案例-飞客蠕虫研究
飞客蠕虫研究
飞客蠕虫是近两年感染率最高的蠕虫,没有之一。在本人实际工作中发现过多起感染飞客蠕虫的事件,现在将对该蠕虫进行比较细致介绍和分析一下。
飞客蠕虫是英文conficker的中文发音。该蠕虫最早发现于2008年12月,利用微软的利用微软MS08-067 漏洞发起攻击。自从发现该蠕虫病毒后,在1年的时间内出现了5个主要变种,功能和隐蔽性比原始程序得到很大提升。其主要版本演进如下:
飞客蠕虫感染最多的就是中国大陆地区,网上看到一则新闻,在2010年10月份的平均每个月内就有1800万PC感染了飞客蠕虫。最高时,根据国家计算机应急指挥中心公布的数据,全国有近10%的PC感染了该蠕虫。由此我们也可以看出国内的PC安全意识很淡薄,其实简单的更新下系统,打上相关补丁,就不会感染该蠕虫。
研究任何病毒木马最好的方式的就是主动感染该病毒木马,然后跟踪其行为。本文也是以这种思路来进行对飞客蠕虫的研究。研究之前的工作如下:
●准备一台没有打MS08-067补丁的XP系统的主机,在此我使用较早版本的XP SP2版
本,然后安装到一台虚拟机上。
●从互联网上寻找飞客蠕虫的各版本,主要是C,D,E这三个版本为主,因为这些后来版本功
能较强大,通信行为也很复杂。这项准备工作最为困难,因为找到合适的样本是比较不容易的,在此我推荐一个网站:https://www.360docs.net/doc/746607216.html, 该网站是国外比较专业的木马病毒样本网站,不过需要较严格的用户注册条件。
●在虚拟机上安装科来2010旗舰版,准备做好抓包工作。
准备完毕后,将下载的样本在本机上运行。然后进行抓包,设置好过滤器保证抓到的数据是比较纯净的,不要使用该XP系统做任何网络操作,然后进行长时间的抓包。在连续抓包几个小时候停止抓包,进行数据分析。
首先,感染飞客蠕虫后的主机会禁止系统访问各种杀毒厂商的网站和相关安全信息内容。所以根据这个属性我们可以检查一下我们是否中了飞客蠕虫。点击链接:
https://www.360docs.net/doc/746607216.html,/cfeyechart.html我们看到如下的图:
如图,这是本机中了飞客蠕虫的表现,排名上面的一行是各安全厂商的图片链接。
对抓包的数据进行分析,可以了解其行为:
首先,蠕虫成功运行后会向指定的域名发送请求,该蠕虫每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信,因此会产生大量的奇怪的域名解析如图:
这些域名google和百度的搜索结果都是零,也就是说,是极冷僻的域名。
成功解析了这些域名后,肉鸡开始像这些解析后的地址发起HTTP请求,下载最新的蠕虫更新程序,以避免被杀毒软件清除。然后还会下载各种病毒,如键盘记录软件,远程控制软
件,密码收集软件等,这样PC就会被各种病毒木马所占领。
此外,本次使用的D样本,还采用了点对点(P2P)机制,使它能够从其他已经感染Conficker.D计算机中分配和接收命令。因此我们可以看到大量的向互联网上中了蠕虫病毒的PC发起的连接,如图矩阵视图:
如此,我们可以看到飞客蠕虫的威力,可以从50000个不同的域名随机选取500个进行解析,取得与黑客控制者的连接及下载其他节点信息。然后向其他中了飞客蠕虫的节点进行P2P连接,取得版本信息及黑客指令,这样不仅能够隐藏控制者的IP,而且还使飞客蠕虫建立起来的僵尸网络更加健壮(P2P方式的连接方式不会因为失去一个控制者而使整个僵尸网络瓦解)。
飞客蠕虫的传播性极强,如果内网中有一台PC因为访问含病毒网站,或含木马邮件等方式感染了飞客蠕虫,那么局域网其他有漏洞的主机感染的概率基本是100%。飞客蠕虫对内网其他PC的入侵和感染主要是通过网络共享方式进行。而且飞客蠕虫可以通过其他硬件载体,比如U盘,移动硬盘等方式进行传播。
网络共享是windows比较方便的一个利用网络共享文件的方式,但给用户带来便利的同时也带来了很大的隐患,局域网内的两大攻击手段就是arp感染和网络共享破解。飞客蠕虫是使用网络共享破解最多的蠕虫病毒之一,我们可以从其他的攻击数据上面进行验证。
首先,我们会发现网络中存在大量的CIFS和netBIOS协议,而且这些协议流量不是很大,但TCP会话数却很大。
2
这种会话具有明显的暴力破解行为,可以通过“数据流“选项来仔细对比,我们随机选择两个12个数据包的CIFS协议的数据流进行对比发现,其内容部分只有密码部分在改变如图:
根据其他安全资料,可以找出其尝试密码的列表,通过列表我们可以发现,这些密码都是比较常见的密码,因此也可以看到设置一个比较复杂的随机的密码的重要性。
如果局域网内某台有漏洞的PC感染了飞客蠕虫,在传播过程中碰到其他PC是弱密码或根本没有密码,那么被入侵就是迟早的事情了。
飞客蠕虫的危害:
●导致个人机密信息被窃取,如QQ密码,银行账号,个人或公司保密文件等。
●感染局域网内其他主机,强大的传播性使其他虚弱的PC受到感染,造成大面积的感染。
●大面积感染后会使大量消耗防火墙等设备的网络并发连接,影响其他PC的正常业务访问
(firewall的并发连接数是固定的,如果几十台PC感染了飞客蠕虫,导致的并发连接可能会消耗掉防火墙大多数连接数,从而导致正常用户也受到影响,这种就会出现,带宽足够但访问也会比较慢的情况产生。)
防护:
●规范用户的上网行为,对陌生邮件和危险网站进行禁止打开和访问。
●个人PC要及时升级微软更新补丁,所谓“苍蝇不叮无缝蛋“就是这种道理。飞客蠕虫就
是针对微软的一个漏洞,如果打了补丁修补了该漏洞,那么感染飞客蠕虫的概率就会很低了。
●个人用户出现网络慢,或发现比较多的网络连接时,或发现自己的杀毒软件无法正常工
作的时候可以使用测试页面测试以下是否感染了飞客蠕虫:
