局域网中冲击波病毒攻击解决方法
冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗,是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。
这几种病毒发作时,非常消耗局域网和接入设备的资源,造用户上网变得很慢或者不能上网。下面就来介绍一下,怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒,以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。
1.冲击波/震荡波病毒
【故障现象】感染此类病毒的计算机和网络的共同点:
1、不断重新启动计算机或者莫名其妙的死机;
2、大量消耗系统资源,导致Windows操作系统速度极慢;
3、中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
局域网的主机在感染冲击波、震荡波及其变种病毒之后,会向外部网络发出大量的数据包,以查找其他开放了这些端口的主机进行传播,常见的端口有:
TCP 135端口(常见);TCP 139端口(常见);TCP 445端口(常见);TCP 1025端口(常见);TCP 4444端口;TCP 5554端口;TCP 9996端口;UDP 69端口… …
【快速查找】在WebUIà上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等;
2、会话中该主机有上传包,下载包往往很小或者为0。
【解决办法】
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关Windows的补丁。
2、在安全网关上关闭该病毒向外发包的相关端口。
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
这几种病毒发作时,非常消耗局域网和接入设备的资源,造用户上网变得很慢或者不能上网。下面就来介绍一下,怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒,以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。
1.冲击波/震荡波病毒
【故障现象】感染此类病毒的计算机和网络的共同点:
1、不断重新启动计算机或者莫名其妙的死机;
2、大量消耗系统资源,导致Windows操作系统速度极慢;
3、中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
局域网的主机在感染冲击波、震荡波及其变种病毒之后,会向外部网络发出大量的数据包,以查找其他开放了这些端口的主机进行传播,常见的端口有:
TCP 135端口(常见);TCP 139端口(常见);TCP 445端口(常见);TCP 1025端口(常见);TCP 4444端口;TCP 5554端口;TCP 9996端口;UDP 69端口… …
【快速查找】在WebUIà上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等;
2、会话中该主机有上传包,下载包往往很小或者为0。
【解决办法】
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关Windows的补丁。
2、在安全网关上关闭该病毒向外发包的相关端口。
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
2) WebUIà高级配置à业务管理à业务策略配置,建立策略“f_445”(可以自定义名称),屏蔽目的端口为TCP 445的数据包,按照下图进行配置,保存。
-
相关文章
相关文章
