网络蠕虫
网络蠕虫
4.2.5未来蠕虫可能的方向
各种恶意软件也常常有意无意的和蠕虫合作。 比如蠕虫在穿越一个已经被病毒感染的节点的时, 可能会被另一个标准的文件病毒感染。一个蠕虫 携带3种甚至更多的病毒的现象并不少见,这种现 象对网络蠕虫和标准文件感染性病毒都是有益的。 有些病毒也会有意的和蠕虫合作。 “求职信”病毒程序具有双程序结构,分为蠕虫 部分(网络传播)和病毒部分(感染文件,破坏文件)。
4.2.3网络蠕虫的结构模型
4.2.4网络蠕虫的工作流程
网络蠕虫的工作流程 一般来说可以分为5 个步骤: 搜集信息 探测目标主机 攻击目标系统 自我复制 后续处理 被感染后的主机又会 重复上述步骤来攻击 网络上其他的主机。
开始 搜集信息
扫描网络, 寻找目标主 N 发现目标主机 Y 攻击目标主机 Y N
4.2.6结束语
随着网络环境的高速发展,各种各样的平台 日益增多,我们对网络的高度依赖,蠕虫的威胁 越来越严峻。 蠕虫采用了各种新技术,加密存储,远程下 载,多态蠕虫,都使得蠕虫越来越智能化。而且 由于蠕虫的传播性强,各种恶意软件也常和蠕虫 结合,给人们带来更加多的危害。 随着新技术的发展,各种新的平台为蠕虫提 供了新的发展领域,如P2P蠕虫,无线蠕虫等等。 所以抵抗蠕虫的威胁确实刻不容缓。蠕虫的检测 查杀技术越来越重要。关于蠕虫的对抗技术,我 们会在第五章防治篇中进一步的阐述。
4.2.2网络蠕虫的特征
5.反复感染 蠕虫是利用计算机系统的漏洞进行传播, 如果只是清除了蠕虫在文件系统中留下的 痕迹,像清除病毒一样单单地清除蠕虫本 身,而没有及时修补系统的漏洞,计算机 在重新联网后还可能会感染这种蠕虫。 6.留下安全隐患 大部分的蠕虫会搜集,扩散,暴露系统的 敏感信息(如用户信息),并在系统中留 下后门。这些都会 导致未来的安全隐患。
网络蠕虫
网络蠕虫基本知识所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。
他不同于病毒。
具有它们自己独特的传播方式和巨大的破坏力。
1 网络蠕虫的特性1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的;2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。
这个可以有上边的模型看出;3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败;4)利用软件漏洞,造成网络拥塞,系统消耗资源,留下安全隐患的特性。
2 蠕虫的运行技术介绍2.1 红色代码(CODE RED)2001年8月爆发的Code Red 利用IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。
这个蠕虫病毒使用服务器的端口80 进行传播,而这个端口正是Web 服务器与浏览器进行信息交流的渠道。
Code Red 主要有如下特征:入侵IIS 服务器,code red 会将WWW 英文站点改为:"Hello! Welcome to ! Hacked by Chinese! ";与其它病毒不同的是,Code Red 并不将病毒信息写入被攻击服务器的硬盘。
它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
这也正是蠕虫与计算机病毒之间最大的区别。
红色代码根据上述漏洞将自己作为一个TCP/IP 流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。
一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
在被感染主机上蠕虫将进行如下操作感染其他主机:1)起初始蠕虫环境,进行自我复制。
并开始获得控制权。
2)建立起n 个蠕虫线程。
(n 一般取100)。
如何应对网络蠕虫感染的网络防护策略(十)
