当前位置:首页 >> 范文 >> 关于控制冲击波病毒的处理

关于控制冲击波病毒的处理

01-27

关于控制“冲击波”病毒的处理

一、 情况简述

近日因“冲击波”病毒和“冲击波杀手”病毒的影响,在发现网络上出现大量访问目的端口135、445等TCP包和巨量的ICMP包,短时甚至影响到交换机的CPU利用率。4506(S3引擎)短时CPU利用率达到90%。

二、 采取措施方法

1、4506上的处理

针对上述情况,首先在4506上进行了如下访问控制:

vlan access-map drop_udp_1434 10

action drop

match ip address udp_1434

vlan access-map drop_udp_1434 15

action drop

match ip address cjb

vlan access-map drop_udp_1434 20

action forward

match ip address ip_match

vlan filter drop_udp_1434 vlan-list 1-4094

!

„„

ip access-list extended cjb

permit tcp any any eq 4444

permit tcp any eq 135 any

permit tcp any eq 137 any

ip access-list extended ip_match

permit ip any any

不到半小时即拦截了几十万个源端口为135的TCP包。

然后在该设备上增加了“冲击波”病毒的所有特征包:

permit tcp any any eq 135

permit tcp any any eq 139

permit tcp any any eq 445

permit tcp any any eq 593

permit udp any any eq tftp

permit udp any any eq 135

permit udp any any eq netbios-ns

permit udp any any eq netbios-dgm

permit udp any any eq netbios-ss

permit tcp any eq 139 any

permit tcp any eq 4444 any

permit tcp any eq 445 any

permit tcp any eq 593 any

permit udp any eq tftp any

permit udp any eq 135 any

permit udp any eq netbios-ns any

permit udp any eq netbios-dgm any

permit udp any eq netbios-ss any

加上后,效果更为显著,拦截情况如下:

4506#sh ip acce

Standard IP access list 98

permit 61.174.90.0, wildcard bits 0.0.1.255 (6 matches) check=2537 permit 10.10.8.0, wildcard bits 0.0.0.63 (1502 matches) check=2537 permit 10.11.44.224, wildcard bits 0.0.0.31 (1127 matches) check=2535 deny any log (130326 matches)

Standard IP access list 99

permit 210.5.19.221 log (4 matches)

permit 61.174.90.0, wildcard bits 0.0.1.255 log (14 matches) check=8 permit 10.10.8.0, wildcard bits 0.0.0.31 log (8 matches)

Extended IP access list cjb

permit tcp any any eq 4444 (348 matches)

permit tcp any eq 135 any (164 matches)

permit tcp any eq 137 any

permit tcp any any eq 135 (19920115 matches)

permit tcp any any eq 139 (2936995 matches)

permit tcp any any eq 445 (5761882 matches)

permit tcp any any eq 593

permit udp any any eq tftp (28 matches)

permit udp any any eq 135 (32629 matches)

permit udp any any eq netbios-ns (1073867 matches)

permit udp any any eq netbios-dgm (279542 matches)

permit udp any any eq netbios-ss

permit tcp any eq 139 any (3517 matches)

permit tcp any eq 4444 any (2485 matches)

permit tcp any eq 445 any (42 matches)

permit tcp any eq 593 any

permit udp any eq tftp any (12 matches)

permit udp any eq 135 any (6 matches)

permit udp any eq netbios-ns any (9912 matches)

permit udp any eq netbios-dgm any (20 matches)

permit udp any eq netbios-ss any (6 matches)

Extended IP access list ip_match

permit ip any any (2042995121 matches)

Extended IP access list udp_1434

permit udp any any eq 1434 (19230 matches)

4506#

至此, 4506设备CPU利用率比较稳定(基本处在10%以下,峰值也未发现超过20%)。

2、6509上处理

6509增加访问控制。

配置如下:

#WORM1

set security acl ip WORM1 permit arp

set security acl ip WORM1 deny udp any any eq 1434

set security acl ip WORM1 deny tcp any any eq 4444

set security acl ip WORM1 deny tcp any eq 135 any

set security acl ip WORM1 deny tcp any eq 137 any

set security acl ip WORM1 deny tcp any any eq 135

set security acl ip WORM1 deny tcp any any eq 139

set security acl ip WORM1 deny tcp any any eq 445

set security acl ip WORM1 deny tcp any any eq 593

set security acl ip WORM1 deny udp any any eq 69

set security acl ip WORM1 deny udp any any eq 135

set security acl ip WORM1 deny udp any any eq 137

set security acl ip WORM1 deny udp any any eq 138

set security acl ip WORM1 deny tcp any eq 139 any

set security acl ip WORM1 deny tcp any eq 4444 any

set security acl ip WORM1 deny tcp any eq 445 any

set security acl ip WORM1 deny tcp any eq 593 any

set security acl ip WORM1 deny udp any eq 69 any

set security acl ip WORM1 deny udp any eq 135 any

set security acl ip WORM1 deny udp any eq 137 any

set security acl ip WORM1 deny udp any eq 138 any

set security acl ip WORM1 permit ip any any

#

commit security acl all

set security acl map WORM1 2-100,200-490,492-799,801-829,831-900

!

效果示例:

配置前:

6509>sh mls stat en ip source 218.72.250.227

Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes

---------------- --------------- ----- ------ ------ ---------- ---------------

218.70.116.233 218.72.250.227 ICMP 0 0 1 92 218.70.116.148 218.72.250.227 ICMP 0 0 1 92

218.70.116.141 218.72.250.227 ICMP 0 0 1 92 141.155.94.96 218.72.250.227 TCP 445 1924 2 96 218.70.119.251 218.72.250.227 ICMP 0 0 1 92 218.70.119.134 218.72.250.227 ICMP 0 0 1 92 218.70.119.42 218.72.250.227 ICMP 0 0 1 92 218.70.119.101 218.72.250.227 ICMP 0 0 1 92 218.70.114.230 218.72.250.227 ICMP 0 0 1 92 218.70.114.97 218.72.250.227 ICMP 0 0 1 92 218.70.115.111 218.72.250.227 ICMP 0 0 1 92 218.70.115.11 218.72.250.227 ICMP 0 0 1 92 218.70.115.167 218.72.250.227 ICMP 0 0 1 92 10.229.192.24 218.72.250.227 TCP 445 2994 1 48 218.70.112.50 218.72.250.227 ICMP 0 0 1 92 218.70.112.43 218.72.250.227 ICMP 0 0 1 92 218.70.120.238 218.72.250.227 ICMP 0 0 1 92 182.220.27.115 218.72.250.227 TCP 445 2128 1 48 218.70.133.169 218.72.250.227 TCP 135 3380 3 144 218.70.123.206 218.72.250.227 ICMP 0 0 1 92 218.70.111.193 218.72.250.227 TCP 135 4930 1 48 218.70.126.225 218.72.250.227 ICMP 0 0 1 92 218.70.127.113 218.72.250.227 ICMP 0 0 1 92 218.70.127.160 218.72.250.227 ICMP 0 0 1 92 10.160.95.188 218.72.250.227 TCP 445 1837 2 96 117.99.35.56 218.72.250.227 TCP 445 3746 2 96 218.70.139.43 218.72.250.227 TCP 135 1449 1 48 218.70.147.42 218.72.250.227 TCP 135 4497 2 96 218.70.108.96 218.72.250.227 ICMP 0 0 1 92 218.70.108.121 218.72.250.227 ICMP 0 0 1 92 218.70.108.54 218.72.250.227 ICMP 0 0 1 92 218.70.108.47 218.72.250.227 ICMP 0 0 1 92 218.70.108.154 218.72.250.227 ICMP 0 0 1 92 218.70.108.131 218.72.250.227 ICMP 0 0 1 92 218.70.108.168 218.72.250.227 ICMP 0 0 1 92 131.168.3.224 218.72.250.227 TCP 445 4706 2 96 218.27.159.17 218.72.250.227 TCP 445 4452 2 96 218.70.110.134 218.72.250.227 ICMP 0 0 1 92 80.55.43.153 218.72.250.227 TCP 445 3675 2 96 135.95.63.241 218.72.250.227 TCP 445 1733 2 96 218.70.106.68 218.72.250.227 ICMP 0 0 1 92 13.12.105.185 218.72.250.227 TCP 445 3465 1 48 „„

配置后:

6509> (enable) sh mls statistics entry ip source 218.72.250.227

Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes ---------------- --------------- ----- ------ ------ ---------- ---------------