https://www.360docs.net/doc/746607216.html,/cfeyechart.html
●一旦感染确定感染了飞客蠕虫后,要进行断网隔离,下载专杀工具进行查杀。
参考文档:
https://www.360docs.net/doc/746607216.html,/Conficker/
https://www.360docs.net/doc/746607216.html,/wiki/(飞客蠕虫工作组)
国家计算机应急指挥中心年度报告
https://www.360docs.net/doc/746607216.html,/
客户投诉处理方案及案例.doc
客服部-客户投诉处理方案 当客户在接受企业物流服务的过程中进行投诉时,原因可能来自于服务。投诉的行为一旦做出,不论是对客户,或是对物流部门而言,都是一个不愉快的事情。 从客户角度来说,拿到与订单不符的商品或是对物流部门提供的服务品质和项目不满,都可能会对客户的经营造成伤害。至于物流部门本身,则可能因为客户的不满而降低其对企业的信心。情况严重的,还可能影响到企业的信誉及利润。有的研究资料指出,客户宛如企业的免费广告,当客户有好的体验时会告诉五个其它的客户,但是一个不好的体验可能会告诉 20 个。因此,如何让客户成为企业有利的免费宣传媒介,使企业不断发展下去,在一定程度上有赖于企业物流服务人员能否谨慎处理客户的每一个不满与投诉。 一、物流部门对客户投诉的处理步骤不论是第一线的物流业务人员、管理人员或者是部门负责客户服务的专职人员,在接获客户投诉时的处理原则都是一致的。其主要目的在于使客户的投诉得到妥善的处理,在情绪上觉得受到尊重。因此,在处理客户抱怨时应遵循下列步骤: 1.要有效地倾听客户各种不满陈述 为了让客户心平气和,在有效倾听时应做到下列事项: (1)让客户先发泄情绪。当客户还没有将事情全部述说完毕之前,就中途打断,做一些言词上的辩解,只会刺激对方的情绪。如果能让客户把要说的话及要表达的情绪充分发泄,往往可以让对方有一种较为放松的感觉,心情上也比较平静。(2)善用自己的肢体语言,并了解客户目前的情绪。在倾听的时候,应以专注的眼神及间歇的点头来表示自己正在仔细地倾听,让客户觉得自己的意见受到重视。同时也可以观察对方在述说事情时的各种情绪和态度,以此来决定以后的应对方式。 (3)倾听纠纷发生的细节,确认问题所在。倾听不仅只是一种动作,还必须认真了解事情的每一个细节,然后确认问题的症结所在,并利用纸笔将问题的重点记录下来。如果对于投诉的内容不是十分了解,可以在客户将事情说完之后再问对方。不过在些过程中,千万不能让客户产生被质问的印象,而应以婉转的方式请对方提供情况,例如:“很抱歉,有一个地方我还不是很了解,是不是可以再向您请问有关……的问题”。并且在对方说明时,随时以“我懂了”来表示对问题的了解状况。 2.表示道歉 不论引起客户不满的责任是否属于公司内部部门,如果能够诚心地向客户道歉,并对客户提出的问题表示感谢,都可以让客户感到自己受到重视。事实上,从营销部门的立场来说,如果没有客户提出投诉,营销经理也就不知道有哪些方面的工作有待改进。一般来说,客户之所以投诉,表示他关心这家企业,愿意继续与之合作,并且希望这些问题能够获得改善。困此,任何一个客户投诉都值得物流部门道歉并表示感谢。 3.提供解决方案 所有的客户投诉都必须向其提出解决问题的方案。在提供解决方案时,必须考虑下列几点:
蠕虫病毒的症状
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型:蠕虫病毒 攻击对象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等传播途径:“冲击波”是一种利用Windows系统的RPC(远程过程调用,是一种通信协议,程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播,更隐蔽,更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机,一旦找到有漏洞的计算机,它就会利用DCOM(分布式对象模型,一种协议,能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键,在“Windows 任务管理器”中选择“进程”选项卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),选中它,然后,点击下方的“结束进程”按钮。 提示:如不能运行“Windows 任务管理器”,可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口,输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”,选择“所有文件和文件夹”选项,输入关键词“msblast.exe”,将查找目标定在操作系统所在分区。搜索完毕后,在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法,查找并删除“teekids.exe“和“penis32.exe”文件。 提示:在Windows XP系统中,应首先禁用“系统还原”功能,方法是:右击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”选项卡,勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”,可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口,输入以下命令: “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”,输入“regedit”打开“注册表编辑器”,依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”,删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后,“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。
