在HiPER路由器上屏蔽冲击波、震荡波病毒

1、在HiPER路由器上屏蔽“冲击波”、“震荡波”病毒1、“冲击波”病毒感染个人电脑之后，电脑出现如下症状：1、莫名其妙地死机或重新启动计算机；2、IE浏览器不能正常地打开链接；3、不能复制粘贴；4、有时出现应用程序，比如Word异常；5、网络变慢；6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行。关键是感染了病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445/1025/5554/9996的端口发送大量的广播包，造成路由器端口拥塞，直至用户整个内部网络/外部网络的瘫痪。使用show ip nat translation命令查找感染

2、冲击波病毒的个人电脑。hiper% show ip nat translationlist all translationsId srcAddress sPort P destAddress dPort outP inP globalIp1 4082 T445 8122 4083 T445 3463 1 4084 T445 5324 1191 I 0 60 “冲击波”病毒。2、“震荡波”病毒感染个人电脑后，电脑出现如下症状：·莫名其妙地死机或重新启动计算机；·任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程

3、在运行；·在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；·系统速度极慢，CPU占用100%。关键是感染了病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445/1025/5554/9996的端口发送大量的广播包，造成路由器端口拥塞，直至用户整个内部网络/外部网络的瘫痪。在HiPER上可以用两种方式来检测是否中“震荡波”病毒：“震荡波”病毒2） 命令行使用show ip nat translation 命令查找感染“震荡波”病毒的个人电脑。Hiper% show ip na

4、t translationlist all translations Id srcAddress sPort P destAddress dPort outP inP globalIp 1 192.168.0.153445 812 7 2 192.168.0.153445 346 1 3 192.168.0.153 3518445 532 7 4 192.168.0.153445 60 51 .“震荡波”病毒。3、在路由器上采用IP Filter的方法，可以屏蔽路由器向外网发送病毒数据包。命令行模式下：/关闭TCP 135端口new filter in/1 set filter in/1 ty

5、pe ipset filter in/1 forward noset filter in/1 ip protocol 6set filter in/1 ip destport 135set filter in/1 ip destportcmp eql/关闭TCP 137端口new filter in/2 set filter in/2 type ipset filter in/2 forward noset filter in/2 ip protocol 6set filter in/2 ip destport 137set filter in/2 ip destportcmp eql/关闭T

6、CP 139端口new filter in/3 set filter in/3 type ipset filter in/3 forward noset filter in/3 ip protocol 6set filter in/3 ip destport 139set filter in/3 ip destportcmp eql/关闭TCP 445端口new filter in/4 set filter in/4 type ipset filter in/4 forward noset filter in/4 ip protocol 6set filter in/4 ip destport

7、 445set filter in/4 ip destportcmp eql/关闭TCP 1025端口new filter in/5set filter in/5 type ipset filter in/5 forward noset filter in/5 ip protocol 6set filter in/5 ip destport 1025set filter in/5 ip destportcmp eql/关闭TCP 5554端口new filter in/6set filter in/6 type ipset filter in/6 forward noset filter in

8、/6 ip protocol 6set filter in/6 ip destport 5554set filter in/6 ip destportcmp eql/关闭TCP 9996端口new filter in/7set filter in/7 type ipset filter in/7 forward noset filter in/7 ip protocol 6set filter in/7 ip destport 9996set filter in/7 ip destportcmp eql/打开GENERIC层，允许其他类型的数据包new filter in/10set filter in/10 type GENERICset filter in/10 forward yes/在e/1上启用filterset interface ethernet/1 ip filter enable/保存write关闭以上端口虽然可以使病毒包不影响外网，但是病毒数据量过高仍然会影响到路由器的正常工作。当务之急是找出网络里面工作异常的机器。可以使用路由器show