如何保護網路免受Nimda病毒攻擊

簡介

本文檔介紹將Nimda蠕蟲對網路的影響降至最低的方法。本文檔涉及兩個主題：

• 網路受到感染，可以採取什麼措施？您如何儘可能降低損壞和輻射影響？

• 網路尚未被感染，或僅部分被感染。可以採取什麼措施來最大程度地減少此蠕蟲的傳播？

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

有關Nimda蠕蟲的背景資訊，請參閱以下連結：

• http://www.cert.org/body/advisories/CA200126_FA200126.html

• http://vil.nai.com/vil/content/v_99209.htm

• http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

支援的平台

本文檔中介紹的基於網路的應用程式辨識(NBAR)解決方案需要Cisco IOS®軟體中的基於類的標籤功能。具體來說，在HTTP URL的任何部分上進行匹配的功能都使用NBAR中的HTTP子埠分類功能。支援的平台和最低Cisco IOS軟體要求概述如下：

注意：您需要啟用Cisco Express Forwarding (CEF)才能使用基於網路的應用辨識(NBAR)。

從版本12.1E開始的一些Cisco IOS軟體平台也支援NBAR。請參閱基於網路的應用程式辨識文檔中的「支援的協定」。

以下平台上還提供了基於類的標籤和分散式NBAR (DNBAR)：

如果您要部署NBAR，請注意思科漏洞ID CSCdv06207(僅限註冊客戶)。如果遇到此缺陷，可能需要使用CSCdv06207中描述的解決方法。

所有目前的Cisco IOS軟體版本都支援存取控制清單(ACL)解決方案。

如果您需要使用模組化服務品質(QoS)命令列介面(CLI)（例如用於速率限制ARP流量或使用監察器而不是CAR實施速率限制）的解決方案，則需要使用Cisco IOS軟體版本12.0XE、12.1E、12.1T和所有版本12.2中提供的模組化服務品質命令列介面。

若要使用承諾存取速率(CAR)，您需要使用Cisco IOS軟體版本11.1CC和12.0及更高版本的所有軟體。

如何最大限度地減少損害並限制放射物擴散

本節概述可以傳播Nimda病毒的感染載體，並提供減少病毒傳播的提示：

• 蠕蟲可以透過MIME音訊/x-wav型別的郵件附件傳播。

  秘訣:

  • 在簡單郵件傳輸協定(SMTP)伺服器上增加規則，以阻止包含這些附件的任何電子郵件：

    • readme.exe

    • Admin.dll

• 當您瀏覽已啟用Javascript執行且使用Internet Explorer (IE)版本易受在MS01-020 中討論的漏洞攻擊的感染Web伺服器（例如，IE 5.0或沒有SP2的IE 5.01）時，該蠕蟲會傳播。

  秘訣:

  • 使用Netscape作為瀏覽器，或者在IE上停用Javascript，或者將IE修補到SP II。

  • 使用Cisco網路型應用程式辨識(NBAR)來篩選readme.eml檔案的下載。以下是配置NBAR的示例：

    Router(config)#class-map match-any http-hacks 
    Router(config-cmap)#match protocol http url "*readme.eml*" 

    匹配流量後，您可以選擇丟棄流量或基於策略路由流量以監控受感染的主機。有關完整實施的示例，請參閱使用基於網路的應用程式辨識和訪問控制清單攔截「紅色代碼」蠕蟲。

• 蠕蟲可以透過IIS攻擊的形式在電腦之間傳播(它主要嘗試利用由紅色代碼II的影響建立的漏洞，但也包括以前由MS00-078 修補的漏洞)。

  秘訣:

  • 使用中所述的Code Red配置：

    處理「紅色代碼」蠕蟲引起的mallocfail和CPU使用率高問題

    使用基於網路的應用辨識和訪問控制清單攔截「紅色代碼」蠕蟲

    Router(config)#class-map match-any http-hacks 
    Router(config-cmap)#match protocol http url "*.ida*" 
    Router(config-cmap)#match protocol http url "*cmd.exe*" 
    Router(config-cmap)#match protocol http url "*root.exe*" 
    Router(config-cmap)#match protocol http url "*readme.eml*" 

