寻找蠕虫攻击源.pdfVIP

责任编辑：孙红娜 联系电话：O10 投稿信箱：shn@365master．com 寻找蠕虫攻击源 ● 新疆 李书 叶自力 苏大伟 蠕虫病毒具有较强的传染性 简单的介绍 。 0019-2IfS-a331是 不 是 真 及破坏性，会对我们的计算机网 1．虚 网内部蠕虫病毒攻击行为 是的网关呢?我们可 以登录到三 络系统造成严重的冲击 ，导致正 的定位 层交换机上去查看 ，通过 “show 常应用无法访 问。因此在爆发蠕 先看一个实 际例子 ：某用户 interfaces-vlan {”(Cisco交 虫病毒的网络中，如何快速定位、 反应其所在 虚 网内部 大部分用户 换机)命令可 以看到 ，真实网关 切断 内部的攻击源 ，恢复正常的 访 问网络 时断时续，初步判 断 ， 的MAC地址为 001a-2f84-fbfl， 网络服务 ，是必须要解决的问题 。 可能感染 了ARP病毒 。于是在 如 图2所示。 然而在现实 中，一方面 由于 用户所在 网络 中的任意一台 电脑 大型企业 网络拓扑的复杂性，网 上进行抓包 ，如 图 1所示。 显然 ，真 实 网关 的MAC地址 络设备多达上百甚至数百台，客 对 抓包 的数 据 进 行 分 析 ， 不是 0O19．21f8．a551，从 而确 定 户机 的数量更是数 以千计 ；另一 发 现 MAC地 址 为 ：0019- 这 是一起 典型 的AEP欺骗 。感染 方面蠕虫病毒往往会想方设法 隐 21f8-a33l的设 备在 发送大量 的 了蠕 虫病毒 的计算机 试 图通过 发 藏 自己的真实身份 ，这都给蠕虫 ARP包 ，告诉网络中的其他设备 ， 送 大量 的AEP欺骗 包，达到 中断 病毒 的定位带来了巨大的挑 战。 它 自己是 网关 l0．x．42．254。于 网络或者形成 中间人攻击获取用 本文将结合实 际工作 ，提 出 是 ，该 网络 中的计算机都信 以为 户个人信 息的 目的。 快速定位攻击源的一种方法 。 真，将对外的数据请求都发送到 了 0019-2If8-a331。 在 得到病 毒 源 的MAC后 ， 蠕虫病毒攻击行为分类 我们 只需要在接入层交换 蠕虫病毒 的攻 击方式 机上使用命令 ： 按原理分有许 多种 ，在此 j()“show mac-address- 、 ／ ： 就不做介绍 了，本文 只是 ：table address 0019．21f8． 按照蠕虫病毒的影响范围， a331”(Ciso交换机) ! 将攻击行为分为以下两种 ： 使用该命令可 以获得病 1．虚网内部攻击行为 毒源所连接交换机 的端 口 由于攻击仅限于虚网内 号，如 图3所示。确认其 部 ，因此此类攻击会造成虚 来 自于交换机 的faO／36端 网内部计算机的网络异常 。