网络蠕虫是一种自动传播的恶意软件,它可以通过网络迅速传播并感染大量计算机。
面对日益增多的网络蠕虫威胁,有效的网络防护策略变得尤为重要。
本文将探讨如何应对网络蠕虫感染并提出相应的网络防护策略。
第一部分:了解网络蠕虫的工作原理网络蠕虫是一种利用网络传播的恶意软件,它通常通过利用系统漏洞或社交工程等手段感染计算机。
一旦感染成功,网络蠕虫会自动在感染的计算机上复制和传播,迅速蔓延至其他计算机。
网络蠕虫的传播速度快且隐蔽,给网络安全带来了巨大的威胁。
第二部分:加强系统安全性为了应对网络蠕虫的感染,首先需要加强系统的安全性。
定期更新操作系统和应用程序的补丁,以修复已知的安全漏洞。
使用强密码和双因素身份验证,加密敏感数据和通信,以防止蠕虫窃取信息。
此外,安装和更新可信赖的防病毒软件和防火墙是非常重要的,可以帮助检测和阻止网络蠕虫的感染。
第三部分:培养网络安全意识网络蠕虫的感染往往是通过利用人们的不安全行为实现的,因此培养良好的网络安全意识至关重要。
员工应接受网络安全培训,了解网络蠕虫的工作原理和常见的感染途径,学习如何辨别和避免恶意软件。
同时,组织应制定网络安全政策,明确规定安全操作流程和责任分工,提高全员的安全防护意识。
第四部分:设立网络监测和应急响应机制及早发现和应对网络蠕虫的感染是关键。
建立网络监测系统,及时检测异常活动和潜在的蠕虫感染。
利用入侵检测系统(IDS)和入侵防御系统(IPS)等技术,监控和拦截恶意软件的传播。
同时,建立完善的应急响应机制,明确责任和流程,及时应对网络蠕虫的感染,并采取相应的处置措施。
第五部分:定期备份和恢复数据网络蠕虫感染可能导致数据丢失或被加密,给组织带来严重的损失。
为了防止数据丢失,定期备份数据是非常必要的。
同时,建立可靠的备份存储和恢复系统,确保在感染发生时可以迅速恢复数据,降低损失。
第六部分:持续改进网络安全防护措施网络蠕虫的感染形式和手段在不断演化,网络防护策略也需要不断改进。
常见的网络蠕虫病及防范方法
常见的网络蠕虫病及防范方法网络蠕虫病是指攻击计算机系统的一种恶意软件。
它通过利用计算机系统上的漏洞进行自我复制,从而迅速传播到其他计算机系统上。
网络蠕虫病的传播速度惊人,一旦感染计算机系统,就会破坏计算机系统的正常工作,对计算机系统安全造成威胁。
本文将介绍几种常见的网络蠕虫病及其防范方法。
首先,最常见的网络蠕虫病是黑客利用漏洞攻击计算机系统的蠕虫病。
这种蠕虫病通过利用操作系统、网络服务以及应用程序等漏洞进行传播。
黑客通常会在漏洞曝光后迅速发动攻击,所以及时打补丁是最有效的预防方法。
另外,为计算机安装杀毒软件和防火墙也是必要的。
其次,还有一种名为自我复制病毒的网络蠕虫病。
这种病毒通常会通过电子邮件或者网络文件共享等方式传播。
为避免感染自我复制病毒,建议不随意打开附件,特别是不信任的来源。
此外,定期清理垃圾邮件和无效邮件也是很有必要的。
第三,蠕虫病的另一种形态是僵尸网络,也称为DDoS攻击。
这种攻击会消耗网络带宽,致使正常的网络服务无法正常运行。
对此,建议企业和个人用户定期备份数据和重要文件,避免受到攻击时遭受重大损失。
最后,网络蠕虫病的应对方法还包括:定期更新操作系统、防火墙和应用程序,以便修补漏洞,确保计算机系统的安全性;不要随意下载未知来源的文件或使用未知来源的软件,以免引入蠕虫病;使用复杂密码和定期更换密码也是重要的。
如果发现计算机系统受到了蠕虫病攻击,要立即断开网络并寻求尽早的专业技术支持。
总之,网络蠕虫病给计算机系统的安全带来了巨大挑战。
针对网络蠕虫病的病毒特征和传播规律,制定科学的防范策略是必不可少的。
通过坚持定期备份、打补丁、杀毒和更新操作系统等措施,可以有效地降低网络蠕虫病的危害,确保计算机和网络的安全运行。
分析计算机网络中的网络蠕虫病及其防范措施
分析计算机网络中的网络蠕虫病及其防范措施网络蠕虫病是一种常见的计算机网络安全问题,它使用计算机网络作为传输媒介,破坏了网络系统和服务。
本文将介绍网络蠕虫病是如何工作的,以及一些防范措施。
