SQL蠕虫一直是让企业网络管理人员很头疼的问题,许多时候如果通过Etherpeek针对端口1433、1434抓包会发现,很多用户电脑上面并没有安装SQL服务器,但是仍能监测有蠕虫通过1433端口向外面大量发包。一般来说微软的桌面数据库MSDE也有可能感染该蠕虫。
看看SQLsnake蠕虫,也叫Spida及Digispid,首次露面以来,就一直在扫描成千上万台与Internet相连的电脑系统的1433端口,企图寻找运行微软SQL且没有在系统管理员账号上设置适当密码的系统。还存在另外一种病毒,即使并没有安装数据库的PC也会感染。这个时候客户端PC如果没有办法解决的话,就只能从网络层进行防护了。
一般来说UDP端口1434都是用来做侦听的,可以在网络设备上过滤掉UDP1434;而TCP端口1433是SQL服务器正常通信需要的端口,并不能全网过滤掉。
但是一般来说,跨网段的数据库很少,这样,我们可以开放有数据库的网段的1433端口,然后再过滤全网的1433,这样减少了故障处理点,也达到了目的。
看看下面的ACL,核心三层交换机S8016针对1433、1434所做的ACL,其他设备类似。
注:全网封UDP 1434,开放10.145.7.0网段的TCP端口1433。
| rule-map intervlan rule72 tcp any any eq 1433 rule-map intervlan rule73 tcp any any eq 1434 rule-map intervlan rule69 tcp any 10.145.7.0 0.0.0.255 eq 1433 eacl acl-jxic rule69 permit priority 34083 eacl acl-jxic rule72 deny priority 34088 eacl acl-jxic rule73 deny priority 34090 |
之后用Etherpeek抓包一看,SQL蠕虫没有了,设备也没有告警,大功告成!
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
新蠕虫病毒侵袭苹果Mac电脑 趋势科技提醒注意多平台安全防护
趋势科技信息安全研究人员于近日发出预警,一个新发现的蠕虫病毒已经感染了全球超过1.7万台Mac电脑。
-
山石网科:防护方案力保web安全
山石网科采用了基于语法分析的方式进行检测。任何企图进行SQL注入或跨站脚本攻击的数据,不管形式如何变化,都必须满足SQL和HTML语法的规定。
-
卡巴斯基实验室揭秘Stuxnet蠕虫
近日,卡巴斯基实验室相关专家表示,一款名为Stuxnet的蠕虫病毒开启了网络战争新时代。据报告显示,Stuxnet蠕虫攻击现已引发关于攻击者身份、攻击目标、攻击意图等诸多争论。
-
企业安全管理技巧 让员工成为安全帮手
近日最新群发邮件蠕虫病毒——“给你了”(Here you have)突袭互联网,而英特尔公司却只有少部分计算机受到感染。