《蠕虫病毒的传播原理》由会员分享,可在线阅读,更多相关《蠕虫病毒的传播原理(9页珍藏版)》请在金锄头文库上搜索。
1、-?计算机系统平安?课程结课论文?蠕虫病毒的传播原理?学生 军辉 学 号 5011212502 所属学院 信息工程学院 专 业 计算机科学与技术 班 级 计算机16-5 指导教师 鹏 塔里木大学教务处制摘要:蠕虫病毒开展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止平安软件的运行,危害越来越大。本文介绍了蠕虫病毒的定义,特点,构造及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。关键词:计算机蠕虫;传播;目录引言1正文11.蠕虫病毒的定义及特点12.蠕虫病毒的构成及在传播过程中的功能23. 攻击模式33.1 扫描-攻击-复制33.2模式的使用53.3蠕虫传播的其他可能模式54.从平安
2、防御的角度看蠕虫的传播模式5总结6参考文献:7. z.-蠕虫病毒的传播原理引言蠕虫病毒是一种常见的计算机病毒。它是利用网络进展复制和传播,传染途径是通过网络和电子。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的*些局部到其他的计算机系统中通常是经过网络连接。 正文1.蠕虫病毒的定义及特点蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并 且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入 侵完全控制一台计算机之后,就会把这台机器作为宿主,进 而扫描并感染其他计
3、算机。当这些新的被蠕虫入侵的计算机 被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染 其他计算机,这种行为会一直延续下去。蠕虫使用这种递归 的方法进展传播,按照指数增长的规律分布自己,进而及时 控制越来越多的计算机。 蠕虫病毒有如下特点: 1较强的独立性。计算机病毒一般都需要宿主程序, 病毒将自己的代码写到宿主程序中,当该程序运行时先执行 写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要 宿主程序,它是一段独立的程序或代码,因此也就防止了受 宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而 主动地实施攻击。 2利用漏洞主动攻击。由于不受宿主程序的限制,蠕 虫病毒可以利用操作系统的各
4、种漏洞进展主动攻击。例如,“尼 姆达病毒利用了 IE 浏览器的漏洞,使感染了病毒的附 件在不被翻开的情况下就能激活病毒;“红色代码利用了微 软 IIS 效劳器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而 蠕虫王病毒则是利用了微软数据库系统的一个漏洞进展攻击。3传播更快更广。蠕虫病毒比传统病毒具有更大的传 染性,它不仅仅感染本地计算机,而且会以本地计算机为基 础,感染网络中所有的效劳器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子、恶意网页以及存在着大量 漏洞的效劳器等途径肆意传播,几乎所有的传播手段都被蠕 虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是 传统病毒的几百倍,甚
5、至可以在几个小时蔓延全球。4更好的伪装和隐藏方式。为了使蠕虫病毒在更大 围传播,病毒的编制者非常注重病毒的隐藏方式。在通常 情况下,我们在接收、查看电子时,都采取双击翻开邮 件主题的方式浏览容,如果中带有病毒,用户的 计算机就会立刻被病毒感染5技术更加先进。一些蠕虫病毒与网页的脚本相结合, 利用 VB Script、Java、Active* 等技术隐藏在 HTML 页面里。 当用户上网浏览含有病毒代码的网页时,病毒会自动驻留 存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相 结合,比拟典型的是“红色代码病毒,它会在被感染计算 机 Web 目录下的scripts 下将生成一个 root.e*
6、e 后门程序,病 毒的传播者可以通过这个程序远程控制该计算机。这类与黑 客技术相结合的蠕虫病毒具有更大的潜在威胁。6使追踪变得更困难。当这 10000 个系统在蠕虫病毒 的控制之下时,攻击者利用一个极为迷惑的系统来隐藏自己 的源位置。可以轻易地制造一个蠕虫,它可以在这个蠕虫的 段与段之间任意连接。当这个蠕虫感染了大局部系统之后, 攻击者便能发动其他攻击方式对付一个目标站点,并通过蠕 虫网络隐藏攻击者的位置。这样,在不同的蠕虫段之间的连 接中,要抓住攻击者就会非常困难。 2.蠕虫病毒的构成及在传播过程中的功能探测局部:探测局部是用来获得入侵目标的访问权, 他实际上是一些入侵到计算机的代码,进入目
7、标计算机之后 探测局部会自动探测攻击点,并尽可能的利用计算机的漏洞 侵占系统。探测局部获得访问权的技术,有缓存一处探测, 文件共享攻击,电子以及计算机的配置错误。传播引擎:通过探测局部获得目标机的访问权后, 蠕虫必须传输自身的其他局部到目标机。有些蠕虫的探测部 分可以将整个蠕虫载入目标机,有些蠕虫则需要利用探测部 分的传播引擎代码执行一个用来传输蠕虫代码的命令将蠕 虫的其他局部传播到计算机中。当蠕虫传播到计算机中,便运行蠕虫代码,改变系统配置,用来在系统中隐藏自己。 目标选择算法:蠕虫在进入到目标机之后,便开场寻找新的攻击目标,这局部工作是由目标选择算法完成。蠕虫会自动扫描由目标选择算法确定的
