四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法v1.1

四种在局域网中最常见的蠕虫病毒攻击的快速诊断和解决方法 冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。

这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。

1.冲击波/震荡波病毒

【故障现象】感染此类病毒的计算机和网络的共同点：

1、不断重新启动计算机或者莫名其妙的死机；

2、大量消耗系统资源，导致windows操作系统速度极慢；

3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。

局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，以查找其他开放了这些端口的主机进行传播，常见的端口有：

TCP 135端口（常见）；TCP 139端口（常见）；TCP 445端口（常见）；TCP 1025端口（常见）；TCP 4444端口；TCP 5554端口；TCP 9996端口；UDP 69端口… …

【快速查找】在WebUI?上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

1、协议为TCP，外网端口为135/139/445/1025/4444/5554/9996等；

2、会话中该主机有上传包，下载包往往很小或者为0。

【解决办法】

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。

2、在安全网关上关闭该病毒向外发包的相关端口。

1）WebUI?高级配置?组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP地址段指定。

2）WebUI?高级配置?业务管理?业务策略配置，建立策略“f_445”（可以自定义名称），屏蔽目的端口为TCP 445的数据包，按照下图进行配置，保存。

3）WebUI?高级配置?业务管理?业务策略列表中，可以查看到上一步建立的“f_445”

的策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。

4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允许”，保存。

5）重复步骤2），将其他冲击波/震荡波端口TCP 135/139/445/1025/4444/5554/9996等关闭。

6）WebUI?高级配置?业务管理?全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置之前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，已经有工作组存在，并且在业务管理中配置了策略，必须在WebUI?高级配置?组管理中，将该网段所有用户分配在相关的组中，然后在WebUI?高级配置?业务管理中将每个组的相关端口关闭。

3）某些冲击波/震荡波病毒的变种，攻击外网固定IP地址的TCP 80端口，如果关闭此端口，将导致用户无法正常Web浏览。此时可以将其攻击的外网地址关闭。如下图，在步骤2.2）中建立策略关闭内网用户到外网地址218.1.1.1/32的访问。

4）某些冲击波/震荡波病毒的变种，随机攻击外网地址的TCP 80端口，如果关闭此端口，将导致用户无法正常Web浏览。此时可以将该主机关闭。如下图，在步骤2.2）中建立策略关闭内网中毒主机192.168.0.100对外网的访问。

2.SQL蠕虫病毒

【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。

此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。

中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。

【快速查找】在WebUI?上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

1、协议为TCP，外网端口为1433；协议为UDP，外网端口为1434；

2、会话中有上传包，下载包往往很小或者为0。

【解决办法】

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQL Server的补丁。

2、在安全网关上关闭该病毒的相关端口。

1）WebUI?高级配置?组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址

段进行组IP地址段指定。

义名称），屏蔽目的端口为TCP1433的数据包，按照下图进行配置，保存。

3）WebUI?高级配置?业务管理?业务策略列表中，可以查看到上一步建立的“f_1433”策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动

作编辑为“允许”。

辑为“允许”，保存。

5）重复步骤2），将SQL蠕虫其他的端口如：UDP 1434端口关闭。

6）WebUI?高级配置?业务管理?全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，已经有工作组存在，并且在业务管理中配置了策略，必须在WebUI?高级配置?组管理中，将该网段所有用户分配在相关的组中，然后在WebUI?高级配置?业务管理中将这些组的相关端口关闭。

3）如果内网有人确实需要使用外部的SQL服务，2.2）步骤会屏蔽内网所有向外请求的SQL服务，此时，可以只将内网中毒主机（假设192.168.0.100/24）的

向外网的TCP 1433端口关闭，2.2）步骤作如下操作：

3.伪造源地址DDoS攻击

【故障现象】伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN 报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。

【快速查找】在WebUI?系统状态?NAT统计?NAT状态，可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户：

