丁，应用软件的补丁，是根本无法保证系统的安全，只有多种手段相结合，才能将风险降至最低。

　　再来说下硬件吧。

　　说到硬件，众人都将期待的目光投向了网吧网络的出口--路由器。

　　各家路由器厂商自然也不失时机的推出了自己的解决方案，基本上就是双绑和IP/域名过滤。在这里就不做过多介绍了。

　　解决之道--NBR篇

　　我们先来分析下机器狗及其变种病毒的中毒过程:

　　第一步：PC访问带有恶意脚本的网页；
　　第二步：PC连接某IP，下载机器狗病毒并运行；
　　第三步：PC中了机器狗病毒后，到同一个IP（少部分情况是不同IP）下获取病毒列表；
　　第四步：PC按照返回的病毒列表，逐个下载病毒……

　　经过锐捷研发团队近一个月的努力，开发出了NBR路由器防御机器狗病毒的功能模块。当内网PC访问带毒IP下载机器狗病毒时（中毒过程第二步），NBR会动态检测出这种行为并进行警告提醒，同时根据用户配置来决定是否阻止这种下载机器狗病毒的行为，并将动态监测到的带毒IP加入黑名单中。

　　火星人网吧实战解析

　　经过了实验室内的严格测试，锐捷的研发工程师们急切的想了解市场的实际应用效果到底如何。而此时，福州火星人网吧的网管小陈也还在受苦受难中。于是乎，一拍即合，火星人网吧立刻换上了锐捷NBR2000路由器，由锐捷研究院的刘工跟踪使用效果。

　　时间：12月27日早9点，地点：火星人网吧机房，刘工将NBR2000替换掉原来的代理服务器，并升级为最新的软件版本（RGNOS 9.10 building 18.01）。旁边的小陈静静的看着，刘工也静静的看着，他们都在等待，等待那个激动的时刻。

　　开始试用后，小陈就被NBR2000的人性化WEB界面所吸引，开始小心翼翼的操作起来。经过几个步骤地操作后，NBR检测出了内网一台PC试图访问带毒网站下载机器狗病毒并成功将其阻断，同时把该PC的IP地址和带毒网站的IP地址记录在WEB界面中。经过3个小时的观察，NBR共完成了5次阻断，有4个外网IP地址被记录到嫌疑列表，如下图所示：

　　该过程中，NBR的Web监控页面显示如下图所示：

　　上面两图表明，在此期间，该网吧内网PC曾多次访问带有机器狗病毒的网站，且均被NBR有效阻断。

　　成功"杀掉"它后，小陈迫切地向刘工讨教，想要"解剖"这只害人不浅的机器狗--

　　机器狗病毒本身并不可怕，可怕的是PC通过它会下载N多危害性病毒，可以说机器狗病毒只是一个木马下载器。我们之前提到的丢号、网络卡、掉线就是由这些非机器狗病毒造成的。

　　通过NBR病毒嫌疑列表以及Web监控页面，在此期间，以下四个IP地址带有机器狗病毒嫌疑：60.190.118.11； 60.190.218.34； 61.191.55.216； 218.83.161.95；

　　结合目前已知的病毒列表名，我们可通过以上IP顺利获取到病毒列表（出于文章篇幅考虑，只贴出了一个病毒列表截图）。（注：如果可以获取到病毒列表文件，就可以确诊这些IP为机器狗病毒IP；如果获取不到，并不代表该IP没有问题，原因见中毒过程第三步）

　　网页上这一大串可执行文件就是通过机器狗自动下载的各种病毒，想想一个网络中有那么多病毒捣乱，不出问题才奇怪了。

　　终篇

　　网管小陈在接触NBR2000几天后，再次感叹道：原来路由器还能这样用啊！

　　没错，锐捷NBR凭借自身的努力，让路由器这个角色从网吧经营这场大戏中，不断由幕后走到台前--路由器不只是拿来做绑定和限速的。