8、地址,然后检查是否有适宜的易攻击的对象。蠕虫的选择算法有如下方法:电子地址:一个蠕虫可以从受害计算机的阅读 器或效劳器中得到电子地址,任何发送信息到受害计算机或从受害计算机接收信息的计算机都将成为下一个 潜在的目标。 主机列表:一些蠕虫从本地主机上的各种计算机列表中 获得地址,例如存储在主机文件(UNI* 中的/etc/hosts 和 Windows 中的 LMHOSTS)中的那些。域名效劳(DNS)查询:蠕虫可以连接到包含其它计算机地址的本地域名效劳器,这些计算机地址即成为蠕虫的攻击对象。 任意选择一个目标网络地址:蠕虫可以任意地选择一个目标网络地址。由于网络延时,在局域网上传播速度要远距
9、离传播蠕虫快得多,因此,许多目标选择算法优先选择当前 蠕虫所在的较近的网络地址。 扫描引擎。目标引擎获得攻击目标的地址后,蠕虫 便可以利用扫描引擎对目标传送数据包,以此来判断此目标 是否适合攻击。 有效载荷。进入到计算机之后,蠕虫的有效载荷可 以实施*种行为,如翻开一个后门,然后攻击者就可以远程 控制目标计算机。或者安装一个分布式的拒绝效劳淹没代 理,攻击者可以命令他侵占其它受害计算机。3. 攻击模式3.1 扫描-攻击-复制从新闻中看到关于蠕虫的报道,报道中总是强调蠕虫如何发送大量的数据包,造成网络拥塞,影响网络通信速度。实际上这不是蠕虫程序的本意,造成网络拥塞对蠕虫程序的发布者没有什么好处。
10、如果可能的话,蠕虫程序的发布者更希望蠕虫隐蔽的传播出去,因为蠕虫传播出去后,蠕虫的发布者就可以获得大量的可以利用的计算资源,这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。但是,现有的蠕虫采用的扫描方法不可防止的会引起大量的网络拥塞,这是蠕虫技术开展的一个瓶颈,如果能突破这个难关,蠕虫技术的开展就会进入一个新的阶段。现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中,于是扫描模块采用的扫描策略是这样的:随机选取*一段IP地址,然后对这一地址段上的主机扫描。笨点的扫描程序可能会不断重复上面这一过程。这样,随着蠕虫的传播,新感染的主机也开场进展这种扫描,这些扫描程序不知道那些
11、地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。聪明点的作者会对扫描策略进展一些改良,比方在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进展扫描。对扫描次数进展限制,只进展几次扫描。把扫描分散在不同的时间段进展。扫描策略设计的原则有三点:1.尽量减少重复的扫描,使扫描发送的数据包总量减少到最小2.保证扫描覆盖到尽量大的围3.处理好扫描的时间分布,使得扫描不要集中在*一时间发生。怎样找到一个适宜的策略需要在考虑以上原则的前提
12、下进展分析,甚至需要试验验证。扫描发送的探测包是根据不同的漏洞进展设计的。比方,针对远程缓冲区溢出漏洞可以发送溢出代码来探测,针对web的cgi漏洞就需要发送一个特殊的 请求来探测。当然发送探测代码之前首先要确定相应端口是否开放,这样可以提高扫描效率。一旦确认漏洞存在后就可以进展相应的攻击步骤,不同的漏洞有不同的攻击手法,只要明白了漏洞的利用方法,在程序中实现这一过程就可以了。这一部关键的问题是对漏洞的理解和利用。关于如何分析漏洞不是本文要讨论的容。攻击成功后,一般是获得一个远程主机的shell,对win2k系统来说就是cmd.e*e,得到这个shell后我们就拥有了对整个系统的控制权。复制过
13、程也有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫自代的程序实现。复制过程实际上就是一个文件传输的过程,实现网络文件传输很简单,这里不再讨论。3.2模式的使用既然称之为模式,则它就是可以复用的。也就是说,我们只要简单地改变这个模式中各个具体环节的代码,就可以实现一个自己的蠕虫了。比方扫描局部和复制局部的代码完成后,一旦有一个新的漏洞出现,我们只要把攻击局部的代码补充上就可以了。利用模式我们甚至可以编写一个蠕虫制造机。当然利用模式也可以编写一个自动入侵系统,模式化的操作用程序实现起来并不复杂。3.3蠕虫传播的其他可能模式除了上面介绍的传播模式外,还可能会有别的模式出现。比方,我们可以把利
14、用进展自动传播也作为一种模式。这种模式的描述为:由地址薄获得地址-群发带有蠕虫程序的-被动翻开,蠕虫程序启动。这里面每一步都可以有不同的实现方法,而且这个模式也实现了自动传播所以我们可以把它作为一种蠕虫的传播模式。随着蠕虫技术的开展,今后还会有其他的传播模式出现。4.从平安防御的角度看蠕虫的传播模式我们针对蠕虫的传播模式来分析如何防止蠕虫的传播思路会清晰很多。对蠕虫传播的一般模式来说,我们目前做的平安防护工作主要是针对其第二环即攻击局部,为了防止攻击,要采取的措施就是及早发现漏洞并打上补丁。其实更重要的是第一环节的防护,对扫描的防护现在人们常用的方法是使用防护墙来过滤扫描。使用防火墙的方法有局
15、限性,因为很多用户并不知道如何使用防火墙,所以当蠕虫仍然能传播开来,有防火墙保护的主机只能保证自己的平安,但是网络已经被破坏了。另外一种方案是从网络整体来考虑如何防止蠕虫的传播。从一般模式的过程来看,大规模扫描是蠕虫传播的重要步骤,如果能防止或限制扫描的进展,则就可以防止蠕虫的传播了。可能的方法是在网关或者路由器上加一个过滤器,当检测到*个地址发送扫描包就过滤掉该包。具体实现时可能要考虑到如何识别扫描包与正常包的问题,这有待进一步研究。了解了蠕虫的传播模式,可以很容易实现针对蠕虫的入侵检测系统。蠕虫的扫描会有一定的模式,扫描包有一定的特征串,这些都可以作为入侵检测的入侵特征。了解了这些特征就可以针对其制定入侵检测规则。总结网络蠕虫病毒作为一种互联网高速开展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络平安公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防体系!蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!参考文献:1