肠道寄生虫检验
消化道寄生虫的粪便检查 一、粪便中线虫的检查 (一)方法:主要采用直接涂片法或饱和盐水漂浮法, 1、直接涂片法:它是检查虫卵的最简单方法,但如果粪便中虫卵数量较少时则不易查到。在载玻片上滴1滴50%甘油水溶液(或生理盐水、普通水),取少量粪便与甘油水溶液混合,然后除去粪便中的粗渣,盖上盖玻片,先用低倍镜检查,发现虫卵后,换取高倍镜检查。 2、饱和盐水漂浮法:该法的原理是应用比重较虫卵大的溶液作为检查用的漂浮液,使虫卵浮于液体表面,进行集中检查。取新鲜犬粪便5g放入50ml的烧杯内,再加入40毫升饱和盐水(在大烧杯内将水煮沸加入食盐,直到食盐不再溶解为止),搅匀,用两层纱布过滤到另一杯中,加饱和盐水到满杯,30分钟后,用铁丝圈与液面平行接触,蘸取表面液膜。抖落于载玻片上,加盖玻片镜检。 (二)病原体特征 1、犬蛔虫:包括犬弓首蛔虫、狮弓首蛔虫。犬弓首蛔虫虫卵近圆形,卵壳厚,表面呈蜂窝状,大小为68~ 85µm×64~72µm。狮弓首蛔虫虫卵近似圆形,卵壳光滑,大小为49~61µm 。有时在犬的粪便或呕吐物中可直接见到虫体。犬弓首蛔虫虫体浅黄色。雄虫长
50~llOmm,尾端弯曲,有交合刺两根;雌虫长90~180mm,尾端直。狮弓首蛔虫雄虫长35~70mm,有两根交合刺;雌虫长30~100mm,尾直而尖细。 2、犬钩虫:虫卵短椭圆形,浅褐色。新鲜虫卵内含8个卵细胞,虫卵大小为56~75µm×34~47µm。 3、犬鞭虫:病原体为犬狐毛首线虫,虫卵呈腰鼓状,黄褐色,两端有卵塞,壳厚、光滑,大小为70~89µm。 4、犬类圆线虫:寄生于犬的类圆线虫主要是粪类圆线虫。虫卵为椭圆形,壳薄、无色透明,大小为50~7µm×30~40µm。 5、泡翼线虫:虫体形似蛔虫。雄虫长13~45mm,雌虫长15~60mm。虫卵大小为42~60µm×29~42µm,虫卵在排出时已含有幼虫。 二、粪便中吸虫的检查 (一)方法:主要采用粪便沉淀检查法、尼龙筛淘洗检查法。 1、沉淀检查法:该法的原理是利用虫卵比水重,可自然沉于水底,便于集中检查。沉淀法多用于吸虫病和棘头虫病的诊断。 取粪便5g置于烧杯(或塑料杯)中,加100ml清水充分搅匀,再用金属筛或纱布滤过于另一杯中,滤液静置20分钟后倾去上层液,再加水与沉淀物重新搅拌、静置,如此反复水洗沉淀物多次,直至上层液透明为止,最后倾去上清液,用吸
蠕虫病毒有什么危害如何杀
蠕虫病毒有什么危害如何杀 时间:2013-01-15 19:26来源:https://www.360docs.net/doc/746607216.html,作者:xp系统下载点击:170次电脑的蠕虫病毒是什么,会给电脑系统造成什么危害呢?“2003蠕虫王”(https://www.360docs.net/doc/746607216.html,Killer2003)感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。 小编建议您使用360免费杀毒进行查杀,然后再根据查杀情况进行相应措施。 蠕虫病毒传播过程 2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下: 该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255 台可能存在机器。易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。病毒体内存在字符串 “h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。 蠕虫病毒的特征 该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp 端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机 会在被攻击机器上运行进一步传播。 该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System 权限,因而该蠕虫也获得System级别权限。受攻击系统:未安装MS SQL
客户投诉和群诉典型案例汇编
客户投诉及群诉典型案例汇编 一、土地开发年限超期及超用地红线问题引发客户投诉 (一)投诉概述 1.按照“国有土地出让协议”规定,在规定开发年限内无法按时完成项目开发,将面临巨额罚款,并有土地收回的风险。 2.项目建设用地红线与周边土地相互交错,项目开发过程中,出现局部施工占用红线外土地问题,导致土地验收遇到困难。 案例说明:某别墅项目周边为山地,开发过程中,未充分考虑红线问题,规划验收时,出现9处(10000多平方)超越红线,经与政府多次协商,补缴600多万元土地出让款。 (二)管理思考 1.项目公司必须重视土地开发年限超期问题,建议在签订《国有土地使用权出让合同》时,与政府协商增加相应免责条款; 2.若后期发现有超期危险的,需提前与政府部门沟通,申请土地开发年限延期,并保留发给政府部门的函,照片等相关依据; 3.思想上严格重视红线问题,绝不能存侥幸心理、打擦边球;
