摘要：本文描述了目前網(wǎng)絡(luò)上存在的幾種對(duì)網(wǎng)絡(luò)設(shè)備危害很大的病毒的攻擊原理，以及Quidway S3500系列路由交換機(jī)的防病毒機(jī)制，和如何有效地抑止這些病毒的蔓延和對(duì)設(shè)備、對(duì)網(wǎng)絡(luò)自身保護(hù)的方法。

1、背景

英特網(wǎng)的普及和ip技術(shù)的普遍應(yīng)用正在為世界帶來日新月異的變化。隨著IP網(wǎng)絡(luò)日益深入人們的工作生活并發(fā)揮重要作用，網(wǎng)絡(luò)入侵、攻擊和病毒案例也日漸頻繁，給人們帶來的很多可見和不可見的損失。以往的網(wǎng)絡(luò)攻擊和病毒多以PC或者服務(wù)器主機(jī)為主要攻擊對(duì)象，但現(xiàn)在隨著終端用戶防病毒意識(shí)和能力的日益提高以及病毒制造者技術(shù)能力的日益增強(qiáng)，象路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備也成為病毒攻擊的對(duì)象。在眾多的網(wǎng)絡(luò)病毒攻擊當(dāng)中，IP地址掃描是最普遍的一種病毒攻擊方式。下面就簡(jiǎn)要介紹一下幾種對(duì)部分路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備有較大危害的此類病毒。

1.1 紅色代碼（Red Code）病毒

“紅色代碼”病毒是一種新型網(wǎng)絡(luò)病毒，其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合，將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體，開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路，可稱之為劃時(shí)代的病毒。假如稍加改造，將是非常致命的病毒，可以完全取得所攻破計(jì)算機(jī)的所有權(quán)限為所欲為，可以盜走機(jī)密數(shù)據(jù)，嚴(yán)重威脅網(wǎng)絡(luò)安全。

紅色代碼病毒采用了惡意IP地址掃描的途徑進(jìn)行自我復(fù)制或惡意攻擊。它通過IP掃描發(fā)送TCP連接請(qǐng)求，對(duì)回應(yīng)的地址進(jìn)行自我復(fù)制，這樣很多時(shí)候一個(gè)三層交換機(jī)下掛的網(wǎng)絡(luò)中會(huì)存在多個(gè)被紅碼病毒感染的客戶端主機(jī)，這些客戶端主機(jī)上的紅碼病毒又會(huì)不斷的發(fā)送IP掃描報(bào)文，多個(gè)感染病毒的客戶機(jī)發(fā)送給交換機(jī)大量的IP掃描報(bào)文對(duì)部分采用精確匹配轉(zhuǎn)發(fā)策略的三層交換機(jī)是一個(gè)嚴(yán)重的考驗(yàn)。病毒采用隨機(jī)產(chǎn)生IP地址的方式，每個(gè)病毒天天能夠掃描40萬個(gè)IP地址，搜索未被感染的計(jì)算機(jī)和設(shè)備，在尋找到“獵物”后，病毒會(huì)向寄生蟲一樣，通過自我安裝感染服務(wù)器，一旦在某臺(tái)服務(wù)器中安裝成功，接下來它就會(huì)利用這臺(tái)服務(wù)器，搜尋更多的感染目標(biāo)，其傳播速度非常驚人。

1.2 沖擊波（MS Blaster）病毒

沖擊波病毒是今年8月份在網(wǎng)絡(luò)上爆發(fā)的又一個(gè)極其猛烈的蠕蟲病毒。該蠕蟲病毒選擇目標(biāo)IP地址的時(shí)候會(huì)首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上用ICMP掃描的方法尋找存活主機(jī)，發(fā)送的ICMP報(bào)文類型為echo，總大小為92字節(jié)，數(shù)據(jù)區(qū)為64字節(jié)的“0xAA”。由于發(fā)送的ICMP流量很大，可導(dǎo)致網(wǎng)絡(luò)阻塞。一旦找到存活主機(jī)，就會(huì)嘗試用DCOM RPC溢出。溢出成功后監(jiān)聽本機(jī)隨機(jī)的一個(gè)小于1000的TCP端口，等待目標(biāo)主機(jī)回連，進(jìn)行病毒復(fù)制。

