北京国联合科技企业蠕虫病毒防护解决方案

2006-11-6　网友评论 0 条　点击进入论坛

一、蠕虫的定义

随着互联网络的迅速发展，网络带宽的不断加大，蠕虫病毒带来的危害日益严重，从最初的“funlove”、“红色代码”到今天的“冲击波”、“震荡波”，企业
用户网络形势日益严峻。那么究竟什么是蠕虫呢？蠕虫这个名词的由来是在1982年，Shock和Hupp根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”（Worm）程序的思想。蠕虫的定义是: 蠕虫（Worm）是病毒的一种，它的传播通常不需要人为的激活。它通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。一旦它进入一台电脑，就会迅速的吞噬大量的内存和大量的带宽从而造成机器停止响应。

二、蠕虫的基本结构和传播过程

蠕虫的基本结构可以分为以下三个模块：

1、传播模块：这个模块主要负责蠕虫的传播。

2、隐藏模块：这个模块主要是在蠕虫侵入主机后，隐藏自己，避免被用户发现。

3、目的功能模块：在蠕虫成功侵入主机后，实现对该主机的控制、监视和破坏等。

一般来说，蠕虫的传播模块又可以根据它传播的过程，分成三个部分：扫描、攻击和复制。蠕虫的一般传播过程可分成三步走：

1、扫描：由蠕虫的扫描功能模块探测网络中存在漏洞的主机，当该程序成功地探测到存在漏洞的主机，并且收到反馈信息后，就得到了一台可传播的主机。

2、攻击：攻击模块按照漏洞攻击步骤，自动攻击扫描得到的存在漏洞的主机，取得该主机的权限，并且在该主机上打开一个进程。

3、复制：复制模块通过原主机和新主机的交互，将蠕虫程序复制到新主机上，并启动。

三、企业蠕虫病毒防护解决方案

了解了蠕虫病毒的传播模式，我们可以比较清楚地考虑如何预防、阻挡、控制和消灭企业网络中的蠕虫病毒。

首先，我们来看一下预防，蠕虫在传播的过程中，首先是探测网络中存在漏洞的主机，因此及早更新操作系统补丁，能够有效地预防蠕虫病毒的感染。

但是，随着互联网络的迅速发展，不仅仅是病毒传播不再存在明显的地域性，而且世界各地的程序员获得操作系统漏洞信息的速度也越来越快，最糟糕的现象，是所谓的“零日攻击”（病毒或蠕虫利用软件某个未知和未修补的漏洞发起攻击）威胁也即将出现。基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络，并使管理人员对网络保护束手无策。

因此，单纯依靠网络管理员不断的为系统升级补丁程序，甚至防病毒程序，并不能完全有效地阻挡蠕虫病毒的攻击，比如说不依靠有效的阻断工具，我们就无法防止公网上其他主机对本网络的蠕虫扫描攻击。

这时我们可以考虑从“扫描”这个步骤来阻断蠕虫病毒的传播。在企业网络关口的位置架设防火墙，对进出网络的数据包进行过滤，封禁除web、mail、ftp等对外必须提供服务外的其他网络应用，如137、138、139、445等端口，防止蠕虫病毒通过这些局域网应用服务，从公网窜入内网。

目前的蠕虫病毒，多结合了蠕虫、病毒、黑客后门程序于一体，并非通过单一途径传播，因此仍然存在内网某台机器感染蠕虫病毒，并对内部网络发起大量扫描，传播病毒，并导致网络阻塞的现象，如常见的“冲击波”病毒。而蠕虫病毒的传播特点，又导致了网络中机器的反复感染，单纯依靠杀毒软件，已经很难取得很好的效果，这时如何在内部网络快速定位病毒传播源，阻止病毒在局网中的传播，通知管理员快速查杀病毒，将成为重点。

速通防火墙和路由器产品中，都包含了独有的蠕虫阻断和报警功能，通过匹配不同蠕虫病毒中扫描包的特征字，可以快速地定位网络中正在传播蠕虫病毒的主机，并且阻断该主机继续传播病毒，通知管理员，快速地查杀病毒。这就使得蠕虫病毒在局域网中无法大规模地爆发，导致网络速度下降，甚至中断，也不需要像传统的蠕虫病毒查杀方法那样，整个网络进行断网杀毒。

同时，速通产品中还内置了入侵检测、网页过滤、带宽管理等功能，也可以帮助管理员更好地管理网络，阻挡来自网络中的黑客攻击，减少因访问不良站点带来的各种安全威胁等。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表