4.明确用地红线范围,建设工程施工放线(灰线验线)时应符合建设工程规划许可证要求的检验; 5.一旦发生超红线问题,及时与土管部门沟通,补交土地出让款,避免后期无法通过规划验收而影响交付、办证等。 二、设计时未充分考虑地域差异引发客户投诉 (一)投诉概述 1.公司开发楼盘遍布全国,但在规划设计阶段,对管道保温、阳台利用等存在地区差异问题考虑欠缺,导致房屋交付后业主对使用功能等方面产生质疑。 案例说明:某北方项目,架空层排水管道未做保温措施,导致排水管道冻裂;门窗节能设计未能达到当地规范要求,且外挂窗设计使用合理性较差。 (二)管理思考 1.设计时,应对项目当地气候条件及居民生活习惯进行全面调研,因地制宜做好建筑设计及工程施工; 2.北方地区架空层排水管布置应充分考虑气候因素,加强保温防护措施; 3.北方地区门窗节能设计应达到设计规范要求,考虑渗漏风险和安全隐患,建议采用小分割窗户和三玻设计,住宅窗户设计谨慎采用外挂窗。
蠕虫病毒的特征与防治.doc
研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治
1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;
对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室
对Stuxnet蠕虫攻击工业控制系统事件的综合报告 2010年9月27日21时 首次发布 2010年9月30日14时 最新修订 安天实验室 安全研究与应急处理中心 Antiy CERT
目 录 第1章 事件背景 (3) 第2章 样本典型行为分析 (4) 2.1 运行环境 (4) 2.2 本地行为 (4) 2.3 传播方式 (6) 2.4 攻击行为 (9) 2.5 样本文件的衍生关系 (10) 第3章 解决方案与安全建议 (12) 3.1 抵御本次攻击 (12) 3.2 安全建议 (12) 第4章 攻击事件的特点 (14) 4.1 专门攻击工业系统 (14) 4.2 利用多个零日漏洞 (14) 4.3 使用有效的数字签名 (14) 4.4 明确的攻击目标 (15) 第5章 综合评价 (16) 5.1 工业系统安全将面临严峻挑战 (16) 5.2 展望和思考 (17) 附录 (19) 安天应急响应时间表 (19) 相关链接 (19)
第1章事件背景 近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
蠕虫和普通病毒的区别 及防范措施
蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题,很多人都存在以上的疑问和误区。针对近年来,病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展,笔者这篇文章就以这两个祸害开刀,和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展,蠕虫病毒引起的危害开始快速的显现!蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),快速的自身复制并通过网络感染,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播,目标是互联网内的所有计算机。这样一来局域网内的共享文件夹,电子邮件,网络中的恶意网页,大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径,使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种:软件的和人为的。 软件上的缺陷,如系统漏洞,微软IE和outlook的自动执行漏洞等等,需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷,主要是指的是计算机用
户的疏忽。例如,当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的,从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析,我们了解蠕虫的特点和传播的途径,因此防范需要注意以下几点: 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控!国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错,相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势,同时消耗系统资源也比较少,大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪,病毒每天都层出不穷,再加上如今的网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片,软件等等。必须经过对方的确认(因为一旦对方中毒后他的QQ会自动向好友发送病毒,他自己根本不知道,这个时候只要问一问他本人就真相大白!),或者此人是你绝对可以相信的人!另外对于收发电子邮件,笔者强烈建议大家通过WEB方式(就是登陆邮箱网页)打开邮箱收发邮件(这样比使用Outlook和foxmail更安全)。虽然杀毒软件可以实时监控但是那样不仅耗费内存,也会影响网络速度! 4、必要的安全设置 运行IE时,点击“工具→Internet选项→安全”,把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是:在IE窗口中点击“工具”→“Internet 选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕,但是细心的朋友注意蠕虫攻击系统的途径可以看出:最主要的方式就是利用系统漏洞,因此微软的安全部门已经加大了系统补丁的推出频率,大家一定要养成好习惯,经常的去微软网站更新系统补丁,消除漏洞(通过点击开始上端的“windows Update”)
