背景介绍
机器狗病毒问题一直缠绕着各路网吧,而各路网吧的网管们就成了受苦受难的兄弟,每天都在不停的日夜劳作——克盘、克盘、还是克盘!福州火星人网吧的网管小李正是这其中一人。
随着丢号、网络卡、掉线等典型中毒事件的不断发生,网民的抱怨和网吧老板的责难也随之不断上演。
解决之道——常规篇
先说软件的吧。
针对机器狗病毒的windows系统补丁很快就出现了(微软对于打补丁还是很在行的)。但过不了不久就发现,打了补丁也不管用了。
原来,病毒作者在用腻了系统漏洞后,霍然间发现了应用程序漏洞这片广阔的天空,不知道从此以后还有多少应用程序在为我们提供服务的同时,也沦为病毒传播快速通道。软件漏洞无处不在,只要有漏洞可利用,就可能被病毒作者所利用。我只是想告诉你,单纯的通过打Windows系统补丁,应用软件的补丁,是根本无法保证系统的安全,只有多种手段相结合,才能将风险降至最低。
再来说下硬件的吧。
说到硬件,众人都将期待的目光投向了网吧网络的出口——路由器(终于回到正题了)。
各家路由器厂商自然也不失时机的推出了自己的解决方案,仔细看下来,基本上就是双绑和IP/域名过滤。在这里就不做过多介绍了,有过经历的网管们都清楚,用“吃力不讨好”来形容可谓贴切。
解决之道——NBR篇
锐捷NBR路由器作为网吧高端路由器的代表,这一次也不甘于平庸。
我们先来分析下机器狗及其变种病毒的中毒过程——
第一步:PC访问带有恶意脚本的网页;
第二步:PC连接某IP,下载机器狗病毒并运行;
第三步:PC中了机器狗病毒后,到同一个IP(少部分情况是不同IP)下获取病毒列表;
第四步:PC按照返回的病毒列表,逐个下载病毒……
经过锐捷研发团队近一个月的努力,开发出了NBR路由器防御机器狗病毒的功能模块。当内网PC访问带毒IP下载机器狗病毒时(中毒过程第二步),NBR会动态检测出这种行为并进行警告提醒,同时根据用户配置来决定是否阻止这种下载机器狗病毒的行为,并将动态监测到的带毒IP加入黑名单中。
火星人网吧实战解析
经过了实验室内的严格测试,锐捷的研发工程师们急切的想了解市场的实际应用效果到底如何。而此时,福州火星人网吧的网管小李也还在受苦受难中。于是乎,一拍即合,火星人网吧立刻换上了锐捷NBR2000路由器,由锐捷研究院的刘工跟踪使用效果。(为什么是火星人网吧啊? 人家就在锐捷研究院家门口不远,近水楼台嘛)。
12月27日早9点,刘工将NBR2000替换掉原来的代理服务器,升级为最新的软件版本(RGNOS 9.10 building 18.01)。旁边的小李静静的看着,刘工也静静的看着,他们都在等待,等待那个激动的时刻。
小李似乎被NBR2000人性化的WEB界面所吸引了,开始小心翼翼的操作起来,很快他就感叹道——原来当网管可以这么轻松啊!刘工自豪的微笑着:不仅如此,NBR在性能和功能上都是相当NB的。
轻松没多久,激动的时刻出现了!NBR检测出了内网有PC试图访问带毒网站下载机器狗病毒并成功将其阻断,同时把该PC的IP的带毒网站的IP记录在WEB界面中。经过3个小时的观察,NBR共完成了5次阻断,有4个外网IP地址被记录到嫌疑列表,如下图所示:
该过程中,NBR的Web监控页面显示如下图所示:
上两图表明,在此期间,该网吧内网PC曾多次访问带有机器狗病毒的网站,且均被NBR有效阻断。
刘工一直微锁的眉头终于散开了,付出的努力没有白费。
小李可是乐得不行——以后可以不用反复克盘拉!
成功“杀掉”它后,小李迫切地向刘工讨教,想要“解剖”这只害人不浅的机器狗——
机器狗病毒本身并不可怕,可怕的是PC通过它会下载N多危害性病毒,可以说机器狗病毒只是一个木马下载器。我们之前提到的丢号、网络卡、掉线就是由这些非机器狗病毒造成的。
通过NBR病毒嫌疑列表以及Web监控页面,在此期间,以下四个IP地址带有机器狗病毒嫌疑:60.190.118.11; 60.190.218.34; 61.191.55.216; 218.83.161.95;
结合目前已知的病毒列表名,我们可通过其中的三个IP(60.190.118.11;61.191.55.216;218.83.161.95)顺利获取病毒列表(出于文章篇幅考虑,只贴出了一个病毒列表截图)。注:如果可以获取到病毒列表文件,就可以确诊这些IP为机器狗病毒IP;如果获取不到,并不代表该IP没有问题,原因见中毒过程第三步。
终篇
网管小李在接触NBR2000几天后,再次感叹道——原来路由器还能这样用啊!
没错,锐捷NBR凭借自身的努力,让路由器这个角色从网吧经营这场大戏中,不断由幕后走到台前——路由器不只是拿来做绑定和限速的!
对于正在遭受机器狗毒害的网吧,杀毒硬件NBR将以网络路由器的方式为您位保驾护航!
