2010年3月15日，某實驗室捕獲一種新型的電腦病毒，由于該病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，同時即使格式化重裝系統(tǒng)，也無法將徹底清除該病毒。猶如“鬼影”一般“陰魂不散”，所以稱為“鬼影”病毒。該病毒也因此成為國內首個“引導區(qū)”下載者病毒。

一路走來，沖擊波、震蕩波、QQ病毒、傳奇木馬、熊貓燒香、機器狗……遭遇過病毒攻擊的人們依然還在為自己的損失嘆息，感慨為何不“防患于未然”，面對“未然”的鬼影病毒又該如何“防患”？

網絡安全技術核心就是“攻”與“防”的技術，著名的《孫子兵法》中寫到“知彼知己者，百戰(zhàn)不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰(zhàn)必殆”。而解決問題，分析問題是必不可少的。

l 鬼影病毒是什么？

鬼影病毒是指寄生在磁盤主引導記錄（MBR），即使格式化重裝系統(tǒng)，也無法清除的病毒。當系統(tǒng)再次重啟時，該病毒會早于操作系統(tǒng)內核先行加載。而當病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。

l 鬼影病毒的危害

網民說過：中毒了沒關系，重裝系統(tǒng)就OK。而現(xiàn)在這句話將成為歷史。因該病毒寄生在磁盤主引導記錄（MBR），即使格式化重裝系統(tǒng)，也無法將該病毒chedi清除。

1、顛覆傳統(tǒng)，重裝系統(tǒng)無法清除

業(yè)界反病毒專家表示，“一般的電腦病毒是Windows系統(tǒng)下的應用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄（MBR）,在電腦啟動過程中先于系統(tǒng)核心程序直接加載到電腦內存中運行。對于已經寄生于MBR中的病毒，安全軟件無法進行攔截。因病毒比安全軟件的啟動還要早。

2、安全軟件失效，電腦明顯變慢

“鬼影”病毒是隨某些共享軟件捆綁安裝進入電腦的，“鬼影”病毒入侵后，會釋放驅動程序改寫硬盤MBR（主引導記錄），驅動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統(tǒng)的AV終結者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產牟利。中毒后，最直觀的現(xiàn)象是安全軟件無法正常運行，電腦明顯變慢，IE主頁被改。

3、罕見技術型病毒

“鬼影”病毒是近年來較為罕見的技術型病毒，病毒作者具有高超的編程技巧。因WinXP系統(tǒng)的限制，一般手法改寫MBR會被系統(tǒng)判定為非法，這也是引導區(qū)病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被黑客實際大規(guī)模利用的案例。金山安全實驗室工程師說，目前“鬼影”病毒只針對WinXP系統(tǒng)，該病毒尚不能破壞Vista和Windows 7系統(tǒng)。

l 如何拒之“鬼影”于門外

通過研究發(fā)現(xiàn)，電腦在中毒之后，會向整個內網發(fā)送大量的ARP欺騙信息，嚴重威脅網民游戲賬戶信息的安全，而且極易導致網吧大面積的斷網，極大影響了網吧的正常運營。

對ARP病毒欺騙攻擊，傳統(tǒng)辦法是增大路由器ARP信息主動廣播的密度。為了減輕網絡廣播的壓力，采用IP\MAC地址雙向綁定的方式進一步防御ARP病毒的攻擊。

 “鬼影”病毒是近年來罕見的技術型病毒，它具有攻擊包密集高、數(shù)量多的特點，這種攻擊已經超過普通路由器的性能極限，很容易堵死路由器網絡接口，造成全網掉線。因此，傳統(tǒng)ARP防御方式無法阻擋“鬼影”。

作為新型的網絡設備廠商，飛魚星科技在針對內網中高強度的攻擊時，2008年年初就開始研發(fā)有針對性的產品，從而滿足客戶的需求，解決客戶的問題。通過不斷的研發(fā)和測試，于2009年下半年推出了最新的網絡安全解決方案——防攻擊安全聯(lián)動系統(tǒng)（ASN）。

該系統(tǒng)方案在針對網絡攻擊時，從軟件防御升級為硬件防御。同時，把網絡中各自為政的路由器和交換機聯(lián)系起來，從物理層到應用層進行分層布控，打造安全、聯(lián)動、高性能、易管理的網絡系統(tǒng)。

防攻擊安全聯(lián)動系統(tǒng)（ASN）能在每個網絡接入端口管控用戶行為，全面防范ARP攻擊、DDoS攻擊、機器狗等木馬病毒，確保整個網絡的安全穩(wěn)定。同時控制合法用戶合理使用網絡資源，防止濫用帶寬和網絡資源；同時提供無盤啟動、網絡克隆的多種優(yōu)化支持，全面提升網絡性能。

 

圖：飛魚星防攻擊安全聯(lián)動系統(tǒng)（ASN）方案拓樸圖

該方案針對鬼影病毒防御的核心在于，中毒的電腦在瘋狂的發(fā)送高密度和高強度的ARP欺騙攻擊時，防攻擊安全聯(lián)動系統(tǒng)（ASN）中的路由器可在第一時間發(fā)現(xiàn)ARP欺騙攻擊信息時，就將網絡威脅通告交換機，交換機對中毒電腦實施基于物理端口的懲罰，把攻擊扼殺于搖籃之中，從而避免網吧整網斷網。

據(jù)悉，在山東、四川、云南、重慶等區(qū)域的網吧中，發(fā)現(xiàn)鬼影病毒的泛濫，在使用了飛魚星防攻擊安全聯(lián)動系統(tǒng)（ASN）都得到很好的解決，從發(fā)現(xiàn)到現(xiàn)在，尚處于萌芽時期，但日感染電腦約2-3萬臺，讓網絡再一次承受著強大的沖擊，網吧、酒店、學校、企業(yè)等于網絡密不可分的環(huán)境。是防患于未然，還是亡羊補牢，值得深思熟慮！

標簽： ddos 安全 代碼 網絡 網絡安全 網絡安全技術 網絡安全解決方案

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。