我是网管，如何区分网络中硬件引起的广播风暴和黑客入侵，或者是蠕虫病毒

急！急！传统网络蠕虫和现在的网络蠕虫的异同点分析。。。。~

网络蠕虫

网络蠕虫是一种智能化、自动化，综合网络攻击、 密码学和计算机病毒技术，无须计算机使用者干预即可运行的攻击程序或代码， 它会扫描和攻击网络上存在系统漏洞的节点主机， 通过局域网或者国际互联网从一个节点传播到另外一个节点”。 此定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含（侵占）在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。
蠕虫是怎么发作的？ 如何采取有效措施防范蠕虫？
一、利用操作系统和应用程序的漏洞主动进行攻击
此类病毒主要是“红色代码”和“尼姆亚”，以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞（IFRAME EXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
二、传播方式多样
如“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
三、病毒制作技术新
与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。
四、与黑客技术相结合，潜在的威胁和损失更大
以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，可以分为两种，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE和Outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断地升级软件。而人为的缺陷，主要指的是计算机用户的疏忽。这就是所谓的社会工程学（social engineering），当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，主要是防范第二种缺陷。
五、对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装IIS（微软的因特网服务器程序，可以允许在网上提供web服务）或者是庞大的数据库系统的。因此，上述病毒并不会直接攻击个个人用户的电脑（当然能够间接的通过网络产生影响）。但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。
对于个人用户而言，威胁大的蠕虫病毒采取的传播方式，一般为电子邮件（Email）以及恶意网页等等。
对于利用电子邮件传播的蠕虫病毒来说，通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。
对于恶意网页，常常采取vb script和java script编程的形式，由于编程方式十分的简单，所以在网上非常的流行。
Vb script和java script是由微软操作系统的wsh（Windows Scripting HostWindows脚本主机）解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，疯狂一时的爱虫病毒就是一种vbs脚本病毒，然后伪装成邮件附件诱惑用户点击运行。更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。
个人用户对蠕虫病毒的防范措施
通过上述的分析和介绍，我们可以知道，病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：
1.选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！
2.经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。
3.提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！
当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
4.不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。
最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私
蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的 一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象！本文中将蠕虫病毒分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。
通过电子邮件传播，是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
防范邮件蠕虫的最好办法 ，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。
从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。
随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。
蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络;而后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失；北京时间2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障!专家估计，此病毒造成的直接经济损失至少在12亿美元以上!
病毒名称
持续时间
造成损失

莫里斯蠕虫 1988年 6000多台计算机停机，直接经济损失达9600万美元!
美丽杀手 1999年 政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染，损失超过100亿美元以上
红色代码 2001年7月 网络瘫痪，直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器，损失达数百亿美元
Sql蠕虫王 2003年1月 网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元

由表可以知道，蠕虫病毒对网络产生堵塞作用，并造成了巨大的经济损失!

目前的大多数网络主要是由以太网或令牌环组成。由于使用载波侦听多路访问/冲突检测（CSMA/CD)机制，故随着网络主机数目不断增加时，以太网的不足之处就表现得很突出了，如：主机间通信故障的连锁影响、网络冲突严重、网络利用率大为降低、安全性能无法保证，更有甚者，当广播报文较多的情况下，广播风暴会造成网络崩溃。
而VLAN（虚拟局域网）是为解决以太网存在的广播问题和安全性而提出来的。它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组。VLAN允许处于不同的地理位置的用户加入一个逻辑子网中，共享一个广播域。
————说了那么多VLAN的本质是隔离广播域。

划分VLAN的方法：
1、用交换机端口号定义VLAN（笔者推荐：老兄，让单位投点钱买一机路由交换面吧，也就是三层交换机）
2、用MAC地址定义VLAN
3、用网络层地址定义VLAN，也就是192.168.0.0一个vlan,192.168.1.0一个网段（检查网络层地址肯定要比检查MAC慢多了，所以这种方法性能比较差，但没钱投设备时也不失为一种方法，改一下IP就搞定啦~~）
4、IP广播组播VLAN（这个俺也还没弄过，不好评说~~）

=========================================
由于不知道你用的网络设备，我不好给你一个方案，完了给你介绍一个网站，这个网站不错！hacker和病毒就不好说了，因为这个是网管和hacker之间的斗法，思路是将其杀灭在网关这外，也就是说这个内网和外网的关口可得把守好啰

目前的大多数网络主要是由以太网或令牌环组成。由于使用载波侦听多路访问/冲突检测（CSMA/CD)机制，故随着网络主机数目不断增加时，以太网的不足之处就表现得很突出了，如：主机间通信故障的连锁影响、网络冲突严重、网络利用率大为降低、安全性能无法保证，更有甚者，当广播报文较多的情况下，广播风暴会造成网络崩溃。
而VLAN（虚拟局域网）是为解决以太网存在的广播问题和安全性而提出来的。它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组。VLAN允许处于不同的地理位置的用户加入一个逻辑子网中，共享一个广播域。
————说了那么多VLAN的本质是隔离广播域。