蠕虫病毒
【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展
目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)
第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。
肠道线虫
肠道线虫流行病学和防治对策研究进展 杨志强 2013181622049 (四川大学华西临床医学院2013级临床医学八年制) 摘要:肠道线虫主要包括蛔虫,钩虫和鞭虫,寄生于人体肠道内,引起一系列慢性疾病,构成寄生虫感染的一大类医学问题。肠道线虫几乎在世界范围内分布,但主要分布于热带及亚热带地区。全球感染人群数目多,中国感染患者近年来有所减少。防治肠道寄生虫感染主要通过药物治疗,注意个人卫生,提高环境卫生,加强公众教育等方式,达到长期、有效的控制目的。 关键词:肠道线虫;流行病学;防治对策;卫生 Epidemiology and control countermeasures of intestinal nematodes: current progress YANG Zhiqiang (West China Clinical Medical School of Sichuan University, Clinical Medicine Eight-year Program, Grade2013) Abstract: Intestinal nematodes mainly include Ascaris lumbricoides, Trichuris trichiura, Ancylostoma duodenale, Necator americanus, inhabiting in human intestinal tracts and inflicting a series of chronic diseases, which are a major medical problem in parasitic infections. Intestinal nematodes distribute across the world, but mainly tropical or subtropical areas. The infected population is large, while China has seen a drop of patients. To prevent and cure intestinal nematode infections and maintain long-lasting effects, chemotherapeutics, personal and environmental hygiene, public awareness are recommended. Key words: intestinal nematode; epidemiology; control countermeasures; hygiene 寄生虫感染是一类全球性的医学难题,在发展中国家里尤为严重,其感染率和致死率超过其他感染性疾病,已成为致死性疾病的主因之一。寄生虫感染中主要有两大类感染,一是医学原虫感染,二是医学蠕虫感染。其中医学原虫感染是主要的致死性感染,而医学蠕虫感染虽然致死率没有原虫高,但可以引起许多慢性疾病,使人体变得虚弱[1]。这两类感染都是值得重视的公共卫生性问题。肠道线虫作为医学蠕虫的一大类,相关研究对于控制寄生虫感染具有重要意义。本文就肠道线虫的流行病学特点和防治措施的研究现状展开综述。 1流行病学特征
餐饮业常见客诉案例
精心整理日常服务用语的十字真言: 您好请谢谢对不起再见 彩虹语:祝您年年有余 1.态度要诚恳 2.用语要规范 3.语言的方式要正确 4.选择词句要恰当 5.简练明确 6.委 支票 答: 2. 3. 问题二:菜品质量 (二)客人在菜里吃出苍蝇,玻璃等其他异物怎么办? 答:1.首先向客人表示歉意,并经客人允许后将此菜撤回。
2.由餐厅领班出面,征询客人意见,或重新为客人做一份,或更换一道有特色的菜,或赠送果盘,为客人打九折,向客人做出深刻检讨,确保今后不再发生类似的情况。 3.事后组织有关人员调查此事,并对责任人做出罚款处理。 问题三:服务质量投诉 答: 2. 3. 答: 2. 司进的,经技术监督局认可的;如客人认为酒水价格太高,则应告诉客人我店酒水是经过物价局核定的许可价格,要耐心礼貌。 3.如客人对服务不满意,服务员应诚恳道歉,然后由领班更换一名服务员。 4.在处理以上问题时,餐厅主管或领班都应该及时赶到现场,对客人表示歉意。当客人对服务和饭菜不满意拒付款时,应视情节轻重,尽量满足客人的合理要求,当客
人结完帐后再次表示感谢,事后召集有关人员认真总结经验教训,并对引发事故者做出相应的罚款和纪律处分。 (五)客人因服务不及时,上菜慢而发牢骚怎么办? 答:1.因服务不及时,由经理或领班向客人道歉,再视情况做出补救措施。 2.因上菜不及时,首先向客人表示歉意,然后“请稍等,我马上与厨房联系。”/“请 3. 答: 2. 答: 2. 答:1.首先向客人推荐高标准,或是调整到其他标准的房间。 2.根据情况,如生意不忙可适当降低标准,但要积极地想客人解释这是我店给予他本人的特别优惠。 (九)客人不小心将个人物品丢失却又找不到怎么办?
