SQL病毒CISCO完全解决方案

　　 
　　访问列表防御
　　1.创建访问列表
　　aclearcase/" target="_blank" >ccess-list 101 deny udp any any eq 1434
　　
　　access-list 101 permit ip any any
　　
　　
　　2.匹配访问列表和数据包长度
　　class-map match-all slammer_worm

　　
　　match access-group 101
　　
　　match packet length min 404 max 404
　　
　　
　　3.丢弃所匹配的数据包
　　
　　policy-map drop-slammer-worm
　　
　　class slammer_worm
　　
　　police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
　　
　　NBAR
　　1. Create custom protocol
　　
　　ip nbar port-map custom-01 udp 1434
　　
　　
　　2. Create class-map
　　
　　class-map match-all slammer_worm
　　
　　match protocol custom-01
　　
　　match packet length min 404 max 404
　　
　　
　　3. Use class-based policing to drop the matching packets at the ingress interface
　　
　　policy-map drop-slammer-worm
　　
　　class slammer_worm
　　
　　police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
　　
　　NetFlow
　　
　　Router# config t
　　
　　Router# (config) interface serial 0/1
　　
　　Router#(config-if) ip route-cache flow
　　
　　Router#(config-if) exit
　　
　　Router#(config) exit
　　
　　Router#
　　
　　
　　
　　输出统计表
　　
　　Router# (config) ip flow-export 192.168.155.1 700
　　
　　To view NetFlow statistics for port 1434:
　　
　　Router# show ip cache flow | include 059A
　　
　　CAR
　　Router# (config) access-list 150 deny udp any any eq 1434
　　
　　Router# (config) access-list 150 permit ip any any
　　
　　Router# (config) interface fastEthe.net 0/0
　　
　　Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop
　　
　　Router# (config-if) exit
　　
　　Router# (config) exit
　　
　　Router#
　　
　　ACL补充
　　access-list 115 deny udp any any eq 1434
　　access-list 115 permit ip any any
　　
　　int
　　ip access-group 115 in
　　ip access-group 115 out
　　
　　注意，如果你想追踪来源，最好使用netflow，而不要使用log。
　　
　　病毒发送大量随机地址，如果路由器接口使用了“ICMP unreachable”命令的话，对这些大量的无效地址响应将导致路由器性能下降。因此，推荐使用以下命令：
　　
　　Router(config)# interface
　　Router(if-config)# no ip unreachables
　　ICMP unreachable 的补充
　　如果某些情况，如IP 隧道（tunnel）必须使用ICMP unreachable 命令，则推荐使用
　　Router(config)# ip icmp rate-limit unreachable
　　
　　6500 上防御
　　
　　set security acl ip WORM deny udp any eq 1434 any
　　set security acl ip WORM deny udp any any eq 1434
　　set security acl ip WORM permit any
　　commit security acl WORM
　　set security acl map WORM
　　
　　
　　查看
　　show security acl info all
　　
　　CatOS SUPII 和 MLS
　　CatOS SUPII 和 MLS
　　
　　源码:
　　 switch> (enable) sh mls statistics entry ip
　　 Last Used
　　Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
　　
　　 10.81.176.91 172.16.34.35 UDP 1434 2776 0 0 172.31.171.82 172.16.34.35 UDP 1434 2776 0 0 168.192.57.204 172.16.188.61 UDP 1434 3460 1 404
　　 172.17.136.55 172.16.34.135 UDP 1434 2917 0 0
　　从上面的显示我们可以发现，MLS可以帮助我们找到内部受感染主机
　　PIX
　　access-list acl_out permit udp any host eq 1434
　　或者
　　conduit permit udp any any eq 1434

原文转自：http://www.ltesting.net