沖擊波病毒（Wrom.MSBlast.6176，原名爆破工）自從被瑞星全球反病毒監(jiān)測網(wǎng)于8月12日首次截獲開始，已經(jīng)在國內(nèi)造成了大范圍影響，雖然各大殺毒軟件公司都已推出專門的升級(jí)軟件包，但仍有許多疏于防范的用戶電腦不斷在遭受攻擊。目前該病毒仍以每小時(shí)感染3萬個(gè)系統(tǒng)的速度蔓延。預(yù)計(jì)該病毒將會(huì)在全球范圍內(nèi)造成12億美元的經(jīng)濟(jì)損失。
　　該病毒運(yùn)行時(shí)會(huì)不停地利用ip掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常。具體表現(xiàn)有，彈出RPC服務(wù)終止的對話框、系統(tǒng)反復(fù)重啟、不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕服務(wù)等等，從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)幾近癱瘓。另外，該病毒還會(huì)對微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級(jí)系統(tǒng)。
　　可以看到，該病毒是利用微軟操作系統(tǒng)的RPC（遠(yuǎn)程進(jìn)程調(diào)用）漏洞進(jìn)行快速傳播的。RPC是微軟發(fā)明的一個(gè)專門用戶互聯(lián)網(wǎng)遠(yuǎn)程服務(wù)的協(xié)議，該協(xié)議是建立在TCP/IP上的一個(gè)應(yīng)用。我們知道IP網(wǎng)上的應(yīng)用協(xié)議都必須借助TCP/UDP端口號(hào)才能提供服務(wù)，RPC的TCP端口號(hào)是135。
　　請大家記住這個(gè)端口號(hào)，因?yàn)榫褪?35這個(gè)漏洞造成了全球12億美元的經(jīng)濟(jì)損失！
　　攻擊者正是通過編程方式來尋求利用此漏洞，在一臺(tái)與易受影響的服務(wù)器通信的并能夠通過 TCP 端口 135的計(jì)算機(jī)上，發(fā)送特定類型的、格式錯(cuò)誤的 RPC 消息。接收此類消息會(huì)導(dǎo)致易受影響的計(jì)算機(jī)上的 RPC 服務(wù)出現(xiàn)問題，進(jìn)而使任意代碼得以執(zhí)行。接著病毒就會(huì)修改注冊表，截獲郵件地址信息，一邊破壞本地機(jī)器一邊通過EMAIL形式在互聯(lián)網(wǎng)上傳播。同時(shí)，病毒會(huì)在TCP的端口4444創(chuàng)建cmd.exe，并監(jiān)聽UDP端口69，當(dāng)有服務(wù)請求，就發(fā)送Msblast.exe文件。
　　微軟的修補(bǔ)程序解決了RPC對錯(cuò)誤格式報(bào)文的判定，從而阻止攻擊進(jìn)入。但對于網(wǎng)絡(luò)治理者來說，不能把安全寄托在我們治理的用戶身上，在用戶安裝微軟修補(bǔ)程序之前必須有切實(shí)可行的辦法防止沖擊波病毒對我們網(wǎng)絡(luò)的沖擊。
　　第一， 針對Internet上來的攻擊，我們可以通過在防火墻上禁用TCP號(hào)為135、4444和UDP69的進(jìn)程。從而阻止外網(wǎng)對內(nèi)網(wǎng)以及內(nèi)網(wǎng)對別的網(wǎng)絡(luò)的攻擊；
　　第二， 針對內(nèi)部網(wǎng)絡(luò)來的攻擊，可以通過智能交換機(jī)禁用這些服務(wù)來解決。由于此時(shí)內(nèi)網(wǎng)已經(jīng)有機(jī)器受到感染，因此僅僅禁用TCP端口135、4444的報(bào)文還不夠，必須能做到監(jiān)聽這些報(bào)文之后能強(qiáng)制關(guān)閉上傳這些報(bào)文的物理端口，另外，必須能禁用UDP69的請求服務(wù)。這就要求該交換機(jī)必須具備業(yè)務(wù)流分類、端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能。
　　港灣網(wǎng)絡(luò)的系列智能交換機(jī)正是具備了這些智能化特性，通過BigHammer、FlexHammer以及μHammer組網(wǎng)可以有效的減輕包括沖擊波病毒在內(nèi)的許多病毒對內(nèi)網(wǎng)的破壞。

　　μHammer3550系列智能交換機(jī)具有包頭80字節(jié)的解析能力，可以分析每個(gè)數(shù)據(jù)報(bào)文的協(xié)議端口號(hào)，一旦發(fā)現(xiàn)TCP135、4444和UDP69的報(bào)文，馬上通知后臺(tái)AAA服務(wù)器，通過Radius系統(tǒng)進(jìn)行關(guān)閉端口、端口反查等系列操作。假如局域網(wǎng)中沒有Radius系統(tǒng)，μHammer3550系列智能交換機(jī)也可以自動(dòng)拋棄這些病毒報(bào)文。
　　FlexHammer系列設(shè)備處在匯聚層，它通過啟動(dòng)ACL實(shí)現(xiàn)禁用135等端口號(hào)的請求，阻止病毒在內(nèi)網(wǎng)的快速傳染。高端路由交換機(jī)BigHammer68系列可以起到軟件防火墻的部分功能，通過 在6808或者6802設(shè)備上強(qiáng)行禁用端口135和4444的TCP應(yīng)用，防止internet上的沖擊波病毒對內(nèi)網(wǎng)的攻擊，同時(shí)BigHammer68系列交換機(jī)也可以作為內(nèi)網(wǎng)的核心設(shè)備提供業(yè)務(wù)流分類、端口反查和自動(dòng)準(zhǔn)確關(guān)閉端口等功能，阻止病毒在內(nèi)網(wǎng)的泛濫，并定位可能藏逸在內(nèi)網(wǎng)的病毒散播者。
　　港灣網(wǎng)絡(luò)的智能交換機(jī)如同一道道堅(jiān)固的閘門，在沖擊波的狂波惡浪中牢牢的將內(nèi)部局域網(wǎng)保護(hù)起來，力挽狂瀾而不倒。
　　再結(jié)合用戶的主動(dòng)防范措施，沖擊波病毒必然能被徹底遏制，逐漸消聲覓跡，還網(wǎng)絡(luò)一片寧靜。