商场客诉服务案例
商场客诉服务案例
2001年某日,在某购物广场,顾客服务中心接到一起顾客投诉,顾客说从我商场购买的“晨光”酸牛奶中喝出了苍蝇。投诉的内容大致是:顾客李小姐从我商场购买了晨光酸牛奶后,马上去一家餐馆吃饭,吃完饭李小姐随手拿出酸牛奶让自己的孩子喝,自己则在一边跟朋友聊天,突然听见孩子大叫:“妈妈,这里有苍蝇。”,李小姐寻声望去,看见小孩喝的酸牛奶盒里(当时酸奶盒已被孩子用手撕开)有只苍蝇。李小姐当时火冒三丈,带着小孩来商场投诉。正在这时,有位值班经理看见便走过来说:“你既然说有问题,那就带小孩去医院,有问题我们负责!”顾客听到后,更是火上加油,大声喊:“你负责?好,现在我让你去吃10只苍蝇,我带你去医院检查,我来负责好不好?”边说边在商场里大喊大叫,并口口声声说要去“消协”投诉,引起了许多顾客围观。 该购物广场顾客服务中心负责人听到后马上前来处理,赶快让那位值班经理离开,又把顾客请到办公室交谈,一边道歉一边耐心地询问了事情的经过。询问重点:1、发现苍蝇的地点(确定餐厅卫生情况);2、确认当时酸牛奶的盒子是撕开状态而不是只插了吸管的封闭状态;3、确认当时发现苍蝇是小孩先发现的,大人不在场;4、询问在以前购买“晨光”牛奶有无相似情况?在了解了情况后,商场方提出了处理建议,但由于顾客对值班经理“有问题去医院检查,我们负责”的话一直耿耿与怀,不愿接受我们的道歉与建议,使交谈僵持了两个多小时之久,依然没有结果,最后商场负责人只好让顾客留下联系电话,提出换个时间与其再进行协商。
第二天,商场负责人给顾客打了电话,告诉顾客:我商场已与“晨光”牛奶公司取得联系,希望能邀请顾客去“晨光”牛奶厂家参观了解(晨光牛奶的流水生产线:生产——包装——检验全过程全是在无菌封闭的操作间进行的),并提出,本着商场对顾客负责的态度,如果顾客要求,我们可以联系相关检验部门对苍蝇的死亡时间进行鉴定与确认。由于顾客接到电话时已经过了气头,冷静下来了,而且也感觉商场负责人对此事的处理方法很认真严谨,顾客的态度一下缓和了许多。这时商场又对值班经理的讲话做了道歉,并对当时顾客发现苍蝇的地点——(并非是环境很干净的小饭店),时间——大人不在现场、酸奶盒没封闭,已被孩子撕开等情况做了分析,让顾客知道这一系列情况都不排除是苍蝇落入(而非牛奶本身带有)酸奶的因素。 通过商场负责人的不断沟通,顾客终于不再生气了,最后告诉商场负责人:他们其实最生气的是那位值班经理说的话,既然商场对这件事这么重视并认真负责处理,所以他们也不会再追究了,他们相信苍蝇有可能是小孩喝牛奶时从空中掉进去的。顾客说:“既然你们真的这么认真的处理这件事,我们也不会再计较,现在就可以把购物小票撕掉,你们放心,我们会说到做到的,不会对这件小事再纠缠了!” 在这起顾客投诉处理事件中值得反思与借鉴的有: 《反思篇》处理顾客投诉是非常认真的工作,处理人当时的态度、行为、说话方式等都会对事件的处理有着至关重要的作用,有时不经意的一句话都会对事情的发展起到导火索的作用。我们对待顾客投诉的原则是:软化矛盾而不是激化矛盾,所以这需要我们投诉处理的负
寄生虫习题
寄生虫题库 一、名词解释 共生共栖寄生宿主包囊 寄生虫终宿主生活史带虫者滋养体假包囊 互利共生保虫宿主中间宿主转续宿主感染阶段异位寄生隐性感染裂体增殖昆虫变态伴随免疫带虫免疫免疫逃避世代交替棘球蚴砂 夜现周期性机械性传播生物性传播自然疫源性疟疾的再燃 疟疾的复发组织性虫卵虫卵肉芽肿幼虫移行症 自身重复感染非消除性免疫 机会致病寄生虫 人兽共患寄生虫病 二、是非题 1.蝇类传病的方式主要是机械性传播疾病,而不是通过吸血将病原注入人体。 2.阿苯达唑是治疗各种人体线虫感染的首选药物。 3.丝虫可通过媒介和输血传播。 4.旋毛虫的致病是幼虫可以在人体内反复增殖,数量增加导致严重发病。 5.猪是猪带绦虫的中间宿主和终宿主。 6.恙螨的幼虫、若虫和成虫各期都可传播恙虫病。 7.人体对寄生虫的免疫应答多数属于非消除性免疫。 8.阴道毛滴虫病的传染源仅是滋养体携带者。 9.吸虫病诊断不宜用粪便饱和盐水浮聚法。 10.卫氏并殖吸虫和斯氏狸殖吸虫均可引起幼虫移行症 11.蛔虫卵也可经肛-手-口感染人体 12.具有卵盖的虫卵都为吸虫卵 13.日本血吸虫和成虫都有异位寄生现象 14.成虫寄生在消化道的蠕虫,均可用粪检法查获虫卵。 