关于对“震荡波”病毒的预警和处理方法的公告
关于对“震荡波”病毒的预警和处理方法的公告
从5月初开始,在Internet上正在流行着“震荡波”病毒,该病毒通过扫描网络上具有漏洞的系统,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击。请各地数通技术服务人员遇到此类问题,除督促用户及时进行查杀病毒外,还应注意到由于这些病毒并不攻击网络设备,所以可以通过网络设备的一些设置在一定程度上减轻病毒的传播和危害。因为此类病毒多是利用一些特定端口的TCP报文来进行传输,一旦通过网络抓包确认病毒报文的类型和端口号,就可以在网络设备上采用相应的过滤措施来减少病毒危害。在华为3Com网络设备上可以采用增加访问规则,禁止对某些特定端口的访问的方法来减轻病毒的传播及危害。现在将针对“震荡波”病毒所使用的TCP端口445, 5554, 9996报文进行访问拒绝的方法列举如下,请各位数通技术人员在处理类似问题时参考。
l NE80的配置(旧命令行):
NE80(config)#rule-map r1 tcp any any eq 445
NE80(config)#rule-map r2 tcp any any eq 5554
NE80(config)#rule-map r3 tcp any any eq 9996
//r1、r2和r3为rule-map的名字,tcp 为关键字,any any 所有源、目的IP,eq为等于,445, 5554, 9996为tcp端口号
NE80(config)#acl a1 r1 deny
NE80(config)#acl a2 r2 deny
NE80(config)#acl a3 r3 deny
//a1、a2和a3为acl的名字,r1、r2和r3为要绑定的rule-map的名字,
NE80(config-if-Ethernet1/0/0)#access-group acl a1
NE80(config-if-Ethernet1/0/0)#access-group acl a2
NE80(config-if-Ethernet1/0/0)#access-group acl a3
//在1/0/0接口上绑定acl,acl为关键字,a1、a2和a3为acl的名字
l NE16的配置(旧命令行):
NE16-4(config)#firewall enable all
//首先启动防火墙
NE16-4(config)#access-list 101 deny tcp any any eq 445
NE16-4(config)#access-list 102 deny tcp any any eq 5554
NE16-4(config)#access-list 103 deny tcp any any eq 9996
//deny为禁止的关键字,针对tcp报文,any any 为所有源、目的IP,eq为等于, 445, 5554, 9996为tcp端口号
NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
NE16-4(config-if-Ethernet2/2/0)#ip access-group 102 in
NE16-4(config-if-Ethernet2/2/0)#ip access-group 103 in
//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文
l NE80的配置(新命令行):
//r1、r2和r3为rule-map的名字,tcp 为关键字,any any 所有源、目的IP,eq为等于,445, 5554, 9996为tcp端口号
rule-map intervlan r1 tcp any any equal 445
rule-map intervlan r2 tcp any any equal 5554
rule-map intervlan r3 tcp any any equal 9996
//定义eacl,r为eacl的名字,规则为禁止目的地址为445、5554。9996的数据包
eacl r r1 deny
eacl r r2 deny
eacl r r3 deny
//在1/0/2接口上绑定eacl,eacl名字为r
interface Ethernet1/0/2
access-group router eacl r
l NE16的配置(新命令行):
//deny为禁止的关键字,针对tcp报文,any any 为所有源、目的IP,eq为等于, 445, 5554, 9996为tcp端口号
acl number 101 match-order auto
rule 0 deny tcp destination-port eq 445
rule 1 deny tcp destination-port eq 5554
rule 2 deny tcp destination-port eq 9996
//首先启动防火墙
firewall enable all
//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文
interface Ethernet2/2/0
firewall packet-filter 101 in
l 中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-acl-101]rule deny tcp source any destion any destination-port eq 445
[Router]acl 102
[Router-acl-102]rule deny tcp source any destion any destination-port eq 5554
[Router]acl 103
[Router-acl-103]rule deny tcp source any destion any destination-port eq 9996
[Router-Ethernet0]firewall packet-filter 101 inbound
[Router-Ethernet0]firewall packet-filter 102 inbound
[Router-Ethernet0]firewall packet-filter 103 inbound
l 6506产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny protocol tcp any any eq 445
6506(config)#acl extended bbb deny protocol tcp any any eq 5554
6506(config)#acl extended ccc deny protocol tcp any any eq 9996
6506(config-if-Ethernet5/0/1)#access-group aaa
6506(config-if-Ethernet5/0/1)#access-group bbb
6506(config-if-Ethernet5/0/1)#access-group ccc
国际化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule 1 deny tcp source any destination any destination-port eq 445
[Quidway-acl-adv-100]rule 2 deny tcp source any destination any destination-port eq 5554
