摘要：本文描述了目前网络上存在的几种对网络设备危害很大的病毒的攻击原理，以及Quidway S3500系列路由交换机的防病毒机制，和如何有效地抑止这些病毒的蔓延和对设备、对网络自身保护的方法。

1、背景

英特网的普及和IP技术的普遍应用正在为世界带来日新月异的变化。随着IP网络日益深入人们的工作生活并发挥重要作用，网络入侵、攻击和病毒案例也日渐频繁，给人们带来的很多可见和不可见的损失。以往的网络攻击和病毒多以PC或者服务器主机为主要攻击对象，但现在随着终端用户防病毒意识和能力的日益提高以及病毒制造者技术能力的日益增强，象路由器、交换机等网络设备也成为病毒攻击的对象。在众多的网络病毒攻击当中，IP地址扫描是最普遍的一种病毒攻击方式。下面就简要介绍一下几种对部分路由器、交换机等网络设备有较大危害的此类病毒。

1.1 红色代码（Red Code）病毒

“红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。假如稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限为所欲为，可以盗走机密数据，严重威胁网络安全。

红色代码病毒采用了恶意IP地址扫描的途径进行自我复制或恶意攻击。它通过IP扫描发送TCP连接请求，对回应的地址进行自我复制，这样很多时候一个三层交换机下挂的网络中会存在多个被红码病毒感染的客户端主机，这些客户端主机上的红码病毒又会不断的发送IP扫描报文，多个感染病毒的客户机发送给交换机大量的IP扫描报文对部分采用精确匹配转发策略的三层交换机是一个严重的考验。病毒采用随机产生IP地址的方式，每个病毒天天能够扫描40万个IP地址，搜索未被感染的计算机和设备，在寻找到“猎物”后，病毒会向寄生虫一样，通过自我安装感染服务器，一旦在某台服务器中安装成功，接下来它就会利用这台服务器，搜寻更多的感染目标，其传播速度非常惊人。

1.2 冲击波（MS Blaster）病毒

冲击波病毒是今年8月份在网络上爆发的又一个极其猛烈的蠕虫病毒。该蠕虫病毒选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为echo，总大小为92字节，数据区为64字节的“0xAA”。由于发送的ICMP流量很大，可导致网络阻塞。一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口，等待目标主机回连，进行病毒复制。

病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染。

1.3 病毒攻击表现形式和危害

ARP攻击

此类蠕虫病毒会在短时间内向所有子网内主机、以及选择的互联网目标发起大量的ARP解析报文，造成“ARP风暴”。由于现有网络一般的L2 / L3 LAN Switch、Router、BAS设备等对接收到的广播ARP报文都要做解析处理，因此，在短时间内会大量冲击设备的ARP解析模块，造成部分网络设备崩溃，或部分网络设备失效。

ICMP攻击和网络流量攻击

蠕虫的变种，部分会发起ICMP选择被攻击主机，短时间内会有成千上万个ICMP报文从连接被感染主机的设备端口涌入，占据大量的带宽。

同时，一旦蠕虫侵入某个网络的一个主机，短时间内就会和这个网络中的其他用户建立连接，然后通过TFTP大量拷贝自身进行繁殖，数据占据大量带宽。

这种数据流量的特点是时间短、带宽大，对网络造成很大的流量攻击。

DDOS－Syn flood攻击

对冲击波病毒，被感染的设备在2003年8月之后或者日期是15日之后，就会向微软的更新站点“windowsupdate.com”的80端口发动synflood拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。这种是典型的DDOS攻击方式。通过蠕虫本身的感染，子网内大量的主机都会被感染，一旦触发条件满足，在短时间内还会产生大量的数据包通过网络设备，对网络产生流量攻击。

非凡的是，为了防止安全系统跟踪到被感染设备，以及便于多次发起Syn flood攻击，蠕虫病毒修改了源IP地址，提供的源IP地址并非本机地址。

2 Quidway S3500的防病毒机制

2.1 数据转发层面－硬件三层转发处理机制

华为3Com公司的Quidway S3500系列路由交换机的硬件IP转发表全部是最长匹配方式，也就是说，只有ARP报文的源IP地址才会被用来生成主机路由和ARP地址表项，而对ARP报文的目的IP地址是不学习的，对一般IP报文的源IP或者目的IP地址更是不会学习。这一点与采用精确匹配三层转发处理的三层交换机有很大区别，后者对于三层转发，必须要学习到报文中的源IP地址和目的IP地址以后才能进行硬件交换，否则源IP地址和目的IP地址只要有一个未解析，则会上送CPU，由软件协议解析模块进行地址学习，同时软件转发数据报文。故后者在遭遇蠕虫类病毒的目的IP扫描报文时就很轻易会把硬件IP转发表占满，导致正常的用户不能上网，或者即使能够上网，上网速率也非常慢的情况发生；当网络中存在多个病毒源时，情况会变得更加糟糕。当大量的未解析报文涌上CPU的时候，出现的情况将是CPU占用率高，系统响应时延严重，用户感觉上网极慢等问题。而Quidway S3500路由交换机的硬件IP转发表最长匹配方式就很好地解决了这个问题，在遭受此类病毒扫描时不会产生大量无用的硬件IP表项和ARP表项的垃圾表项，用户仍能正常上网；而目的IP扫描报文到达Quidway S3500路由交换机的本地网段后，虽然设备也需要在本地网段发送ARP请求报文，但这项任务的优先级较低，不会影响其它业务正常运行。

2.2 控制层面－对扫描攻击的防御和对设备的保护机制

华为3Com公司的Quidway S3500系列路由交换机在数据转发层面具有完善、高效的防御、反抗病毒入侵的机制的同时，为最大限度地保护用户利益，从控制层面上，通过优化的硬件、软件设计以及合理的网络和设备配置，也提供了完备的网络防护措施。

首先，从硬件、软件设计上，Quidway S3500系列路由交换机使用了性能优异的Motorola公司的一款高性能嵌入式处理器作为主控CPU，并对软件的中断处理、任务处理以及软件报文解析协议处理模块做了很多优化，能够保证在大流量负载情况下，每秒仍能处理300个以上的ARP报文或者600个以上的ICMP报文。并且各种重要协议报文可以以不同的优先级入队，接受CPU处理，从而保证CPU能够及时优先处理最重要的报文。对于超过CPU处理能力的报文，软件也提供了完善的保护和缓存机制，确保CPU使用率在100％时，重要业务仍然不会中断，同时设备串口控制台的响应也迅速如常。这样就能在设备受到病毒攻击时，在保证设备稳定和正常运行同时，最大限度地保证网络流量正常通行。

除此以外，从网络配置和设备配置上还可以进一步优化，以更好地实现防御病毒、保护正常业务的目的。以下是对不同的病毒攻击形式的防护策略和防护结果。

3 总结

综上所述，华为3Com公司的Quidway S3500系列路由交换机不仅在数据转发层面具有完善、高效的防御、反抗病毒入侵的机制，从控制层面上，通过优化的硬件、软件设计以及合理的网络和设备配置，也提供了完备的网络防护措施，确保在蠕虫病毒造成的网络攻击中，始终尽可能保持网络的畅通和业务的连续性，对被感染用户进行有效地识别和抑制，同时保证未被感染的用户的正常上网。

; 附件

quidways3500系列交换机防病毒攻略.pdf

标签： 病毒