cisco交換機安全大講堂：破解沖擊波病毒和紅色代碼，了解基本的病毒原理，對cisco交換機安全就會有很好的防范意識。簡單的安全措施也會得到相應的關注，在今天的網絡世界里，安全是至關重要的。

隨著網絡給人們的生活帶來巨大的收益，人們也正逐漸遭受網絡病毒帶來的侵害之苦，網絡動蕩、網絡癱瘓。病毒有很多種，根據病毒存在的媒體，病毒可以劃分為網絡型病毒，文件型病毒，引導型病毒等。文件型病毒和引導型病毒一般不影響網絡運行，但將造成用戶計算機文件系統的受損或丟失，對于用戶來說表象非常明顯。

然而對網絡型病毒，其通過網絡傳播感染網絡中的計算機，使網絡無法正常使用，一般不會對計算機用戶本身造成破壞，用戶通常不會感覺到機器中毒，只是感覺上網異?；虬c瘓，而這網絡異常往往被用戶誤解為物理網絡質量問題，因此產生的諸多抱怨是免不了的，例如最近肆虐的沖擊波病毒。

當網絡病毒肆虐時，最可憐的應該是我們網絡系統維護人員，他們變成了用戶的出氣筒，每天面對被打爆的投訴電話和用戶無情的聲討，卻無能為力，這種委屈實在有口難辯，因為確認誰家的機器中毒是非常困難的。

只能告訴每個投訴用戶自己去殺毒，然而投訴用戶的主機不一定是中毒主機，同時駐地網很多用戶對網絡知識了解非常少，這種解釋對憤怒的用戶來說是無法容忍的，一般被他們認為是推卸責任和無能的表現。讓我們先來了解一下最常見的兩種網絡病毒：

cisco交換機安全：熟悉沖擊波病毒

沖擊波病毒（Wrom.MSBlast.6176，原名爆破工）自從被瑞星全球反病毒監(jiān)測網于8月12日首次截獲開始，已經在國內造成了大范圍影響，雖然各大殺毒軟件公司都已推出專門的升級軟件包，但仍有許多疏于防范的用戶電腦不斷在遭受攻擊。

目前該病毒仍以每小時感染3萬個系統的速度蔓延。預計該病毒將會在全球范圍內造成12億美元的經濟損失。 該病毒運行時會不停地利用IP掃描技術尋找網絡上系統為Win2K或XP的計算機，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統操作異常。

具體表現有，彈出RPC服務終止的對話框、系統反復重啟、不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網頁，復制粘貼等操作受到嚴重影響，DNS和IIS服務遭到非法拒絕服務等等，從而使整個網絡系統幾近癱瘓。另外，該病毒還會對微軟的一個升級網站進行拒絕服務攻擊，導致該網站堵塞，使用戶無法通過該網站升級系統。

可以看到，該病毒是利用微軟操作系統的RPC（遠程進程調用）漏洞進行快速傳播的。RPC是微軟發(fā)明的一個專門用戶互聯網遠程服務的協議，該協議是建立在TCP/IP上的一個應用。我們知道IP網上的應用協議都必須借助TCP/UDP端口號才能提供服務，RPC的TCP端口號是135。

請大家記住這個端口號，因為就是135這個漏洞造成了全球12億美元的經濟損失！ 攻擊者正是通過編程方式來尋求利用此漏洞，在一臺與易受影響的服務器通信的并能夠通過TCP 端口135的計算機上，發(fā)送特定類型的、格式錯誤的RPC 消息。

接收此類消息會導致易受影響的計算機上的RPC 服務出現問題，進而使任意代碼得以執(zhí)行。接著病毒就會修改注冊表，截獲郵件地址信息，一邊破壞本地機器一邊通過EMAIL形式在互聯網上傳播。同時，病毒會在TCP的端口4444創(chuàng)建cmd.exe，并監(jiān)聽UDP端口69，當有服務請求，就 發(fā)送Msblast.exe文件。

cisco交換機安全：揭秘紅色代碼

紅色代碼（Red Code）是一種蠕蟲病毒，感染運行Microsoft Index Server 2.0的系統，或是在Windows 2000、IIS中啟用了Indexing Service（索引服務）的系統。該蠕蟲利用了一個緩沖區(qū)溢出漏洞進行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務器變的不安全）。

蠕蟲的傳播是通過TCP/IP協議和端口80，利用上述漏洞蠕蟲將自己作為一個TCP/IP流直接發(fā)送到染毒系統的緩沖區(qū)，蠕蟲依次掃描WEB，以便能夠感染其他的系統。一旦感染了當前的系統，蠕蟲會檢測硬盤中是否存在c:\notworm，如果該文件存在，蠕蟲將停止感染其他主機。與其它病毒不同的是，Code Red并不將病毒信息寫入被攻擊服務器的硬盤。

它只是駐留在被攻擊服務器的內存中，并借助這個服務器的網絡連接攻擊其它的服務器。Code Red蠕蟲能夠迅速傳播，并造成網絡大范圍的訪問速度下降甚至阻斷。"紅色代碼"蠕蟲造成的破壞主要是涂改網頁,對網絡上的其它服務器進行攻擊，被攻擊的服務器又可以繼續(xù)攻擊其它服務器。

針對這些病毒的具體情況XINGNET的智能安全三層交換機的防病毒功能完全可以解決用戶對以上病毒的安全擔憂。另一方面，網絡防火墻一般放在內部網的出口，更多的作用是外部網絡的入侵防護，其對內部網絡的控制非常有限，尤其是對內部網絡的合法攻擊者，這些技術經常束手無策。

而對于一個內部被病毒弄得擁塞不堪的網絡，其對外防護再好也是沒任何意義的。目前很多的被動式的防范技術很難有效解決內部網絡的安全問題。如防火墻，反查找能力比較薄弱，它只簡單地記錄cisco交換機安全活動狀態(tài)。

而三層交換機作為用戶最近的智能接入點，與防火墻相比，更深入到網絡基層，在這個層面上進行網絡的控制更容易，更有效，成本更低。在內亂發(fā)生時，能有效地控制影響范圍，準確定位出亂源頭。

所以XINGNET智能安全三層交換機并不是簡單的通過配置交換機的訪問控制列表（ACL）來實現病毒的阻斷，而是具有發(fā)現和追蹤病毒來源的能力，能準確地發(fā)現被感染的計算機，并采取相應措施，準確查找出病毒的來源，并能給出病毒源名單日志。

如同防火墻一樣，只要網絡管理員在交換機上配置好安全防護策略，病毒攻擊便被扼殺在搖籃中，跟本無法形成攻擊狂潮。網絡維護人員再也不用遭受這種莫大的委屈，完全可以高枕無憂了。

cisco交換機安全還具有包頭字節(jié)的解析能力，可以分析每個數據報文特征，一旦發(fā)現策略病毒特征的報文，立刻阻斷，同時記錄病毒源，并動態(tài)阻斷病毒源指定的時間。病毒防范策略是一種可以根據用戶配置的病毒參數來阻斷病毒。

進而暫時阻斷發(fā)送病毒的主機的策略，它可以分為基本策略和超級策略兩種。基本策略是防范以TCP/UDP方式來承載的報文，大部分病毒數據報都是這種方式；超級策略可以對不具有TCP/UDP特征的病毒報文進行控制。