浅析网络蠕虫及防范措施.pdf

《浅析网络蠕虫及防范措施.pdf》由会员分享，可在线阅读，更多相关《浅析网络蠕虫及防范措施.pdf（4页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、浅析网络蠕虫及防范措施一、网络蠕虫定义及特征一、网络蠕虫定义及特征（一）网络蠕虫的定义（一）网络蠕虫的定义网络蠕虫通过网络传播，是一种无须计算机使用者干预即可运行的独立程序。它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。网络蠕虫与普通计算机病毒不同，它不需要人为干预，不利用文件寄生，而且能够自主不断地复制和传播，对网络造成拒绝服务。传播形式存在形式复制机制传染机制触发传染攻击目标破坏重点搜索机制防御措施计算机使用者的角色对抗主体蠕虫主动自己传播独立存在自身拷贝系统或者软件漏洞程序自身网络上其他计算机主机自身性能和网络性能网络 IP 扫描为系统或者软件打补丁无关计算机使用

2、者，反病毒厂商普通病毒通过 U 盘或者受感染的文件寄生于某个宿主文件中插入到宿主程序中宿主程序的运行计算机使用者本地文件本地文件系统本地文件系统扫描从受感染的文件中清除病毒传播的关键环节系统软件， 服务软件提供商，网络管理员表格：蠕虫和普通病毒的区别（二）网络蠕虫的特征（二）网络蠕虫的特征1、主动传播蠕虫在整一个传播过程中，从搜索漏洞，到利用搜索结果攻击系统，再到复制副本到目标主机，整个过程由蠕虫程序自身主动完成。2、传播迅速蠕虫的扫描机制决定了蠕虫传播的迅速，一般情况下，蠕虫会打开几十个甚至上百个线程用来同时对外扫描，而且扫描的间隔时间非常短。再加上蠕虫爆发时用户尚还未对漏洞打补丁，使蠕虫可

3、以在很短的时间内占领整个互联网。3、利用漏洞计算机系统存在漏洞是蠕虫传播一个必不可少的条件。早期的蠕虫是科学家用来进行分布式计算的，他们的传播对象是经过许可的计算机。蠕虫要想不经过允许而进行传播，只有利用搜索到的漏洞进行攻击，提升权限。4、网络拥塞从蠕虫的传播过程可以看出，在蠕虫的传播过程中，首先要进行扫描，找到存在漏洞的计算机，这是一个大面积的搜索过程，这些都无疑会带来大量的数据流。特别是蠕虫传播开以后，成千上万台机器在不断地扫描，这是很大的网络开销。5、反复感染蠕虫是利用计算机系统的漏洞进行传播，如果只是清除了蠕虫在文件系统中留下的痕迹，像清除病毒一样单单地清除蠕虫本身，而没有及时修补系统

4、的漏洞，计算机在重新联网后还有可能会感染这种蠕虫。6、留下安全隐患大部分的蠕虫会搜集，扩散，暴露系统的敏感信息（如用户信息） ，并在系统中留下后门。这些都会 导致未来的安全隐患。二、网络蠕虫攻击原理及案例分析二、网络蠕虫攻击原理及案例分析( (一一) )网络蠕虫的工作流程网络蠕虫的工作流程网络蠕虫的工作流程一般来说可以分为 5 个步骤：搜集信息探测目标主机攻击目标系统自我复制后续处理被感染后的主机又会重复上述步骤来攻击网络上其他的主机。（二）网络蠕虫运行技术案例（二）网络蠕虫运行技术案例2003 年 2 月爆发的 SQL 杀手蠕虫病毒是利用 Microsoft SQL Server 2000

5、缓冲区溢出漏洞进行传播，对未安装 MS SQL Server2000 SP3 的系统进行攻击并获得控制权。导致蠕虫的讯速传播并且形成整个互联网范围内的拒绝服务攻击, 网络带宽大量被占用。 所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。SQL 杀手 的运 行过 程为 ：该 病毒 入侵 未受 保护 的机 器后 ，取 得三 个 Win32 API地址，GetTickCount、socket、sendto，接着病毒使用 GetTickCount 获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的 ip 地址，随后创建一个 UDPsocket，将自身代

6、码发送到目的被攻击机器的 1434 端口，随后进入一个无限循环中，重复上述产生随机数计算 ip 地址，发动攻击一系列动作。“SQL 杀手”病毒直接危害是导致网络流量堵塞，服务器宕机。都利用“缓存区溢出”这一技术对存在漏洞的机器进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件，不对系统数据造成任何破坏，也不破坏硬件设备。 都是利用微软软件或系统中的漏洞，通过已知的开放的端口， 使用广播数据包方式进行自身的传播和复制。 可以随机计算出大量的 IP 地址， 对他们发起 DoS攻击，使得被攻击的电脑网速特别慢，最终由于网络流量负载严重而宕机。三、应对网络蠕虫攻击的措施和警报三、应对网络蠕虫攻

7、击的措施和警报对于蠕虫的防范措施和报警系统应该放在以下两点：一是能够在第一时间发现蠕虫；二是在最短的时间内对蠕虫的传播能够进行控制。（一）对于未知蠕虫进行检测对蠕虫在网络中产生的异常，有多种方法可以对未知蠕虫进行检测，比较通用的方法是对流量异常的统计分析，对 TCP 连接异常的分析，理论依据是：正常主机对外访问是有限的，因此很少会出现连接失败；蠕虫确定攻击目标是随机的，因而很容易出现连接失败现象。 另外在上述两种分析的基础上，在路由建立一个监测模块，对产生的数据进行分析。 这样可以更全面的检测网络中的未知蠕虫。当蠕虫病毒在网络上扫描具有漏洞的目标机时，会存在许多空的不可达的IP 地址，从而在一

8、段时间内， 蠕虫主机会接收到大量的来自不同路由器的数据包。通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机隔离，对蠕虫其进行分析，进而采取防御措施。（二）网络蠕虫防范策略1、利用防火墙防范：通过控制防火墙策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。 同时如果发现外网的蠕虫对内网进行扫描和攻击，也可以和防火墙互动，防止外网的蠕虫传染内网的主机。2、交换机防范内网传播：交换机通过 SNMP 协议进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机在内网的大肆传播，同时可以控制因为蠕虫发作而产生的大量的网络流量。

9、 同时为了适应用户的网络环境，最好还能提供 Telnet 配置网络设备的接口，这样可以和网络任何支持 Telnet 管理的网络设备进行联动。3、就是分析蠕虫病毒对其进行查杀并对响应的漏洞进行补丁的安装。 防止蠕虫进一步感染其他网络上的计算机。三、提高个人网络安全意识三、提高个人网络安全意识1、加强法律监管。目前我国互联网的相关的法律法规还比较欠缺，相关部门要根据网络体系结构以及网络安全的特点，尽快建立比较完善的网络应急体系，为破解网络安全难题提供法律方面的依据。2、网络安全架构的建设。构建一个比较完善的网络安全架构，不仅从技术方面保障网络系统的安全性，还要加强对网络安全问题的监管，为用户创造一个良好的网络环境，尽可能预防网络安全事故的发生。3、网民个人安全意识。现实生活中，很多网络完全事故的发生，都是因为网民自身安全意识过低，使得不法分子钻空子。广大网民一定要提高自己的网络安全意识，丰富自己的网络安全知识，避免掉入不法分子处心积虑设置的网络陷阱中。