218.72.29.130 218.72.250.227 ICMP 0 0 1 92 218.72.31.209 218.72.250.227 ICMP 0 0 1 92 218.72.31.79 218.72.250.227 ICMP 0 0 1 92 218.72.31.86 218.72.250.227 ICMP 0 0 1 92 218.72.30.37 218.72.250.227 ICMP 0 0 1 92 218.72.27.141 218.72.250.227 ICMP 0 0 1 92 218.72.25.199 218.72.250.227 ICMP 0 0 1 92 218.72.24.42 218.72.250.227 ICMP 0 0 1 92 218.72.24.201 218.72.250.227 ICMP 0 0 1 92 218.72.22.175 218.72.250.227 ICMP 0 0 1 92 218.72.22.224 218.72.250.227 ICMP 0 0 1 92 218.72.23.13 218.72.250.227 ICMP 0 0 1 92 218.72.23.161 218.72.250.227 ICMP 0 0 1 92 218.72.43.15 218.72.250.227 ICMP 0 0 1 92 218.72.42.124 218.72.250.227 ICMP 0 0 1 92 218.72.42.134 218.72.250.227 ICMP 0 0 1 92 218.72.42.173 218.72.250.227 ICMP 0 0 1 92 218.72.32.165 218.72.250.227 ICMP 0 0 1 92 218.72.35.27 218.72.250.227 ICMP 0 0 1 92 218.72.35.77 218.72.250.227 ICMP 0 0 1 92 218.72.38.73 218.72.250.227 ICMP 0 0 1 92 218.72.36.103 218.72.250.227 ICMP 0 0 1 92 218.72.37.238 218.72.250.227 ICMP 0 0 1 92 218.70.155.99 218.72.250.227 ICMP 0 0 1 92 应该说明已有效拦截了各种端口为135、445的包。

三、 存在问题

1、目前的配置不对ICMP包进行拦截,因此在网络上仍然存在着大量的ping包。

2、在对6509进行配置的过程中,出现个别VLAN因ACL engine TCAM table full错误而无法应用该ACL。

如在6509上,VLAN 491、800、830均出现如下提示:

Hardware capacity exceeded. Out of ACL space.

Failed to map VLAN 491 to ACL WORM1.

XDL6509> (enable) 2003 Aug 21 11:37:16 %ACL-3-TCAMFULL:Acl engine TCAM table is full

嘉兴电信分公司监控维护中心

徐一鸣

2006年3月23日


    与《关于控制冲击波病毒的处理》相关的范文

  • 07-23 控制艾滋病工作方案

    • 艾滋病,全称为获得性免疫缺陷综合症(简称AIDS),是由艾滋病病毒(简称HIV)引起的经血液接触、性接触和母婴传播途径传播的一种严重传染性疾病,病死率极高,目前尚无有效治愈办法。从1年我区发现首例艾滋病病毒感染者以来,每年呈几何级数增长,截止年6月,我区艾滋病病毒感染率1.55/10万(含外来人员1.80/10万),三种传播途径均存在,形势不容乐观。 为有效控制艾滋病的传播,减少艾滋病发病,增强全 ...

  • 03-18 第四章现代文阅读第二节理解文中重要的句子

    • [第四章现代文阅读] ·第二节理解文中重要的句子 一、考纲要求 此项考查学生对文章的理解,能力层级要求是B。 理解文中重要句子,即准确理解能揭示段意,揭示中心主旨或揭示文章脉络层次的句子。只有这样才能准确把握文意。 二、知识结构 1.哪些是文中重要的句子。 从内容上说:中心句 从结构上说:总领句、总结句、重要的过渡句 从表达上说:那些超常组合、表达上富有特色的关键句。 2.理解重要 ...

  • 10-19 卫生局工作意见

    • 各镇人民政府、街道办事处,区政府各委、办、局:   现将《关于加强本区艾滋病防治工作的实施意见》印发给你们,请遵照执行。 关于加强本区艾滋病防治工作的实施意见   为认真贯彻落实国务院《关于切实加强艾滋病防治工作的通知》(国发[20*]7号)和上海市人民政府《关于进一步加强本市艾滋病防治工作的通知》(沪府发[20*]28号)的文件精神,切实加强我区艾滋病防治工作,结合我区实际情况,特制定本实施意见 ...