1. 病毒和蠕虫在深入了解网络蠕虫病之前,我们需要了解一些计算机病毒的基础知识。
计算机病毒是一类侵入计算机系统的恶意程序,具有自我复制和传播的能力,它可以危害计算机系统的正常运行。
另一方面,蠕虫也是一种计算机病毒,但是它不需要人工干预即可自我复制和传播。
它通过寻找网络中其他计算机来传播自己,然后在每个受感染计算机上运行,导致计算机系统崩溃。
2. 网络蠕虫病的工作原理网络蠕虫病的工作原理非常简单,它通过利用网络中的漏洞,自我复制并在计算机上运行。
通常情况下,蠕虫程序会沿着网络路由器进行扫描,探测并感染网络中的其他计算机。
然后,在感染的计算机上运行自己的代码,这些代码可以损坏计算机的文件系统、内存等部分,并在计算机上运行恶意软件。
一旦一个计算机被感染,蠕虫程序就可以在后台轻松地运行,而不会给用户留下任何痕迹。
3. 防范措施为了保护计算机免遭网络蠕虫病的入侵,我们需要采取一些防范措施,包括以下几个方面:(1) 安装更新的防病毒软件,对计算机进行全面扫描。
(2) 安装最新的操作系统和程序更新,以防止蠕虫攻击已知漏洞。
(3) 禁止使用未经授权的软件或下载文件,尤其是一些来历不明的文件和软件。
(4) 配置防火墙,限制网络访问。
可以禁用网络上一些不必要的服务和端口,减少网络攻击的机会。
(5) 使用复杂和安全的密码,以防止被破解。
4. 结论从本文中可以看出,网络蠕虫病是一种严重的计算机网络安全问题,它可以通过网络传播并感染其他计算机。
为了有效防止蠕虫攻击,我们需要采取一些防范措施,包括安装防病毒软件、更新操作系统和程序、限制网络访问等。
通过这些措施,我们可以有效保护计算机系统免受蠕虫攻击。
信息安全与网络蠕虫
信息安全与网络蠕虫信息安全在当今数字化时代变得愈发重要。
随着我们的社会和经济越来越依赖于网络,网络安全威胁也日益增多。
其中,网络蠕虫(worm)是一种特别具有威胁性的攻击手段。
本文将介绍信息安全以及网络蠕虫的原理、危害和防范措施。
一、信息安全的重要性信息安全是指保护信息不受未经授权的访问、使用、披露、破坏、干扰或篡改的能力。
在当今高度互联网化和数字化的社会中,随着大量敏感信息在网络上的传输,确保信息安全对保护个人隐私、企业商业机密、国家安全等方面具有重大意义。
二、网络蠕虫的原理和危害网络蠕虫是一种自我复制的恶意软件,可以在不需要人为干预的情况下自行传播和感染其他计算机。
蠕虫通过寻找网络中的漏洞和弱点,利用这些漏洞将自己复制并传播到其它目标主机,以此来进行攻击。
网络蠕虫的危害主要体现在以下几个方面:1. 消耗系统资源:网络蠕虫感染的计算机运行速度变慢,占用大量带宽和处理器资源,从而影响正常的网络使用和工作效率。
2. 破坏系统稳定性:蠕虫可能损坏或操纵受感染计算机的操作系统,导致系统不稳定、崩溃甚至无法启动。
3. 窃取个人信息:蠕虫可以通过键盘记录、截屏等方式窃取用户的敏感信息,如密码、信用卡信息等,从而进行欺诈、盗窃等违法行为。
4. 搭建僵尸网络:蠕虫可以将受感染的计算机统一控制,组成大规模的僵尸网络,用于发动分布式拒绝服务攻击(DDoS攻击)、垃圾邮件传播等非法活动。
三、防范网络蠕虫的措施为了保护个人和组织的信息安全,我们需要采取一系列的安全措施来防范网络蠕虫的攻击。
1. 及时更新系统和软件:定期安装操作系统和应用程序的安全补丁、更新软件版本,以修复可能的漏洞和弱点。
2. 安装防火墙和杀毒软件:使用有效的防火墙和杀毒软件,可以监控网络流量、拦截病毒和蠕虫。
3. 强化密码安全:设置强密码,定期更换密码,并不要使用相同的密码登录不同的账户。
4. 提高员工安全意识:加强员工的网络安全意识教育培训,提醒他们注意识别和防范网络蠕虫的攻击手段。
如何识别和防止网络蠕虫攻击
如何识别和防止网络蠕虫攻击网络蠕虫攻击是指利用计算机网络通过恶意软件传播的攻击行为。
蠕虫病毒能够自动复制、传播和感染其他计算机,给网络安全带来巨大威胁。
为了保护个人和机构的网络安全,我们需要了解如何识别和有效地防止网络蠕虫攻击。
