文档编号:186 浏览:7384 评分:26 最后更新于:2008-08-15
如何诊断蠕虫病毒或者黑客攻击造成的设备使用异常的故障?
提示 :以下各点仅在排除网络故障时作为参考,不作为发现网络病毒或各种攻击的依据。
【地址/端口扫描软件】在使用此类软件时,软件会在单位时间向目标地址或者目标网段发出大量的ICMP/UDP包或者TCP连接,以扫描目标地址是否存在或者是否有开放的端口。使用这些软件的客户端会发出很大的数据流量,如果这些流量过大,会造成网络节点设备负载过大,造成网络拥塞,影响其他用户的正常上网。
根据上述特点,可以通过以下3种方式找出使用地址/端口扫描软件的用户。
1) 在系统状态 —>NAT 统计 的“NAT统计信息列表”中,查看是否有“超限次数”大于100的用户。由于设备支持用户在单位时间内最多只能有 800条NAT连接(这完全能保障正常上网的用户),超过的连接将被设备丢弃,并在“超限次数”里面增加记录,因而当“超限次数”大于100时,该用户很可能正在使用地址/端口扫描软件。
2) 在系统状态 —>NAT 统计 的“NAT统计信息列表”中,查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于地址/端口扫描软件在往外发送数据包的时候,往往会伪造源地址,这样就会导致对方响应的数据包不能正常返回到发送方,因而当某用户“上传数据包”数量远远大于“下载数据包”数量时,该用户很可能正在使用地址/端口扫描软件。
3) 在系统状态 —> 系统信息 的“系统历史记录”中,如果发现某用户的NAT exceeded信息(例如显示出信息“NAT exceeded 192.168.16.221”),表示该IP地址的计算机NAT并发session超过了设备限定的最大session数,则该用户很可能正在使用地址/端口扫描软件。
提示 :解决措施,建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。
【DoS/DDoS攻击】俗称洪水攻击、术语称拒绝服务攻击或称分布性拒绝访问。这种攻击方法在很短的时段内向某一网站发出大量信息,使其超出该网站自身的负荷能力而“无法对用户提供正常服务”,造成网站业务不能正常开展。使用这些攻击方式的客户端会发出很大的数据流量,如果这些流量过大,会造成网络节点设备负载过大,造成网络拥塞,影响其他用户的正常上网。
根据上述特点,可以根据以下方法找出使用地址/端口扫描软件的用户。
1) 在系统状态 —>NAT 统计 的“NAT统计信息列表”中,查看是否有“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时,会向Internet发送大量的数据包,因此如果某用户的“上传数据包”数量比其他用户大很多、“下载数据包”数量却很少,那么该用户很可能正在进行DoS/DDoS攻击。
提示 :做正常HTTP/FTP上传的用户应该排除在外。
2) 在系统状态 —>NAT 统计 的“NAT统计信息列表”中,查看是否有“上传数据包”数量比“下载数据包”数量大很多的用户。由于当用户使用DoS/DDoS攻击方式攻击主机时,往往会伪造源地址,这样就会导致对方响应的数据包不能正常返回到发送方,因而当某用户“上传数据包”数量远远大于“下载数据包”数量时,该用户很可能正在进行DoS/DDoS攻击。
3) 在系统状态 —> 系统信息 的“系统历史记录”中,如果发现某用户的NAT exceeded信息(例如显示出信息“NAT exceeded 192.168.16.221”),表示该IP地址的计算机NAT并发session数超过了设备限定的最大session数,则该用户很可能正在进行DoS/DDoS攻击。
提示 :解决措施,建议停止该用户正在使用的软件包、杀毒、重新安装操作系统。
C. 发现 RED_WORM (红色代码 Code red )类型的网络攻击型病毒
1) 在系统状态 —> 用户统计 的“用户统计信息列表”中,查看是否有“发送数据包”数量很大的用户;同时在系统状态 —>NAT 统计 的“NAT统计信息列表”中,查看是否有“下载数据包”数量很小或没有的用户。如果某用户同时满足上述条件,同时该用户也未使用过局域网中的各种服务器,则该用户很可能正在已经感染上RED_WORM类型的网络攻击型病毒。
2) 在系统状态 —> 用户统计 的“用户统计信息列表”中,查看是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能已经感染上RED_WORM类型的网络攻击型病毒。
提示 :某些软件在正常使用的时候也会发送大量的广播包,比如网吧计费管理软件,这样就会造成广播包/发送包远大于10%,此时应该忽略这种异常情况。
D. 发现 TCP SYN FLOOD , UDP FLOOD , ICMP FLOOD 类型的网络攻击
在系统状态 —> 用户统计 的“用户统计信息列表”中,查看是否有“发送数据包”数量很大、“接收数据包”数量很小的用户。如果某用户“发送数据包”数量很大,同时“接收数据包”数量很小,则该用户很可能正在进行TCP SYN FLOOD、UDP FLOOD或ICMP FLOOD类型的攻击。
提示 :做正常HTTP/FTP上传的用户应该排除在外。
1) 在系统状态 —> 用户统计 的“用户统计信息列表”中,查看是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能正在进行ARP FLOOD型攻击。
提示 :某些软件在正常使用的时候也会发送大量的广播包,比如网吧计费管理软件,这样就会造成广播包/发送包远大于10%,此时应该忽略这种异常情况。
2) 在系统状态 —> 系统信息 的“系统历史记录”中,如果发现某 IP地址的MAC地址经常变化(例如显示出信息“MAC Chged 192.168.16.221”、“MAC Old 00:22:aa:00:22:aa”以及“MAC New 00:22:aa:00:22:bb”),则该用户很可能正在进行ARP FLOOD型攻击。
感染了“冲击波”、“震荡波”病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445的端口发送大量的广播包,造成设备端口拥塞,直至整个内部网络、外部网络瘫痪。
在上网监控 中,“选择查看条件”为“全部记录”,查看“查询结果列表”,如果在全部“协议类型”一列中,发现很多类型为ICMP的条目;在“外网端口”一列中,发现很多端口为135/137/139/445的条目,这些条目占用了大量的NAT Seesion条目,则很可能有主机感染了“冲击波”、“震荡波”病毒。
“冲击波”病毒感染计算机之后,电脑出现如下症状:莫名其妙地死机或重新启动计算机;IE浏览器不能正常地打开链接;不能复制粘贴;有时出现应用程序,比如Word异常;网络变慢;在任务管理器里有一个叫“msblast.exe”的进程在运行。
“震荡波”病毒感染计算机后,电脑出现如下症状:莫名其妙地死机或重新启动计算机;任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行;在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件;系统速度极慢,CPU占用100%。