首先,使用Tamin盛世网安进行网络检测:这一步骤需要手工来操作。由于网络中的蠕虫病毒不断向外界计算机发出扫描包,这些扫描包是有显而易见的特点的。例如,被感染的计算机中的蠕虫病毒会向网络中的某段IP地址发送扫描包,这时蠕虫病毒需要对外建立大量的会话连接数,所以可以从主机对外建立的会话数来判断感染蠕虫病毒的主机。Tamin盛世网安安全网关对于网络所来往发送接收的包都会进行动态检测与记录,通过Tamin盛世网安安全网关的WEB管理界面进入防火墙->会话列表,可察看到当前盛世网安安全网关所记录下来的当前前十名会话数,即当前会话数最多的前10台主机。
主机正常状态下的平均会话数一般不超出100左右水平,但在受到蠕虫病毒攻击时则会数量猛增,Tamin盛世网安安全网关即时地侦测到了这一反常网络特征---被感染的主机的NAT会话数陡然大量增加,由此判定该主机已经被蠕虫病毒感染。如下图的19.168.1.50,很可能就是已经被感染蠕虫病毒。因为P2P软件下载时产生的特征很类似,网管员需要查看该机器是否在用P2P软件进行下载,如果没有任何的P2P软件下载则就是感染了蠕虫病毒或者类似蠕虫的病毒。
这种情况下,就要进入第二步,对网络中的主机实施屏蔽。屏蔽的方法是:利用Tamin盛世网安安全网关的访问规则功能,建立相应的策略,关闭病毒向外发包的端口。如下图,进入Tamin OS管理界面->防火墙->访问规则->新增,增加规则对主机19.168.1.50实行屏蔽。屏蔽主机之后,采取杀毒措施或者安装相应的补丁程序。这样,就轻松消灭了蠕虫病毒。