一、识别网络蠕虫攻击1. 异常网络流量网络蠕虫攻击往往会导致网络流量异常增加。
注意观察网络流量,如果您发现网络流量骤增或网络带宽明显受限,可能是网络蠕虫的迹象。
2. 邮件附件网络蠕虫病毒会通过电子邮件的附件进行传播。
当您接收到来自陌生发送者或者不可信来源的邮件,尤其是带有附件的邮件时,请谨慎打开附件或点击邮件中的链接。
3. 异常磁盘活动网络蠕虫往往会利用计算机的磁盘进行传播和感染。
如果您发现计算机磁盘活动异常频繁,而您并未进行相关的操作,那就有可能是网络蠕虫正在作祟。
二、防止网络蠕虫攻击1. 更新操作系统和软件网络蠕虫病毒通常会利用计算机操作系统或软件的漏洞进行传播。
及时安装操作系统和软件的更新补丁,可以修复这些漏洞,提高系统的安全性。
2. 安装可靠的安全软件安装一款可靠的安全软件,可以帮助检测和拦截网络蠕虫病毒。
确保安全软件的病毒库和安全规则得到及时更新,并定期进行系统全盘扫描。
3. 强化网络安全意识通过加强员工和用户的网络安全意识,可以降低网络蠕虫攻击的风险。
提供必要的网络安全教育和培训,教会员工和用户如何判断和避免网络蠕虫的攻击。
4. 配置防火墙和入侵检测系统配置防火墙和入侵检测系统能够帮助拦截和监控网络蠕虫的传播。
及时更新防火墙规则和入侵检测系统的策略,可以有效防止网络蠕虫攻击。
5. 分隔网络将网络分隔为多个区域,可以限制网络蠕虫传播的影响范围。
通过网络隔离和访问控制策略,可以防止网络蠕虫从一个区域传播到其他区域。
结语网络蠕虫攻击给个人和机构的网络安全带来了巨大的威胁。
通过识别网络蠕虫攻击的迹象,并采取有效的防护措施,我们能够保护自己的网络安全。
通过定期更新系统软件、安装可靠的安全软件、加强网络安全意识、配置防火墙和入侵检测系统以及分隔网络,可以大幅降低网络蠕虫攻击的风险,确保网络安全的稳定运行。
网络蠕虫
蠕虫的扫描策略
扫描策略评价
网络蠕虫传播速度的关键影响因素有4个:
目标地址空间选择 是否采用多线程搜索易感染主机 是否有易感染主机列表(Hit-list) 传播途径的多样化
各种扫描策略的差异主要在于目标地址空间的选择。网络蠕虫感染 一台主机的时间取决于蠕虫搜索到易感染主机所需要的时间。因此, 网络蠕虫 快速传播的关键在于设计良好的扫描策略 一般情况下,采用DNS扫描传播的蠕虫速度最慢,选择性扫描和 路由扫描比随机扫描的速度快;对于Hit-list 扫描,当列表超过1M 字节时蠕虫传播的速度就会比路由扫描蠕虫慢;当列表大于6M字 节时,蠕虫传播速度比随机扫描还慢。分治扫描目前还没有找到易 于实现且有效的算法
蠕虫与计算机病毒的关系
网络蠕虫和计算机病毒都具有传染性和复制功能 但从计算机使用者和两者攻击的主要目标来看,两者差别很大
计算机病毒主要攻击文件系统,在其传染过程中,计算机使用者 是传染的触发者,是传染的关键环节,使用者的计算机知识水平 高低常常决定了病毒所能造成的破坏程度
蠕虫主要利用计算机系统漏洞进行传染,搜索到网络中存在漏洞 的计算机后主动进行攻击,在传染过程中,与计算机操作者是否 进行操作无关,故与使用者的计算机知识水平也无关 “Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、“Lover Letter网络蠕虫病毒”(VBS.LoveLetter)等等,都是病毒,而不是 蠕虫
蠕虫基本原理
随机生成 IP地址 有些蠕虫给出确定的地址范围, 还有一些给出倾向性策略,用于 产生某个范围内的IP地址 虚线框内的所有工作 可以在一个数据包内完成
地址探测 是
浅析网络蠕虫及防范措施
浅析网络蠕虫及防范措施一、网络蠕虫定义及特征(一)网络蠕虫的定义网络蠕虫通过网络传播,是一种无须计算机使用者干预即可运行的独立程序。
它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。
网络蠕虫与普通计算机病毒不同,它不需要人为干预,不利用文件寄生,而且能够自主不断地复制和传播,对网络造成拒绝服务。
