路由器在网络病毒检测与防范中应用.docVIP

路由器在网络病毒检测与防范中应用 　　摘 要：网络病毒对网络危害大，需要被及时检测并进行处理。路由器作为重要的网络设备不仅具有路由、NAT转换等功能，同时具有访问列表控制、调试、日志等功能。技术保障人员充分利用这些功能可在网络病毒检测与防范方面起到良好的效果。描述了如何利用路由器功能结合show、debug、accesslist等路由器命令来检测与防范网络病毒。 　　关键词：路由器；网络病毒；病毒检测；病毒防范 　　中图分类号：TP309.5 文献标识码：A 文章编号2013）003015002 　　0 引言 　　随着网络技术的发展，网络病毒活动越来越猖獗，一旦网络中有机器感染网络病毒，则可能导致整个信息网络瘫痪，影响到业务和服务正常运行。网络病毒的检测与防范已成为网络管理人员高度重视的问题。在不增加投资的情况下充分利用现有网络设备和技术检测与防范网络病毒是一条好路径。湖北省???市州级气象部门普遍使用博达4860系列和2624系列路由器。博达路由器使用简单、功能强大，充分利用其提供的功能，可实现对部分网络病毒的检测与防范。 　　1 路由器病毒检测应用 　　1.1 利用show命令检测病毒 　　1.1.1 show命令简介 　　show命令用来显示路由器配置信息和状态信息，可以同时在用户模式和特权模式下运行，“show ？”命令来提供一个可利用的show命令列表。如show conf 用来查看配置信息；show debug显示当前VTY打开的所有调试信息；show ip route命令显示路由器的当前状态；show version：显示路由器版本信息。 　　1.1.2 利用show arp命令检测ARP病毒 　　show arp显示所有ARP表项，包括接口IP地址的ARP映射，用户配置的静态ARP映射，动态ARP映射。在路由器上用show arp查看映射信息，显示如下： 　　Protocol Address Age（min） Hardware Address Type Interface 　　IP 84 8 00：10：5c：f8：55：61 ARPA FastEthernet1/0 　　IP 85 4 00：10：5c：f8：23：d6 ARPA FastEthernet1/0 　　IP 2 1 00：c0：4f：1c：c8：88 ARPA FastEthernet1/0 　　IP 05 1 00：c0：4f：1c：c8：88 ARPA FastEthernet1/0 　　IP 1 6 00：10：5c：f8：5a：18 ARPA FastEthernet1/0 　　从该列表可以看到有两台机器的MAC地址相同，同为00：c0：4f：1c：c8：88，但IP地址不同，IP地址分别为IP 2、IP 05，那么很可能存在问题，需要进行仔细检查。进一步检查发现IP地址为05的机器实际MAC地址为00：c0：4f：1c：c8：88，IP地址为2的机器实际MAC地址为00：01：6c：00：ea：f3，则可以判定IP地址为05的机器感染了ARP病毒，因为它伪造了IP为2机器的MAC地址。 　　1.1.2 利用 show ip nat translation命令检查冲击波病毒 　　show ip nat translation显示激活的NAT地址翻译列表。如某台主机的NAT地址翻译中，该主机的目标地址为某一网段，目标端口为135、136、137、138、139、445、4444，则该机器已中冲击波病毒。 　　1.2 利用debug命令检测病毒 　　debug显示调试信息。debug arp显示ARP交互信息，例如机器发出ARP请求，收到ARP响应；收到ARP请求，发出ARP响应等信息。当路由器和主机无法通信时，可以用于分析ARP交互情况。debug ip tcp transactions显示传输控制协议的重要交互信息，例如TCP连接状态改变等。debug命令需要配合terminal monitor使用。terminal monitor命令的作用是在当前终端显示调试输出及系统错误信息。如在路由器输入terminal monitor和debug arp命令，显示如下： 　　2011-1-1 00：06：30 IP ARP： rcvd reply src 1 00：11：43：ba：dd：cd， dst 54， FastEthernet0/1 　　2011-1-1 00：06：30 IP ARP： rcvd reply src 1 00：11：43：ba：dd：cd， dst 54， FastEthernet0/1 　　2011-1-1 00：06：30 %Warning：