  • 01-06 关于成立XX区防治艾滋病工作委员会的通知

    • XX区人民政府办公室关于成立XX区防治艾滋病工作委员会的通知 各镇政府、街道办事处,经济开发区、XX风景旅游开发区管委会,区政府各部门,各有关单位:   为切实加强对艾滋病防治工作的领导,动员和组织各方面力量进一步做好艾滋病防治工作,实现预防控制艾滋病目标,经区政府研究,决定成立XX区防治艾滋病工作委员会。现将有关事项通知如下:   一、防治艾滋病工作委员会组成人员   主任:……   副主任:… ...

  • 08-05 关于贯彻实施进一步加强艾滋病的通知

    • 各乡镇人民政府、县级有关部门: 国务院《艾滋病防治条例》于20XX年3月1日起正式实施,为了深入贯彻《艾滋病防治条例》,进一步加强我县艾滋病综合防治工作,现将有关事项通知如下: 一、提高认识,加强艾滋病综合防治工作领导 艾滋病是严重危害人民群众身体健康和生命安全的重大传染病,艾滋病防治工作关系经济发展、社会稳定、国家安全和民族兴衰,是一项长期艰巨的任务。各乡镇人民政府、县级各有关部门要认真学习贯彻 ...

  • 09-04 2014年高考生物试题分析

    • 20XX年高考生物试题分析 整体分析 20XX年高考新课标理综生物部分难度适宜,与去年相比持平,各模块的分值分布合理,突出主干知识点的考查,主要考查考生获取信息,处理信息和实验能力,突出综合考查生物学能力,引导学生回归教材,试题淡化了死记硬背,突出综合能力运用,避免了“题海战术”,减轻学生负担。 其中,理综生物卷总分90分,由6题选择题、4题非选择题及两个选学题组成。试题情景源于教材又高于教材,既 ...

  • 07-25 XX市有关部门及县(市.区)政府防治艾滋病工作职责

    •   一、市委宣传部   1、按照全国、全省预防和控制艾滋病、性病宣传教育的原则、政策与策略,研究制定我市预防和控制艾滋病、性病宣传教育实施计划,并督促新闻宣传机构实施。   2、协调有关新闻单位做好艾滋病、性病宣传报道工作。   3、制定新闻媒体免费刊播艾滋病防治专题节目及公益广告的优惠和优先政策。   二、市发展和改革委员会   1、协同卫生局组织制定全市艾滋病、性病防治规划,并将其纳入年度国民 ...

  • 04-26 电子白板使用管理办法

    • 电子白板使用管理办法 为了确保学校的日常教育教学工作顺利开展,充分利用学校的多媒体教学资源,使我校的电子白板设备的使用做到规范化,并使之能真正为日常的教育教学工作发挥作用。经学校研究决定,制定我校电子白板设备安全使用及维护管理办法。 一、电子白板管理,责任到人,分层落实。 1、使用室多媒体电子白板的教师,必须经过技术操作培训合格后,方可使用电子白板设备。 2、电子白板设备实行专人负责,各班班主任是 ...

  • 02-06 安徽省安庆地区最新猪的流感疫情通报

    • 安徽省安庆地区最新猪的流感疫情通报 七月安徽南部长江流域进入夏季以来,先是持续高温,后期又连续阴雨,气候突变,温差较大。加上前期营养较差,造成猪场大部分猪群体质下降,抗病力下降。出现了猪的流行性感冒大面积爆发的预兆。这两种状况会从皖西和皖南向皖东、皖北流行,长江流域向淮河流域蔓延扩散,主要以肥育猪感染,常见性疾病混合型感染病原体多,病情复杂,会出现发病死亡率双高。 • 猪流感(SI)是由A型流感病 ...

  • 08-19 乡高致病性禽流感防治应急预案

    •   禽流行感冒(简称禽流感)是由A型流感病毒引起的禽类烈性传染病。该病被世界动物卫生组织(oIE)列为A类动物疫病,我国也将其列为一类动物疫病。为确保在发生该病疫情时,能够做到及时、迅速、高效、有序地进行应急处理,确保我乡养禽业的健康发展,促进我乡养禽业经济发展,保护人体健康,维护社会稳定,根据《中华人民共和国动物防疫法》和有关法律法规制定本预案。乡直各有关站所及各村应当按照本预案的规定,做好控制 ...

随机推荐
猜你喜欢

© 2024 范文中心 fw.geren-jianli.org | 点这里联系我们删除文章