企业如何防范SQL蠕虫病毒袭击

2022-06-13

SQL蠕虫一直是企业网络管理者头疼的问题。在很多情况下，如果你通过Etherpeek在1433和1434端口捕获数据包，你会发现很多用户的电脑上并没有安装SQL servers，但是仍然可以监测到有蠕虫通过1433端口发出大量的契约。一般来说，微软的桌面数据库MSDE也可能感染了这种蠕虫。

QQ截图20220601135110.jpg

看看SQLsnake蠕虫，也称为Spida和Digispid。自从出现以来，* * *一直在扫描数以千计连接到互联网的计算机系统的端口1433，试图找到一个运行Microsoft SQL的系统，而没有在系统管理员帐户上设置适当的密码。还有一种病毒甚至可以感染没有安装数据库的电脑。此时，如果没有针对客户端PC的解决方案，只能从网络层进行保护。

一般来说，UDP端口1434用于监听，UDP1434可以在网络设备上过滤掉；而TCP端口1433是SQL server正常通信所需的端口，不能从全网过滤掉。

但一般来说跨网段的数据库很少，我们可以用数据库打开网段的1433端口，然后过滤全网的1433端口，减少故障处理点，达到目的。

看下面的ACL。核心层3交换机S8016为1433和1434创建的ACL与其他设备相似。

注意:UDP 1434全网密封，10.145.7.0网段的TCP端口1433开放。

复制

规则映射interVLAN规则72 tcp any any eq 1433

规则映射intervlan规则73 tcp any any eq 1434

规则映射intervlan规则69 TCP any 10 . 145 . 7 . 0 0 . 0 . 0 . 255 eq 1433

eacl acl-jxic规则69允许优先级34083

eacl acl-jxic规则72拒绝优先级34088

eacl acl-jxic规则73拒绝优先级34090

之后用Etherpeek抢到包，看到SQL蠕虫没了，设备也没有报警。你完了！