15.日本血吸虫也可经输血感染受血者。 16.Plasmodium falciparum病原诊断应在发作时采血。 17.溶组织内阿米巴病人和带虫者均为传染源。 18.包生绦虫的成虫寄生是导致人体包生绦虫病的主要病因。 19.医学昆虫对人体的主要危害是生物性传播疾病。 20.猪带绦虫病人体内也有可能存在囊虫的寄生。 21.只有消化道寄生的蠕虫,才可用粪检法查获虫卵。 22.已学的腔道原虫其感染阶段均为包囊。 23.溶组织内阿米巴是迄今发现的唯一致病的阿米巴原虫。 24.某些非消化道寄生的蠕虫,也可引起消化道病理损害。 25.蛔虫也可经肛-手-口造成自身重复感染。 26.旋毛虫在生长发育过程中,只有转换宿主才能完成生活史 27.医学昆虫对人体的主要危害是其寄生性和机械性传病。 28.包生绦虫病病人和带虫者均为传染源。 29.蛲虫的异位寄生与其成虫寄生部位有关。 30.带绦虫卵可经口感染人体引起囊虫病。 31.黑热病、旋毛虫病、肺吸虫病都是人兽共患寄生虫疾病。
蠕虫病毒与普通病毒的区别
蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下,偷偷运行的程序。 木马与病毒有两点本质的不同: 1、木马不会自动传染,病毒一定会自动传染; 2、木马是窃取资料的,病毒是破坏文件的 简单的木马只能盗取帐号、密码,很多木马可以窃取对方计算机上的全部资料,以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播,目的是攻击服务器或子网,形成DDos攻击(拒绝服务)。蠕虫会开启多个线程大面积传播,在传播过程中占用宽带资源,从而达到攻击的目的,其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染,所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。
蠕虫病毒清理步骤
关于研究jboss蠕虫病毒感染清理步骤 现象: 1./tmp目录下有许多sess_XXXXXXX的文件,数量众多 2.查看进程发现有大量名为pnscan的进程
cat /var/log/cron |more 5.使用netstat –antp 查看那些可疑进程在进行什么样的网络连接 6.使用find / -name pnscan* 查找到这个进程位置 7.找到可疑进程所在目录ls –lash 查看详细的文件时间大小 8.使用ps –ef |grep pnscan |wc –l 可观察pnscan占用进程数 清理过程: 1.结束病毒的进程,或病毒依靠的服务或进程 Test:/usr/bin # killall -9 perl Test:/usr/bin # killall -9 pnscan 另一种方式 ps -efl|grep perl |awk '{print $4}'|xargs -ti kill -9 {} \ 回车 ps -efl|grep pnscan |awk '{print $4}'|xargs -ti kill -9 {} \ 回车 2.把可疑文件删除掉 Test:/tmp # rm -fr /tmp/sess_* 3.把wget卸载掉 rpm –e wget 4.把目录下的多余文件删除掉 Test:/tmp # rm -fr /tmp/sess_* -bash: /bin/rm: Argument list too long 若出现以上提示改用以下的命令删除 ls |xargs -n 10 rm -fr ls sess* 另类病毒感染清理步骤 近期发现另一种中毒情况:进程里有许多wget /Curl/sendmail的动作,而且还删除进程无效。 [root@NX-app2 ~]# ps -ef UID PID PPID C STIME TTY TIME CMD root 1 0 0 Jan18 ? 00:59:52 init [5] root 2 1 0 Jan18 ? 00:01:51 [migration/0] root 3 1 0 Jan18 ? 00:00:14 [ksoftirqd/0]
全国学生常见肠道蠕虫感染综合防治方案