蠕虫普通病毒传播形式主动自己传播通过U盘或者受感染的文件存在形式独立存在寄生于某个宿主文件中复制机制自身拷贝插入到宿主程序中传染机制系统或者软件漏洞宿主程序的运行触发传染程序自身计算机使用者攻击目标网络上其他计算机本地文件破坏重点主机自身性能和网络性能本地文件系统搜索机制网络IP扫描本地文件系统扫描防御措施为系统或者软件打补丁从受感染的文件中清除计算机使用者的角色无关病毒传播的关键环节对抗主体计算机使用者,反病毒厂商系统软件,服务软件提供商,网络管理员表格:蠕虫和普通病毒的区别(二)网络蠕虫的特征1、主动传播蠕虫在整一个传播过程中,从搜索漏洞,到利用搜索结果攻击系统,再到复制副本到目标主机,整个过程由蠕虫程序自身主动完成。
2、传播迅速蠕虫的扫描机制决定了蠕虫传播的迅速,一般情况下,蠕虫会打开几十个甚至上百个线程用来同时对外扫描,而且扫描的间隔时间非常短。
再加上蠕虫爆发时用户尚还未对漏洞打补丁,使蠕虫可以在很短的时间内占领整个互联网。
3、利用漏洞计算机系统存在漏洞是蠕虫传播一个必不可少的条件。
早期的蠕虫是科学家用来进行分布式计算的,他们的传播对象是经过许可的计算机。
蠕虫要想不经过允许而进行传播,只有利用搜索到的漏洞进行攻击,提升权限。
4、网络拥塞从蠕虫的传播过程可以看出,在蠕虫的传播过程中,首先要进行扫描,找到存在漏洞的计算机,这是一个大面积的搜索过程,这些都无疑会带来大量的数据流。
特别是蠕虫传播开以后,成千上万台机器在不断地扫描,这是很大的网络开销。
5、反复感染蠕虫是利用计算机系统的漏洞进行传播,如果只是清除了蠕虫在文件系统中留下的痕迹,像清除病毒一样单单地清除蠕虫本身,而没有及时修补系统的漏洞,计算机在重新联网后还有可能会感染这种蠕虫。
网络安全蠕虫是什么
网络安全蠕虫是什么网络安全蠕虫是指一种能够在计算机网络中自我复制并传播的恶意程序。
它通常利用计算机的漏洞或者系统的弱点,通过网络传播、复制自身,并且能够在被感染的计算机上运行或者执行一些有害的操作。
蠕虫病毒通过互联网等网络传播,在用户不知情的情况下进入计算机系统。
一旦感染了某台计算机,蠕虫病毒就会开始对计算机进行破坏、攻击或盗取信息。
它不仅能够自我复制并传播到其他计算机,还可以通过木马、键盘记录器等方法窃取用户的个人信息、账号密码等敏感信息。
蠕虫病毒的主要危害有以下几个方面:1. 蠕虫病毒会导致计算机系统的崩溃甚至瘫痪。
它利用计算机系统的弱点,不断地复制自身并感染其他计算机。
当计算机受到大量蠕虫病毒的攻击时,计算机系统的负荷会过大,导致计算机系统运行缓慢、崩溃或者无法启动。
2. 蠕虫病毒能够窃取用户的个人信息。
它能通过键盘记录器、截屏等方式获取用户的账号密码、银行卡密码等敏感信息,并将这些信息发送给黑客,从而导致用户的财产损失。
3. 蠕虫病毒还可以利用计算机的资源进行分布式拒绝服务攻击(DDoS攻击)。
它通过感染大量计算机并控制这些计算机,使它们同时向目标服务器发送请求,导致目标服务器的系统负荷过大,无法正常运行,从而造成网络瘫痪。
为了防止蠕虫病毒感染,我们应该采取以下措施:1. 及时更新操作系统和软件补丁,以弥补系统漏洞。
2. 安装有效的防病毒软件,并及时更新病毒库,确保能够及时发现和清除潜在的蠕虫病毒。
3. 定期备份数据,以防止数据丢失或被蠕虫病毒加密。
4. 避免点击未知来源的链接,不信任的附件等。
5. 加强密码安全,使用复杂密码并定期更换密码。
6. 注意保护个人信息,不随意提供个人信息。
7. 避免连接不安全的公共Wi-Fi热点,以免遭受蠕虫病毒的感染。
总之,网络安全蠕虫是一种具有传染性和破坏力的恶意程序,给用户的信息安全和计算机系统稳定性带来威胁。
通过提高安全意识、加强防护措施和定期检测清除病毒,我们能够有效避免蠕虫病毒的侵害。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
淮阴工学院计算机工程系 李笑平 主讲 15
