网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在

单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传

染，网络防病毒软件会立刻检测到并加以删除。

典型病毒攻击以及防范措施

3.6.1 ARP木马病毒

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，迫使局域网所有主机的arp地址表的网关MAC地址更新为该主机的MAC地址，导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去，用户原来直接通过路由器上网现在转由通过该主机上网，切换的时候用户会断线一次。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。ARP木马病毒会导致整

个局域网网络运行不稳定，时断时通。

防范措施：可以借助NBTSCAN工具来检测局域网内所有主机真实的IP与MAC地址对应表，在网络不稳定状况下，以arp –a命令查看主机的Arp缓存表，此时网关IP对应的MAC地址为感染病毒主机的MAC地址，通过“Nbtscan –

r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表，从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包，

发现感染病毒主机。

另外，未雨绸缪，建议用户采用双向绑定的方法解决并且防止ARP欺骗，在计算机上绑定正确的网关的IP和网关接口MAC地址，在正常情况下，通过arp –a命令获取网关IP和网关接口的MAC地址，编写一个批处理文件farp.bat

内容如下：

@echo off

arp –d（清零ARP缓存地址表）

arp -s 192.168.1.254 00-22-aa-00-22-aa（绑定正确

网关IP和MAC地址）

把批处理放臵开始--程序--启动项中，使之随计算机

重起自动运行，以避免ARP病毒的欺骗。

3.6.2 W32.Blaster 蠕虫

W32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫，传播能力很强。蠕虫通过TCP/135进行探索发现存在漏洞的系统，一旦攻击成功，通过TCP/4444端口进行远程命令控制，最后通过在受感染的计算机的UDP/69端口建立

tftp服务器进行上传蠕虫自己的二进制代码程序

Msblast.exe加以控制与破坏，该蠕虫传播时破坏了系统的核心进程svchost.exe，会导致系统RPC 服务停止，因此可能引起其它服务（如IIS）不能正常工作，出现比如拷贝、粘贴功能不工作，无法进入网站页面链接等等现象，严重时

并可能造成系统崩溃和反复重新启动。

3.6.3 W32.Nachi.Worm 蠕虫

W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nachi蠕虫感染机器后，会产生大量长度为

92字节的ICMP报文，从而严重影响网络性能。

3.6.4 w32.sasser蠕虫病毒

w32.sasser蠕虫病毒利用了本地安全验证子系统（Local Security Authority Subsystem，LSASS）里的一个缓冲区溢出错误，从而使得攻击者能够取得被感染系统的控制权。震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务