全国学生常见肠道蠕虫感染综合防治方案 (试行) 一、背景 我国有近1.8亿学生,其中85万余所中、小学校,在校中、小学生1.75亿,占全国总人口的六分之一,其中县镇和农村小学生约占90%,中学生占82%。做好在校学生,特别是广大农村学生的卫生保健工作,对我国实现“2000年人人享有卫生保健”的目标是极其重要的。 肠道寄生虫感染是我国中、小学生,特别是农村学生普遍存在的健康问题,尤以肠道蠕虫感染率极高,据部分地区调查:城市中、小学生平均感染率约40%,农村约60—80%,个别地区高达90%。 多年来,学校卫生工作者,在防治学生肠道寄生虫感染方面做了许多工作。1988年以来,在全国19个省20个县开展了农村学校卫生试点工作,把学生蛔虫病作为学生主要常见病之一来抓,经过两年的努力,蛔虫感染率有了明显降低,取得了很好的效果,获得了开展学生常见肠道蠕虫感染综合防治的经验。 长期以来,尽管在学生肠道蠕虫感染防治上做了大量工作,但是,以往的防治工作缺乏统一领导、统一规划,加之肠
道蠕虫重复感染严重,尤其是一些经济不发达的农村,学校缺乏必要的卫生设施,学生未建立良好的卫生行为,肠道蠕虫感染率仍未得到应有的控制。因而,在全国范围内有计划地开展学生常见肠道蠕虫感染的综合防治工作是十分必要的。 二、目的 (一)培养学生建立良好卫生行为,提高学生自我保健能力。 (二)大幅度降低并控制学生常见肠道蠕虫感染,改善学生营养状况,促进学生生长发育,提高学生身体素质和健康水平。 三、目标 以蛔虫感染率作指标,到2000年,以省为单位中、小学生感染率,城市降至5%以下,农村降至15%以下。这一总目标分两步实施: (一)第一阶段(1991年至1995年):城市:降至25%以下,目前已低于25%的,降至并控制在15%以下;农村:降至35%以下,目前已低于35%的,降至并控制在25%以下; 目前已低于15%的城市和农村地区,降至并控制在10%以下。 (二)第二阶段(1996年至2000年):城市:降至5%以下;农村:降至15%以下,1995年末已低于15%的,降至5%
案例-飞客蠕虫攻击
飞客蠕虫攻击案例 1.1 异常发现 某单位最近一段时间应用维护人员发现网络应用比较慢,数据库服务器查看系统日志发现很多相似网络共享访问请求,最高时平均每秒有近几十次的这种请求,而数据库服务器并没有任何网络共享资源;内网中的其他几台主机如监控PC使用感觉比较慢;网络中最近一个月才出现这种状况,以前网络是正常的。 根据网管人员的反应情况,我们初步认为网络中确实存在异常,而且异常状况出现在重要的内网中。因此决定对内网服务器区的流量进行分析,找出引起网络异常的根源。 内网服务器大多集中连接到华为S8505的一块线卡上,因此对该线卡1-47口inbound方向和数据库服务器的双向流量进行镜像 在正确部署了回溯式后,收集了内网服务器一周的数据(10/12---10/19)对这一周的数据进行分析。 1.2 蠕虫攻击分析 首先,我们选择7天的数据查看其网络协议的使用情况,如图: 如上图,我们看到,网络中流量最大的是TCP other流量,经过分析发现都是该单位自定义的协议流量。FTP,HTTP的访问流量分别占第2,第3位是正常的网络应用。而排名第四
的竟然是netBIOS流量,而netBIOS流量在现今的应用中很少使用了,多被黑客作为后门传播各种危险病毒和蠕虫使用。因此该协议流量比较大十分可疑。此外网络协议中CIFS协议也占很大比重,而此协议主要是使用网络邻居做网络共享使用的,而管理员告之网络中并没有使用网络邻居的方式做为网络共享,因此该协议应该是没有流量的,这也是比较可疑的。 然后我们对网络中的TCP访问情况进行分析,选择10/12-10/14日两天的数据进行分析。按照“发tcp同步包”进行排名,如图: 我们看到IP 172.16.1.68 ;172.16.1.95;172.16.1.69;172.16.1.10;172.16.1.54等几个IP的TCP发TCP同步包很大,要远远大于其他IP,但流量却很小,两天以来流量大多都在60MB左右。也就是说这些IP的TCP会话很多,但流量却很小。从分析上我们认为这些IP是比较可疑的,于是我们选择172.16.1.68 进行下载分析。从海量数据中抽取1.68 这个IP两天来的所有流量。 查看1.68的TCP会话我们发现此IP的TCP会话具有明显的异常现象,如图: