文/沈科進(jìn)

　　近些年，蠕蟲病毒的每一次大規(guī)模爆發(fā)，都給網(wǎng)絡(luò)世界帶來了深重的災(zāi)害。蠕蟲病毒有著很強(qiáng)的破壞性，一個局域網(wǎng)中只要有一臺電腦感染了蠕蟲病毒，就有可能引起網(wǎng)絡(luò)性能下降、網(wǎng)絡(luò)阻塞，嚴(yán)重的還會導(dǎo)致網(wǎng)絡(luò)癱瘓。對于蠕蟲病毒的檢測，普通用戶通常通過更新殺毒軟件的病毒庫，來判斷電腦是否感染了蠕蟲病毒；但作為局域網(wǎng)的管理者，是否有必要親自去更新每臺電腦的病毒庫呢？況且即使更新了殺毒軟件的病毒庫，也未必一定能檢測出最新的蠕蟲病毒。下面筆者向大家推薦一個叫Iris軟件，它是網(wǎng)絡(luò)管理員的好幫手，能快速有效地查找出網(wǎng)絡(luò)中的蠕蟲病毒。

　　W32.Sasser(“震蕩波”)系列病毒是一種利用微軟操作系統(tǒng)的Lsass緩沖區(qū)溢出漏洞(MS04-011)進(jìn)行傳播的蠕蟲病毒。由于該蠕蟲在傳播過程中會發(fā)起大量的掃描，因此對網(wǎng)絡(luò)運(yùn)行會造成很大的沖擊。W32.Sasser.B.Worm(以下簡稱Sasser.B蠕蟲)是該系列的一個變種，此病毒通過在已被感染的機(jī)器上開啟TCP端口5554建立FTP服務(wù)器，并通過445端口掃描隨機(jī)的IP，向連接成功的機(jī)器發(fā)動攻擊，進(jìn)一步感染其它機(jī)器。受感染的系統(tǒng)會出現(xiàn)倒計時對話框，頻繁重新啟動，系統(tǒng)運(yùn)行速度明顯減慢或死機(jī)，上網(wǎng)只能持續(xù)很短時間就無法瀏覽網(wǎng)頁等現(xiàn)象。

　　想快速檢測是否感染此病毒可以通過如下操作：

　　在命令狀態(tài)下輸入“netstat -an”命令。如果出現(xiàn)類似如圖1所示的清單，則說明已經(jīng)感染。

圖1

　　從上圖中我們可以獲得以下信息：Sasser.B蠕蟲在445端口的狀態(tài)(State)不是監(jiān)聽(Listening)，也不是建立(Established)，而是等待連接(SYN_SENT)，且它要求等待連接的地址都是隨機(jī)產(chǎn)生的地址，根本無法到達(dá)，所以當(dāng)這些要求連接的數(shù)據(jù)包傳送到交換設(shè)備后，由于目的地址不可能到達(dá)，很容易造成大量數(shù)據(jù)駐留，從而引起網(wǎng)絡(luò)癱瘓。

　　利用Iris檢測SasserB蠕蟲，具體步驟如下:

　　在做代理或者地址轉(zhuǎn)換的主機(jī)上安裝Iris軟件

　　Sasser.B蠕蟲所發(fā)送的數(shù)據(jù)包并不是廣播包，而是有明確目的地址。這些數(shù)據(jù)包直接經(jīng)過代理或者地址轉(zhuǎn)換尋找目的地址，并非像ARP廣播包一樣發(fā)送到局域網(wǎng)中的每一臺主機(jī)。所以我們說，Iris軟件只能安裝在做代理或者地址轉(zhuǎn)換的主機(jī)。

　　啟動Iris軟件進(jìn)行端口設(shè)置

　　選擇“Filter”下拉菜單下的“Edit Filter”命令，在彈出的“Edit filter settings”對話框中，選擇左邊框架中“Ports”命令，把445端口作為端口過濾對象。Sasser.B蠕蟲病毒試圖通過445端口建立數(shù)據(jù)連接，并非其他端口，所以只要對445端口進(jìn)行監(jiān)控即可。具體如圖2所示。

圖2

　　捕獲數(shù)據(jù)分析數(shù)據(jù)

　　選擇工具欄上“開始”命令按鈕，開始捕獲數(shù)據(jù)。

　　從捕獲到的數(shù)據(jù)中我們可以獲知：一臺IP地址為10.44.5.73的主機(jī)在短時間內(nèi)通過端口445向目的地址發(fā)送大量數(shù)據(jù)包，并且這些目的地址都是隨機(jī)產(chǎn)生的，是不可到達(dá)的。

　　隨著時間的積累，大量數(shù)據(jù)包因找不到目的地址，很容易駐留在交換設(shè)備中，引起網(wǎng)絡(luò)阻塞。若出現(xiàn)上述情況，我們就可以斷定該主機(jī)中了Sasser.B蠕蟲病毒。

　　上面的實(shí)例詳細(xì)說明了Iris軟件的使用方法，當(dāng)然Iris軟件中還有很多功能，比如統(tǒng)計功能，日志功能等，對蠕蟲病毒的監(jiān)測也很有幫助。

　　雖然蠕蟲病毒在互聯(lián)網(wǎng)上大肆泛濫，給人們帶來了很大的損失，但只要我們提高網(wǎng)絡(luò)安全管理的水平，增強(qiáng)用戶的安全意識，就一定能把損失降到最低。