SQL蠕蟲(chóng)一直是讓企業(yè)網(wǎng)絡(luò)管理人員很頭疼的問(wèn)題，許多時(shí)候如果通過(guò)Etherpeek針對(duì)端口1433、1434抓包會(huì)發(fā)現(xiàn)，很多用戶電腦上面并沒(méi)有安裝SQL服務(wù)器，但是仍能監(jiān)測(cè)有蠕蟲(chóng)通過(guò)1433端口向外面大量發(fā)包。一般來(lái)說(shuō)微軟的桌面數(shù)據(jù)庫(kù)MSDE也有可能感染該蠕蟲(chóng)。

看看SQLsnake蠕蟲(chóng)，也叫Spida及Digispid，***露面以來(lái)，就一直在掃描成千上萬(wàn)臺(tái)與Internet相連的電腦系統(tǒng)的1433端口，企圖尋找運(yùn)行微軟SQL且沒(méi)有在系統(tǒng)管理員賬號(hào)上設(shè)置適當(dāng)密碼的系統(tǒng)。還存在另外一種病毒，即使并沒(méi)有安裝數(shù)據(jù)庫(kù)的PC也會(huì)感染。這個(gè)時(shí)候客戶端PC如果沒(méi)有辦法解決的話，就只能從網(wǎng)絡(luò)層進(jìn)行防護(hù)了。

一般來(lái)說(shuō)UDP端口1434都是用來(lái)做偵聽(tīng)的，可以在網(wǎng)絡(luò)設(shè)備上過(guò)濾掉UDP1434；而TCP端口1433是SQL服務(wù)器正常通信需要的端口，并不能全網(wǎng)過(guò)濾掉。

但是一般來(lái)說(shuō)，跨網(wǎng)段的數(shù)據(jù)庫(kù)很少，這樣，我們可以開(kāi)放有數(shù)據(jù)庫(kù)的網(wǎng)段的1433端口，然后再過(guò)濾全網(wǎng)的1433，這樣減少了故障處理點(diǎn)，也達(dá)到了目的。

看看下面的ACL，核心三層交換機(jī)S8016針對(duì)1433、1434所做的ACL，其他設(shè)備類似。

注：全網(wǎng)封UDP 1434，開(kāi)放10.145.7.0網(wǎng)段的TCP端口1433。

rule-map intervlan rule72 tcp  any  any   eq 1433
rule-map intervlan rule73 tcp  any  any  eq 1434
rule-map intervlan rule69 tcp  any  10.145.7.0 0.0.0.255  eq 1433
eacl acl-jxic rule69 permit priority 34083
eacl acl-jxic rule72 deny priority 34088
eacl acl-jxic rule73 deny priority 34090

之后用Etherpeek抓包一看，SQL蠕蟲(chóng)沒(méi)有了，設(shè)備也沒(méi)有告警，大功告成！