划分VLAN的方法：
1、用交换机端口号定义VLAN（笔者推荐：老兄，让单位投点钱买一机路由交换面吧，也就是三层交换机）
2、用MAC地址定义VLAN
3、用网络层地址定义VLAN，也就是192.168.0.0一个vlan,192.168.1.0一个网段
由于不知道你用的网络设备，我不好给你一个方案，完了给你介绍一个网站，这个网站不错！hacker和病毒就不好说了，因为这个是网管和hacker之间的斗法，思路是将其杀灭在网关这外，也就是说这个内网和外网的关口可得把守好啰

安装一个IRIS软件，捕捉数据分组，分析其源和目的ip地址、MAC地址就可以很容易看出数据分组的用途和目的了。

---

江干区17566367597： 网络卡怎么区分是硬件还是网络出问题?？
寸贫调经： 点击“开始”-“运行”-输入“ping 127.0.1.1” 如果出现类似一下: “Reply from 127.0.1.1: bytes=32 time<1ms TTL=128“ 网卡可以确定没有问题.

江干区17566367597： Cisco网络管理:如何判断路由器的硬件故障 - ？
寸贫调经： 一、系统不能加电 1、这种故障问题表现为当打开路由器的电源开关时,路由器前面板的电源灯不亮,风扇也不转动.在这种情况下,首先得检查的就是电源系统,看看供电插座有没有电流,电压是否正常. 要是供电正常的话,那就要检查电源...

江干区17566367597： 如何鉴别网络故障是由电脑哪个部分造成的？
寸贫调经： 网络设置或网卡问题

江干区17566367597： 分辨网络中路由器和服务器是谁出现的问题？
寸贫调经： 网络的拓扑图,一般在网络施工验收的时候工程方会给你们的,找网络管理员要,或者工程方要,一般大的工程队都有备份. 一般软件或者已经都不容易检测出网络拓扑,只能检测网络当中计算机的状况或者网络的状况(通或者不通,网络质量速度等),这样的软件很多,至于网络硬件坏的情况,比如断线,一般都是要用测线器结合网路拓扑图来解决,远程光纤有专业的测试工具.

江干区17566367597： 怎么判断电脑是硬件问题还是软件问题~~?？
寸贫调经： 这个其实不是那么好判定的,因为电脑问题有很多,比如朋友你说说得蓝屏,软硬都有可能,甚至是一个游戏的设置错误都有可能导致蓝屏(比如我耍魔兽时,因为一个声音选项导致了蓝屏)所以你要从根本来看,要有一定的电脑常识,一般网吧硬件不兼容有些不可能,因为配置都是一样的,你有问题大家都会有问题,要不然就是浏览网页中毒,网吧没有杀毒软件,只有还原卡,所以一般碰到问题有个最有用也是最无奈的方法:重启!这也是一般网管爱说的一句话

江干区17566367597： 网速时快时慢怎么回事? - ？
寸贫调经： 网速慢的几种原因:一、网络自身问题 您想要连接的目标网站所在的服务器带宽不足或负载过大.处理办法很简单,请换个时间段再上或者换个目标网站.二、网线问题导致网速变慢 我们知道,双绞线是由四对线按严格的规定紧密地绞和在一...

江干区17566367597： 网速变慢什么原因 - ？
寸贫调经： 1 网速慢的原因 网速慢的几种原因: 一、网络自身问题 您想要连接的目标网站所在的服务器带宽不足或负载过大.处理办法很简单,请换个时间段再上或者换个目标网站. 二、网线问题导致网速变慢 我们知道,双绞线是由四对线按严格的规定...

江干区17566367597： 网管必看 如何快速解决网速变慢故障 - ？
寸贫调经： 有一种类型的网络故障非常让人头疼,那就是网络的连接线路是畅通的,不过网络速度却慢得出奇.引起这种故障的因素有多方面,为了有效提升网速变慢故障的解决效率,本文特意贡献如下几则排查经验,与大家交流共享. 1、解决硬件损坏...

江干区17566367597： 如何看出网络配适器(网卡)是否坏了? - ？
寸贫调经： 这是硬件方面基本的检测方法 1.确认连通性故障 当出现一种网络应用故障时,如无法接入Internet,首先尝试使用其他网络应用,如查找网络中的其他电脑,或使用局域网中的Web浏览等.如果其他网络应用可正常使用,如虽然无法接入Internet...

江干区17566367597： 家里的网速慢是什么原因 - ？
寸贫调经： 网速慢的原因及提高网速的办法: 1.电脑感染某些病毒、木马将会导致网速很慢.先用杀毒软件全盘查毒杀毒;然后检查CPU运作情况和网络情况,假如CPU无故不停运行,网络连接也没有中断,就可能是病毒木马造成的. 2.电脑上网要经过...