计算机病毒原理及防治
3 蠕虫的基本原理
3.3 蠕虫的传播模型
淮阴工学院计算机工程系 李笑平 主讲 12
对扫描策略的改进
计算机病毒原理及防治
3 蠕虫的基本原理
3.2 蠕虫的工作方式与扫描策略
扫描策略设计的原则
尽量减少重复的扫描,使扫描发送的数据包总量 减少到最小 保证扫描覆盖到尽量大的范围 处理好扫描的时间分布,使得扫描不要集中在某 一时间内发生 怎样找到一个合适的策略需要在考虑以上原则的 前提下进行分析,甚至需要试验验证
虫
系统存在漏洞 (Vulnerability) 主要针对网络上的其它 计算机 程序自身 网络性能、系统性能
计算机使用者角色
防治措施
病毒传播中的关键环节
从宿主程序中摘除
无关
为系统打补丁(Patch)
计算机病毒原理及防治
淮阴工学院计算机工程系
李笑平 主讲
5
1 蠕虫的起源及其定义
1.5 蠕虫定义的进一步说明
计算机病毒原理及防治
主讲:李笑平
ftp://172.17.11.136 用户名:lixiaoping 密码:lixiaoping
网络蠕虫
主要内容
网络蠕虫的定义及其与狭义病毒的区别
蠕虫的分类
蠕虫的工作原理 蠕虫的行为特征
蠕虫的防治
计算机病毒原理及防治
淮阴工学院计算机工程系
李笑平 主讲
计算机病毒原理及防治 淮阴工学院计算机工程系 李笑平 主讲 4
1 蠕虫的起源及其定义
1.4 蠕虫与病毒之间的区别及联系
病
存在形式 复制机制 传染机制 搜索机制(传染目标) 触发传染 影响重点 寄生 插入到宿主程序(文件)中 宿主程序运行 主要是针对本地文件 计算机使用者 文件系统
毒
蠕
独立个体 自身的拷贝
Kermack-Mckendrick模型是SIR模型中的经典
在Kermack-Mckendrick模型中考虑了感染主机 的恢复,它假定在蠕虫传播期间,一些受感染的 主机可以恢复为正常状态或死亡,且对此蠕虫具 有免疫功能,因此每个主机具有三种状态:易感 、感染或恢复,其状态转移可表示为易感→感染 →恢复,或永远保持易感状态
计算机病毒原理及防治
淮阴工学院计算机工程系
李笑平 主讲
13
3 蠕虫的基本原理
3.2 蠕虫的工作方式与扫描策略
蠕虫常用的扫描策略
选择性随机扫描(包括本地优先扫描) 可路由地址扫描(Routable Scan) 地址分组扫描(Divide-Conquer Scan) 组合扫描(Hybrid Scan) 极端扫描(Extreme Scan)
地址探测 是
主机是否 存在? 否
漏洞是否 存在? 否
是
攻击、传染 现场处理
计算机病毒原理及防治
淮阴工学院计算机工程系
李笑平 主讲
11
3 蠕虫的基本原理
3.2 蠕虫的工作方式与扫描策略
蠕虫的扫描策略
现在流行的蠕虫采用的传播技术目标,一般是尽快地传播 到尽量多的计算机中 扫描模块采用的扫描策略是:随机选取某一段IP地址,然 后对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程,大量 蠕虫程序的扫描引起严重的网络拥塞 在IP地址段的选择上,可以主要针对当前主机所在的网段 进行扫描,对外网段则随机选择几个小的IP地址段进行扫 描 对扫描次数进行限制,只进行几次扫描 把扫描分散在不同的时间段进行
1
1 蠕虫的起源及其定义
1.1 蠕虫的起源
1980年,Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活 跃时,编写了一种特殊程序,Xerox蠕虫 1988年11月2日,世界上第一个破坏性计算机蠕虫正式诞生
Morris为了求证计算机程序能否在不同的计算机之间进行 自我复制传播,编写了一段试验程序 为了让程序能顺利进入另一台计算机,他还写了一段破解 用户口令的代码 11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始 了它的旅行。它果然没有辜负Morris的期望,爬进了几千 台计算机,让它们死机 Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出 及REXE的漏洞进行传播
