MS-SQL 组播攻击型蠕虫处理

　　 
　　前几天某客户的网络通讯不太正常，许多网段时通时断。到现场一看，大吃一惊－－Cisco 6509 交换机上平时根本不亮的利用率指示灯现在指示80％！用show traffic命令一看：平均利用率45%,峰值利用率75%! 过一会更考张了，6509的引擎顶不住了，开始重新启动。这是一台背板带宽256G、冗余引擎配置的机器，居然都吃不消，好厉害的病毒啊！
　　
　　接上Sniffer，使用Matrix功能很快就看到，交换机的负荷主要来着一些机器发送的组播数据包(注意目标IP地址)：
　　

　

　　抓一下包，可以发现包的目标端口是UDP 1434－－MS SQL Server的监控端口：
　　
　　很自然就会联想到，这是与微软SQL服务器有关的一种蠕虫病毒。检查数据包的源地址发现，这些机器都是安装了MS SQL Server且补丁没有打好的。由于它们向网络发送大量的组播包，而交换机在二层上对组播包的处理方式类似于广播包，所以交换机的背板利用率、CPU及内存的利用率都相当高。
　　
　　由于网络流量很大、通讯时断时续，用sniffer 监听多个VLAN或用扫描等方法找出网络中所有受感染的机器根本不可能，怎么办呢？
　　
　　首先可以使用交换机广播/组播抑制功能来限制病毒流量，使核心交换机能够持续工作：
　　
　　6509>(enable)set port broadcast 9/1-6 10% multicast enable
　　
　　很多交换机都有类似的抑制流量的功能,可以参考文档。如：6500配置文档 、3550配置文档。
　　
　　经过这样处理之后，系统稳定下来了，部分网络通讯状况好转。现在可以利用下面的方法迅速找到其他被感染的机器：
　　
　　在MSFC上写一个访问控制列表：
　　
　　aclearcase/" target="_blank" >ccess-list 100 deny udp any any eq 1434 log
　　access-list 100 permit ip any any
　　
　　将列表依次应用到各个端口上，注意不要一次在所有端口上应用该访问控制列表，防止MSFC因CPU利用率过高当机。用配置命令logging buffer 将访问控制列表产生的log 信息暂存到内存中，接下来就可以show log 来查看下面的信息告诉你一台受感染机器的IP地址：
　　
　　Nov 12 20:01:25.508: %SEC-6-IPACCESSLOGP: list 162 denied udp 192.66.10.100(4702) -> 232.109.214.109(1434), 1 packet
　　Nov 12 20:01:26.508: %SEC-6-IPACCESSLOGP: list 162 denied udp 192.66.10.100(4702) -> 188.51.13.90(1434), 1 packet
　　Nov 12 20:01:27.508: %SEC-6-IPACCESSLOGP: list 162 denied udp 192.66.10.100(4702) -> 64.200.54.25(1434), 1 packet
　　Nov 12 20:01:28.508: %SEC-6-IPACCESSLOGP: list 162 denied udp 192.66.10.100(4702) -> 228.145.54.16(1434), 1 packet
　　
　　(设备提供的log信息还能告诉你其他许多问题及原因,是排错的重要工具)
　　
　　找出所有机器拔下网线进行处理，网络恢复了正常。

原文转自：http://www.ltesting.net