尼姆达病毒在网络中传播的主要特征有：

1、利用病毒宿主通过网络短时间内发送大量的含有“readme.exe”附件的“readme.eml”电子邮件；

2、搜寻以前的IIS蠕虫病毒留下的后门程序曾经或已经感染红色代码病毒（Code Red）并留下了病毒后门，尼姆达病毒就会利用后门程序进行漏洞扫描； www.jsdzsw.com

3、通过大量含有病毒的电子邮件的发送和扫描将导致网络服务产生拒绝服务（DoS）。

在分析尼姆达病毒的主要特征后，可以在路由器上有针对性进行配置以防范和阻止尼姆达病毒的传播：

a.阻塞端口

access-list 101 deny tcp any eq 25 any eq 25//阻塞SMTP协议端口

access-list 101 deny tcp any eq 69 any eq 69//阻塞TFTP端口

access-list 101 deny tcp any eq 135 any eq 135//阻塞NetBIOS协议

access-list 101 deny tcp any eq 445 any eq 445//阻塞NetBIOS协议

access-list 101 deny tcp any eq range 138 139 any range 138 139//阻塞NetBIOS协议

access-list 101 permit any any

b.配置策略图

class-map match-all nimda//定义类 nimda

match protocol http url "*.ida*"//匹配HTTP协议中的url地址中含有.ida关键词

match protocol http url "*cmd.exe*"//匹配HTTP协议中的url地址中含有cmd.exe关键词

match protocol http url "*root.exe*"//匹配HTTP协议中的url地址中含有root.exe关键词

match protocol http url "*readme.eml*"//匹配HTTP协议中的url地址中含有readme.eml关键词

policy-map block_nimda//定义策略图 block_nimda

class nimda//将类 nimda 加载到策略图中作为触发事件

police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定义路由器速率限制策略

结束语：上述所有基于QoS的路由器配置在思科2621XM路由器上测试通过。通过测试，不但可以明显减轻BT、Nimda等病毒对网络的冲击和对网络资源的大量消耗，保护正常计算机用户对网络资源的需求，同时也可以有效防止其他类似的网络蠕虫病毒的攻击，实际价值非常明显。

【相关文章】

• 路由器基本原理与安全设置技巧