知识库与软件

如何诊断蠕虫病毒或者造成的设备使用异常的故障

文档编号:186
浏览:7384 评分:26
最后更新于:2008-08-15

如何诊断蠕虫病毒或者黑客攻击造成的设备使用异常的故障?

 提示:以下各点仅在排除网络故障时作为参考,不作为发现网络病毒或各种攻击的依据。
 
 
【地址/端口扫描软件】在使用此类软件时,软件会在单位时间向目标地址或者目标网段发出大量的ICMP/UDP包或者TCP连接,以扫描目标地址是否存在或者是否有开放的端口。使用这些软件的客户端会发出很大的数据流量,如果这些流量过大,会造成网络节点设备负载过大,造成网络拥塞,影响其他用户的正常上网。
        根据上述特点,可以通过以下3种方式找出使用地址/端口扫描软件的用户。
1)  系统状态—>NAT统计的“NAT统计信息列表”中,查看是否有“超限次数”大于100的用户。由于设备支持用户在单位时间内最多只能有  800条NAT连接(这完全能保障正常上网的用户),超过的连接将被设备丢弃,并在“超限次数”里面增加记录,因而当“超限次数”大于100时,该用户很可能正在使用地址/端口扫描软件。
2)  系统状态—>NAT统计的“NAT统计信息列表”中,查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于地址/端口扫描软件在往外发送数据包的时候,往往会伪造源地址,这样就会导致对方响应的数据包不能正常返回到发送方,因而当某用户“上传数据包”数量远远大于“下载数据包”数量时,该用户很可能正在使用地址/端口扫描软件。
3)  系统状态—>系统信息的“系统历史记录”中,如果发现某用户的NAT exceeded信息(例如显示出信息“NAT exceeded 192.168.16.221”),表示该IP地址的计算机NAT并发session超过了设备限定的最大session数,则该用户很可能正在使用地址/端口扫描软件。
 提示:解决措施,建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。
 
B.   发现局域网用户使用DoS/DDos方式攻击Internet主机
 
【DoS/DDoS攻击】俗称洪水攻击、术语称拒绝服务攻击或称分布性拒绝访问。这种攻击方法在很短的时段内向某一网站发出大量信息,使其超出该网站自身的负荷能力而“无法对用户提供正常服务”,造成网站业务不能正常开展。使用这些攻击方式的客户端会发出很大的数据流量,如果这些流量过大,会造成网络节点设备负载过大,造成网络拥塞,影响其他用户的正常上网。
根据上述特点,可以根据以下方法找出使用地址/端口扫描软件的用户。
1)    系统状态—>NAT统计的“NAT统计信息列表”中,查看是否有“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时,会向Internet发送大量的数据包,因此如果某用户的“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少,那么该用户很可能正在进行DoS/DDoS攻击。
 提示:做正常HTTP/FTP上传的用户应该排除在外。
2)   系统状态—>NAT统计的“NAT统计信息列表”中,查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时,往往会伪造源地址,这样就会导致对方响应的数据包不能正常返回到发送方,因而当某用户“上传数据包”数量远远大于“下载数据包”数量时,该用户很可能正在进行DoS/DDoS攻击。
3)   系统状态—>系统信息的“系统历史记录”中,如果发现某用户的NAT exceeded信息(例如显示出信息“NAT exceeded 192.168.16.221”),表示该IP地址的计算机NAT并发session数超过了设备限定的最大session数,则该用户很可能正在进行DoS/DDoS攻击。
 提示:解决措施,建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。
 
C.      发现RED_WORM(红色代码Code red)类型的网络攻击型病毒
 
1)  系统状态—>用户统计的“用户统计信息列表”中,查看是否有“发送数据包”数量很大的用户;同时在系统状态—>NAT统计的“NAT统计信息列表”中,查看是否有“下载数据包”数量很小或没有的用户。如果某用户同时满足上述条件,同时该用户也未使用过局域网中的各种服务器,则该用户很可能正在已经感染上RED_WORM类型的网络攻击型病毒。
2)   系统状态—>用户统计的“用户统计信息列表”中,查看是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能已经感染上RED_WORM类型的网络攻击型病毒。
 提示:某些软件在正常使用的时候也会发送大量的广播包,比如网吧计费管理软件,这样就会造成广播包/发送包远大于10%,此时应该忽略这种异常情况。
 
D.   发现TCP SYN FLOODUDP FLOODICMP FLOOD类型的网络攻击
 
    在系统状态—>用户统计的“用户统计信息列表”中,查看是否有“发送数据包”数量很大、“接收数据包”数量很小的用户。如果某用户“发送数据包”数量很大,同时“接收数据包”数量很小,则该用户很可能正在进行TCP SYN FLOOD、UDP FLOOD或ICMP FLOOD类型的攻击。
 提示:做正常HTTP/FTP上传的用户应该排除在外。
 
E.   发现ARP FLOOD类型的网络攻击
 
1)    系统状态—>用户统计的“用户统计信息列表”中,查看是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能正在进行ARP FLOOD型攻击。
     提示:某些软件在正常使用的时候也会发送大量的广播包,比如网吧计费管理软件,这样就会造成广播包/发送包远大于10%,此时应该忽略这种异常情况。
2)    系统状态—>系统信息的“系统历史记录”中,如果发现某IP地址的MAC地址经常变化(例如显示出信息“MAC Chged 192.168.16.221”、“MAC Old 00:22:aa:00:22:aa”以及“MAC New 00:22:aa:00:22:bb”),则该用户很可能正在进行ARP FLOOD型攻击。
 
F.  发现冲击波/震荡波等蠕虫病毒攻击
 
     感染了“冲击波”、“震荡波”病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445的端口发送大量的广播包,造成设备端口拥塞,直至整个内部网络、外部网络瘫痪。
上网监控中,“选择查看条件”为“全部记录”,查看“查询结果列表”,如果在全部“协议类型”一列中,发现很多类型为ICMP的条目;在“外网端口”一列中,发现很多端口为135/137/139/445的条目,这些条目占用了大量的NAT Seesion条目,则很可能有主机感染了“冲击波”、“震荡波”病毒。
“冲击波”病毒感染计算机之后,电脑出现如下症状:莫名其妙地死机或重新启动计算机;IE浏览器不能正常地打开链接;不能复制粘贴;有时出现应用程序,比如Word异常;网络变慢;在任务管理器里有一个叫“msblast.exe”的进程在运行。
“震荡波”病毒感染计算机后,电脑出现如下症状:莫名其妙地死机或重新启动计算机;任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行;在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件;系统速度极慢,CPU占用100%。

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号