[Quidway-acl-adv-100]rule 3 deny tcp source any destination any destination-port eq 445
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet 5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface
l 5516产品的配置:
旧命令行配置如下:
5516(config)#rule-map l3 r1 protocol-type tcp ingress any egress any eq 445
5516(config)#rule-map l3 r2 protocol-type tcp ingress any egress any eq 5554
5516(config)#rule-map l3 r3 protocol-type tcp ingress any egress any eq 9996
5516(config)#flow-action f1 deny
5516(config)#acl a1 r1 f1
5516(config)#acl a2 r2 f1
5516(config)#acl a3 r3 f1
5516(config)#access-group a1
5516(config)#access-group a2
5516(config)#access-group a3
l 5000(包括5012、5024)产品的配置:
[Quidway]acl name a1
[Quidway]rule 0 deny tcp source-port eq any destination-port eq 445
[Quidway]rule 1 deny tcp source-port eq any destination-port eq 9995
[Quidway]rule 2 deny tcp source-port eq any destination-port eq 9996
[Quidway]packet-filter ip-group a1
l 3X26E、3050、3552、3528产品的配置:
[Quidway]acl name a1
[Quidway]rule 0 deny tcp source-port any destination-port 445
[Quidway]rule 1 deny tcp source-port any destination-port 9995
[Quidway]rule 2 deny tcp source-port any destination-port 9996
[Quidway]packet-filter ip-group a1
l 3526产品的配置:
旧命令行配置如下:
3526(config)#rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 445
3526(config)#rule-map l3 r2 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 5554
3526(config)#rule-map l3 r3 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 9996
3526(config)# flow-action f1 deny
3526(config)# acl a1 r1 f1
3526(config)# acl a2 r2 f1
3526(config)# acl a3 r3 f1
3526(config)# access-group a1
3526(config)# access-group a2
3526(config)# access-group a3
国际化新命令配置如下:
[3526]acl number 100
[3526] rule 0 deny tcp source 0.0.0.0 0 source-port eq 445 destination 1.1.0.0 0
[3526] rule 1 deny tcp source 0.0.0.0 0 source-port eq 5554 destination 1.1.0.0 0
[3526] rule 2 deny tcp source 0.0.0.0 0 source-port eq 9996 destination 1.1.0.0 0
[3526]packet-filter ip-group 100
注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。
l 8016产品的配置:
旧命令行配置如下:
8016(config)#rule-map intervlan r1 tcp any any eq 445
8016(config)#rule-map intervlan r2 tcp any any eq 5554
8016(config)#rule-map intervlan r3 tcp any any eq 9996
8016(config)#acl a1 r1 deny
8016(config)#acl a2 r2 deny
8016(config)#acl a3 r3 deny
8016(config)#access-group acl a1 vlan 10 port all
8016(config)#access-group acl a2 vlan 10 port all
8016(config)#access-group acl a3 vlan 10 port all
国际化新命令行配置如下:
[8016]rule-map intervlan r1 tcp any any eq 445
[8016]rule-map intervlan r2 tcp any any eq 5554
[8016]rule-map intervlan r3 tcp any any eq 9996
[8016]eacl a1 r1 deny
[8016]eacl a2 r2 deny
[8016]eacl a3 r3 deny
[8016]access-group eacl a1 vlan 10 port all
[8016]access-group eacl a2 vlan 10 port all
[8016]access-group eacl a3 vlan 10 port all
l 8500产品的配置:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule 0 deny tcp destination-port eq 445
[Quidway-acl-adv-100]rule 1 deny tcp destination-port eq 5554
[Quidway-acl-adv-100]rule 2 deny tcp destination-port eq 9996
[Quidway-acl-adv-100]quit
[Quidway]int e6/1/1
[Quidway-Ethernet6/1/1]packet-filter inbound ip-group 100
注意:如果在网络中实际运行中有需要使用445、5554和9996端口的应用时,这样设置防火墙会造成业务不通。根本的解决方法还是下载微软提供的补丁版本和杀毒。