在WebUI?系统状态?用户统计?用户统计信息，可以看到安全网关接收到某用户（192.168.0.67/24）发送的海量的数据包，但是安全网关发向该用户的数据包很小，依此判

断该用户可能在做伪造源地址攻击：

【解决办法】

1、将中病毒的主机从内网断开，杀毒。

2、在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪

造的源地址发出的TCP连接：

1）WebUI?高级配置?组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址

段进行组IP地址段指定。

2）WebUI?高级配置?业务管理?业务策略配置，建立策略“pemit”（可以自定义名称），允许“all工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照下图进行配置，保存。

3）WebUI?高级配置?业务管理?全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置之前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，原先使用“允许其他用户”策略而被允许的用户，必须在WebUI?高级配置?组管理中，建立相应的工作组，并在WebUI?高级配置?业务管理中对

该组用户进行相关的配置。

4.ARP欺骗攻击

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUI?系统状态?系统信息?系统历史记录中，看到大量如下的信息：ARP SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址）。

同时在安全网关的WebUI?高级配置?用户管理?读ARP表中看到所有用户的MAC 地址信息都一样，或者在WebUI?系统状态?用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUI?系统状态?系统信息?系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址）。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：https://www.sodocs.net/doc/f06898799.html,/upload/nbtscan.rar）工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即

192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。

2）在Windows开始?运行?打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:\nbtscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决办法一】

采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定安全网关的IP和MAC地址：

1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows?开始?程序?启动”中。

3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。

2、在安全网关上绑定用户主机的IP和MAC地址：

在WebUI?高级配置?用户管理中将局域网每台主机均作绑定。

【解决方法二】

对于上面一种处理方式，是解决ARP攻击的最优方法。但是在用户的实际使用中可能会遇到以下问题：

1、某些Windows 2000的版本，在做了对路由器的ARP绑定之后，仍然会受到

ARP欺骗的影响；

2、某些网吧遇到诸如安装了还原系统以及技术人员本身的问题，无法操作主机对

路由器的ARP绑定。

针对以上问题，在HiPER的ReOS 525以及ReOS 560以上版本（新版本可以在UTT网站下载中心https://www.sodocs.net/doc/f06898799.html,/downloadcenter.php下载）做了改进，在这些版本里面只需要以下操作：

1、打开路由器LAN口ARP KEEPALIVE功能，这样路由器就会以10次/秒的速度向

内网广播自己的ARP信息，如果ARP攻击软件发送的ARP欺骗包的速度比路由器发送的慢的话，那么主机就不会受到ARP攻击的影响。

注意：

1）此功能在ReOS 525版本中是默认打开的，在ReOS 560版本需要在命令行下手动打开，命令是：

set interface ethernet/1 ip arpkeepalive 1

write

关闭此功能：

set interface ethernet/1 ip arpkeepalive

write

登录HiPER命令行的方法可以参考：

https://www.sodocs.net/doc/f06898799.html,/bbs/showthread.php?t=1002

2）启用此功能后，在HiPER的WebUI—>系统状态—>端口统计中可以看到LAN/Out

方向的广播包增大，此为路由器向内网广播ARP数据包的正常现象。

2、在路由器上绑定用户主机的IP和MAC地址：

在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

5.注意

1、相关业务管理、用户管理的配置需要安全网关软件版本在5.0以上，用户可以到UTT

网站下载中心下载最新升级软件，

连接地址https://www.sodocs.net/doc/f06898799.html,/downloadcenter.php?filetypeid=3&productmodelid=-1

2、业务管理操作比较复杂，逻辑性性较强，建议在配置前先阅读《HiPER ReOS 5.0

高级配置手册》章节6.1、6.2、6.5。

连接地址：

https://www.sodocs.net/doc/f06898799.html,/downloadcenter.php?filetypeid=2&productmodelid=-1，文件21

3、配置中如有问题，请咨询艾泰科技客户服务热线：021-********。