病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染。

1.3 病毒攻擊表現(xiàn)形式和危害

ARP攻擊

此類蠕蟲病毒會(huì)在短時(shí)間內(nèi)向所有子網(wǎng)內(nèi)主機(jī)、以及選擇的互聯(lián)網(wǎng)目標(biāo)發(fā)起大量的ARP解析報(bào)文，造成“ARP風(fēng)暴”。由于現(xiàn)有網(wǎng)絡(luò)一般的L2 / L3 LAN Switch、Router、BAS設(shè)備等對(duì)接收到的廣播ARP報(bào)文都要做解析處理，因此，在短時(shí)間內(nèi)會(huì)大量沖擊設(shè)備的ARP解析模塊，造成部分網(wǎng)絡(luò)設(shè)備崩潰，或部分網(wǎng)絡(luò)設(shè)備失效。

ICMP攻擊和網(wǎng)絡(luò)流量攻擊

蠕蟲的變種，部分會(huì)發(fā)起ICMP選擇被攻擊主機(jī)，短時(shí)間內(nèi)會(huì)有成千上萬個(gè)ICMP報(bào)文從連接被感染主機(jī)的設(shè)備端口涌入，占據(jù)大量的帶寬。

同時(shí)，一旦蠕蟲侵入某個(gè)網(wǎng)絡(luò)的一個(gè)主機(jī)，短時(shí)間內(nèi)就會(huì)和這個(gè)網(wǎng)絡(luò)中的其他用戶建立連接，然后通過TFTP大量拷貝自身進(jìn)行繁殖，數(shù)據(jù)占據(jù)大量帶寬。

這種數(shù)據(jù)流量的特點(diǎn)是時(shí)間短、帶寬大，對(duì)網(wǎng)絡(luò)造成很大的流量攻擊。

DDOS－Syn flood攻擊

對(duì)沖擊波病毒，被感染的設(shè)備在2003年8月之后或者日期是15日之后，就會(huì)向微軟的更新站點(diǎn)“windowsupdate.com”的80端口發(fā)動(dòng)synflood拒絕服務(wù)攻擊。也就是說，從2003年8月16日開始就會(huì)一直進(jìn)行拒絕服務(wù)攻擊。這種是典型的DDOS攻擊方式。通過蠕蟲本身的感染，子網(wǎng)內(nèi)大量的主機(jī)都會(huì)被感染，一旦觸發(fā)條件滿足，在短時(shí)間內(nèi)還會(huì)產(chǎn)生大量的數(shù)據(jù)包通過網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)產(chǎn)生流量攻擊。

非凡的是，為了防止安全系統(tǒng)跟蹤到被感染設(shè)備，以及便于多次發(fā)起Syn flood攻擊，蠕蟲病毒修改了源IP地址，提供的源IP地址并非本機(jī)地址。

2 Quidway S3500的防病毒機(jī)制

2.1 數(shù)據(jù)轉(zhuǎn)發(fā)層面－硬件三層轉(zhuǎn)發(fā)處理機(jī)制

華為3Com公司的Quidway S3500系列路由交換機(jī)的硬件IP轉(zhuǎn)發(fā)表全部是最長(zhǎng)匹配方式，也就是說，只有ARP報(bào)文的源IP地址才會(huì)被用來生成主機(jī)路由和ARP地址表項(xiàng)，而對(duì)ARP報(bào)文的目的IP地址是不學(xué)習(xí)的，對(duì)一般IP報(bào)文的源IP或者目的IP地址更是不會(huì)學(xué)習(xí)。這一點(diǎn)與采用精確匹配三層轉(zhuǎn)發(fā)處理的三層交換機(jī)有很大區(qū)別，后者對(duì)于三層轉(zhuǎn)發(fā)，必須要學(xué)習(xí)到報(bào)文中的源IP地址和目的IP地址以后才能進(jìn)行硬件交換，否則源IP地址和目的IP地址只要有一個(gè)未解析，則會(huì)上送CPU，由軟件協(xié)議解析模塊進(jìn)行地址學(xué)習(xí)，同時(shí)軟件轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。故后者在遭遇蠕蟲類病毒的目的IP掃描報(bào)文時(shí)就很輕易會(huì)把硬件IP轉(zhuǎn)發(fā)表占滿，導(dǎo)致正常的用戶不能上網(wǎng)，或者即使能夠上網(wǎng)，上網(wǎng)速率也非常慢的情況發(fā)生；當(dāng)網(wǎng)絡(luò)中存在多個(gè)病毒源時(shí)，情況會(huì)變得更加糟糕。當(dāng)大量的未解析報(bào)文涌上CPU的時(shí)候，出現(xiàn)的情況將是CPU占用率高，系統(tǒng)響應(yīng)時(shí)延嚴(yán)重，用戶感覺上網(wǎng)極慢等問題。而Quidway S3500路由交換機(jī)的硬件IP轉(zhuǎn)發(fā)表最長(zhǎng)匹配方式就很好地解決了這個(gè)問題，在遭受此類病毒掃描時(shí)不會(huì)產(chǎn)生大量無用的硬件IP表項(xiàng)和ARP表項(xiàng)的垃圾表項(xiàng)，用戶仍能正常上網(wǎng)；而目的IP掃描報(bào)文到達(dá)Quidway S3500路由交換機(jī)的本地網(wǎng)段后，雖然設(shè)備也需要在本地網(wǎng)段發(fā)送ARP請(qǐng)求報(bào)文，但這項(xiàng)任務(wù)的優(yōu)先級(jí)較低，不會(huì)影響其它業(yè)務(wù)正常運(yùn)行。

2.2 控制層面－對(duì)掃描攻擊的防御和對(duì)設(shè)備的保護(hù)機(jī)制

華為3Com公司的Quidway S3500系列路由交換機(jī)在數(shù)據(jù)轉(zhuǎn)發(fā)層面具有完善、高效的防御、反抗病毒入侵的機(jī)制的同時(shí)，為最大限度地保護(hù)用戶利益，從控制層面上，通過優(yōu)化的硬件、軟件設(shè)計(jì)以及合理的網(wǎng)絡(luò)和設(shè)備配置，也提供了完備的網(wǎng)絡(luò)防護(hù)措施。

首先，從硬件、軟件設(shè)計(jì)上，Quidway S3500系列路由交換機(jī)使用了性能優(yōu)異的Motorola公司的一款高性能嵌入式處理器作為主控CPU，并對(duì)軟件的中斷處理、任務(wù)處理以及軟件報(bào)文解析協(xié)議處理模塊做了很多優(yōu)化，能夠保證在大流量負(fù)載情況下，每秒仍能處理300個(gè)以上的ARP報(bào)文或者600個(gè)以上的ICMP報(bào)文。并且各種重要協(xié)議報(bào)文可以以不同的優(yōu)先級(jí)入隊(duì)，接受CPU處理，從而保證CPU能夠及時(shí)優(yōu)先處理最重要的報(bào)文。對(duì)于超過CPU處理能力的報(bào)文，軟件也提供了完善的保護(hù)和緩存機(jī)制，確保CPU使用率在100％時(shí)，重要業(yè)務(wù)仍然不會(huì)中斷，同時(shí)設(shè)備串口控制臺(tái)的響應(yīng)也迅速如常。這樣就能在設(shè)備受到病毒攻擊時(shí)，在保證設(shè)備穩(wěn)定和正常運(yùn)行同時(shí)，最大限度地保證網(wǎng)絡(luò)流量正常通行。

除此以外，從網(wǎng)絡(luò)配置和設(shè)備配置上還可以進(jìn)一步優(yōu)化，以更好地實(shí)現(xiàn)防御病毒、保護(hù)正常業(yè)務(wù)的目的。以下是對(duì)不同的病毒攻擊形式的防護(hù)策略和防護(hù)結(jié)果。

3 總結(jié)

綜上所述，華為3Com公司的Quidway S3500系列路由交換機(jī)不僅在數(shù)據(jù)轉(zhuǎn)發(fā)層面具有完善、高效的防御、反抗病毒入侵的機(jī)制，從控制層面上，通過優(yōu)化的硬件、軟件設(shè)計(jì)以及合理的網(wǎng)絡(luò)和設(shè)備配置，也提供了完備的網(wǎng)絡(luò)防護(hù)措施，確保在蠕蟲病毒造成的網(wǎng)絡(luò)攻擊中，始終盡可能保持網(wǎng)絡(luò)的暢通和業(yè)務(wù)的連續(xù)性，對(duì)被感染用戶進(jìn)行有效地識(shí)別和抑制，同時(shí)保證未被感染的用戶的正常上網(wǎng)。