    匹配流量後，您可以選擇丟棄流量或基於策略路由流量以監控受感染的主機。有關完整實施的示例，請參閱使用基於網路的應用程式辨識和訪問控制清單攔截「紅色代碼」蠕蟲。

  • 速率限制TCP同步/啟動(SYN)封包。這無法保護主機，但會使您的網路以降級方式運行並保持運行。透過速率限制SYN，您會丟棄超過特定速率的資料包，因此某些TCP連線會通過，但並非全部。有關配置示例，請參閱在DOS攻擊期間使用CAR的「TCP SYN資料包的速率限制」部分。

  • 如果ARP掃描量導致網路出現問題，請考慮速率限制地址解析協定(ARP)流量。要限制ARP流量，請配置以下內容：

    class-map match-any arp 
       match protocol arp 
    ! 
    ! 
    policy-map ratelimitarp
       class arp 
          police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
    

    然後，需要將此策略作為輸出策略應用到相關的LAN介面。請根據需要修改此數字，以配合您希望網路上每秒允許的ARP數量。

• 蠕蟲可透過在啟用Active Desktop的Explorer中突出顯示.eml或.nws（預設情況下為W2K/ME/W98）傳播。這會導致THUMBVW.DLL執行檔案並嘗試下載其中引用的README.EML（取決於您的IE版本和區域設定）。

  提示：按照上述建議，使用NBAR過濾下載的readme.eml。

• 蠕蟲可以透過對映的驅動器傳播。任何已對映網路驅動器的受感染電腦都可能會感染對映驅動器及其子目錄上的所有檔案

  秘訣:

  • 阻止簡單檔案傳輸協定(TFTP)（埠69），以便受感染的電腦無法使用TFTP將檔案傳輸到未受感染的主機。確保路由器的TFTP訪問仍然可用（因為可能需要路徑來升級代碼）。如果路由器運行的是Cisco IOS軟體版本12.0或更高版本，您始終可以選擇使用檔案傳輸協定(FTP)將映像傳輸到運行Cisco IOS軟體的路由器。

  • 阻止NetBIOS。NetBIOS不應該離開區域網(LAN)。服務提供商應透過阻止埠137、138、139和445過濾NetBIOS。

• 蠕蟲使用自己的SMTP引擎傳送電子郵件以感染其他系統。

  提示：阻止網路內部部分的埠25 (SMTP)。使用郵局協定(POP) 3（埠110）或網際網路郵件訪問協定(IMAP)（埠143）檢索電子郵件的使用者不需要訪問埠25。僅允許面向網路的SMTP伺服器打開埠25。這對於使用Eudora、Netscape和Outlook Express等服務的使用者可能不可行，因為他們有自己的SMTP引擎，並且將使用埠25生成出站連線。可能需要對代理伺服器或其他機制的可能用途進行一些調查。

• 清除Cisco CallManager/應用伺服器

  提示：其網路中具有Call Manager和Call Manager應用程式伺服器的使用者必須執行以下操作以阻止病毒傳播。他們不能從Call Manager瀏覽到受感染的電腦，也不能在Call Manager伺服器上共用任何驅動器。按照從Cisco CallManager 3.x和CallManager應用伺服器清除Nimda病毒中提供的說明清除Nimda病毒。

• 在CSS 11000上過濾Nimda病毒

  提示：使用CSS 11000的使用者必須按照在CSS 11000上過濾Nimda病毒中提供的說明清除NIMDA病毒。

• 思科安全入侵檢測系統(CS IDS)對Nimda病毒的響應

  提示：CS ID有兩個不同的可用元件。一個是具有主機感測器的基於主機的IDS (HIDS)和具有網路感測器的基於網路的IDS (NIDS)，兩者對Nimda病毒以不同的方式響應。有關詳細說明和建議的操作過程，請參閱Cisco安全IDS如何響應Nimda病毒。

相關資訊

• 使用基於網路的應用辨識和訪問控制清單攔截「紅色代碼」蠕蟲
• 處理「紅色代碼」蠕蟲引起的mallocfail和CPU使用率高問題
• 在DOS攻擊期間使用CAR
• 思科資安顧問和通知
• 技術支援與文件 - Cisco Systems