网络安全技术与应用-拓展任务（答案参考）.docxVIP

拓展任务：“冲击波”病毒分析 2003年7月21日，Windows 操作系统的远程过程调用（Remote Procedure Call，RPC）漏洞被公布，同年8月，一种针对此漏洞的病毒爆发，即著名的“冲击波”病毒。该病毒运行时会不停地利用IP扫描技术寻找网络上操作系统为Windows 2000或Windows XP 的计算机，找到后利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒就会被传输到该计算机中，使系统操作发生异常、机器不停重启，甚至导致系统崩溃。另外，该病毒还会对系统升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。 【任务内容】 分析“冲击波”病毒，并给出防范建议。 【任务设备】 上网终端。 【任务思路】 步骤 1：病毒原理分析 “冲击波”病毒利用 Windows 操作系统的“RPC接口中的 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank 缓冲区 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank 溢出”漏洞，通过 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank TCP \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank 135端口，向远程计算机发送特殊形式的请求，允许攻击者在目标计算机上获得完全的 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank 权限并执行任意代码。 步骤 2：病毒影响范围分析 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank Windows 2000\XP\Server 2003\NT4.0。 步骤 3：病毒防范方法分析 修复漏洞。病毒通过最新RPC漏洞进行传播，因此用户可以在终端上安装相应的补丁。 关闭端口。病毒会用到TCP的135、4444、69等 \t /item/%E5%86%B2%E5%87%BB%E6%B3%A2%E7%97%85%E6%AF%92/_blank 端口，用户可以使用防火墙或IP安全策略禁用这些端口。 禁用 PRC 协议。由于“冲击波”病毒是 利用PRC接口漏洞，因此用户可以通过禁用RPC 协议防范该病毒。 安装杀毒软件，及时更新病毒库。在终端上安装杀毒软件，及时更新病毒库，对于不明邮件和下载的文件，应在扫描杀毒后使用。  任务1：远程管理防火墙（Telnet） 防火墙初始化配置以后，后续防火墙的管理通常都是采用远程方式进行，这里主要使用Telnet管理方式。为此需要在防火墙上测试，为将来设备上线时远程管理做好准备。 如果是首次登录CLI界面，请先 通过Console登录CLI界面然后按下述步骤搭建Telnet登录环境 开启Telnet服务 FWsystem-view [FW]telnet server enable //启动Telnet服务，允许Telnet用户登录 配置登录接口（可选） [FW] interface g1/0/1 //进入接口视图 [FW-GigabitEthernet1/0/1] ip address 24 //配置接口IP地址和掩码长度 [FW-GigabitEthernet1/0/1] service-manage enable //开启接口的访问控制管理功能 [FW-GigabitEthernet1/0/1] service-manage telnet permit //指定访问控制管理方式Telnet [FW-GigabitEthernet1/0/1] service-manage ping permit //开启接口访问控制管理方式ping。默认情况下，为了安全，防火墙除了管理口外，其余接口禁止ping测试。这里主要为了方便连通性测试，暂时开启此功能，调试完毕后可关闭此方式 [FW-GigabitEthernet1/0/1] quit //退出接口视图 说明： 如果使用防火墙管理口的缺省配置登录设备，无需执行此步骤。管理口的缺省IP地址为，接口已经加入Trust区域，并且允许管理员通过Telnet登录设备。 将接口加入安全区域 [FW] firewall zone trust //进入trust安全区域视图 [FW-zone-trust] add interfa