计算机病毒原理及防治 淮阴工学院计算机工程系 李笑平 主讲 3
1 蠕虫的起源及其定义
1.3 计算机病毒的原始定义
计算机病毒从技术角度的定义是由Fred Cohen在1984年给 出的:“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(计算机病毒是一种可以感染其它程序的程序,感染 的方式为在被感染程序中加入计算机病毒的一个副本,这 个副本可能是在原病毒基础上演变过来的) 1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分 蠕虫和病毒,将病毒的含义作了进一步的解释:“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its 'host' program be run to activate it.”(计算机病毒是一段代码,能把自身 加到其它程序包括操作系统上。它不能独立运行,需要由 它的宿主程序运行来激活它)
Morris在证明其结论的同时,也开启了蠕虫新纪元
计算机病毒原理及防治 淮阴工学院计算机工程系 李笑平 主讲 2
1 蠕虫的起源及其定义
1.2 蠕虫的原始定义
蠕虫这个生物学名词在1982年由Xerox PARC的 John F. Shoch等人最早引入计算机领域,并给出 了计算机蠕虫的两个最基本特征:“可以从一台计 算机移动到另一台计算机”和“可以自我复制” 1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定 义:“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(计算机蠕虫可以独立 运行,并能把自身的一个包含所有功能的版本传播 到另外的计算机上)
扫 描 搜 索 模 块
攻 击 模 块
传 输 模 块
信 息 搜 集 模 块
繁 殖 模 块
通 信 模 块
隐 藏 模 块
破 坏 模 块
控 制 模 块
淮阴工学院计算机工程系
李笑平 主讲
10
3 蠕虫的基本原理
3.2 蠕虫的工作方式与扫描策略
蠕虫的工作方式一般是“扫描→攻击→复制”
随机生成 IP地址 有些蠕虫给出确定的地址范围, 还有一些给出倾向性策略,用于 产生某个范围内的IP地址 虚线框内的所有工作 可以在一个数据包内完成
计算机病毒原理及防治 淮阴工学院计算机工程系 李笑平 主讲 6
2 蠕虫的分类
2.1 蠕虫的分类
根据蠕虫的传播、运作方式,可以将蠕虫分为两类
主机蠕虫
主机蠕虫的所有部分均包含在其所运行的计算机中 在任意给定的时刻,只有一个蠕虫的拷贝在运行 也称作“兔子”(Rabbit)
网络蠕虫由许多部分(称为段,Segment)组成,而且每一 个部分运行在不同的计算机中(可能执行不同的动作) 使用网络的目的,是为了进行各部分之间的通信以及传播 网络蠕虫具有一个主segment,该主segment用以协调其 他segment的运行 这种蠕虫有时也称作“章鱼”(Octopus)
计算机病毒原理及防治
淮阴工学院计算机工程系
李笑平 主讲
14
3 蠕虫的基本原理
3.3 蠕虫的传播模型
蠕虫在计算机网络上的传播,可看作是服从某种规律的网 络传播行为 一个精确的蠕虫传播模型可以使人们对蠕虫有更清楚的认 识,能确定其在传播过程中的弱点,而且能更精确的预测 蠕虫所造成的损失 目前已有很多学者对蠕虫进行了深入研究,提出了一些模 型,这些蠕虫传播模型都是针对随机网络的,不能很好的 模拟实际网络环境。如何精确地描述蠕虫传播行为,揭示 它的特性,找出对该行为进行有效控制的方法,一直是学 者们共同关注的焦点 最经典网络传播模型的SIS模型和SIR模型
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
网络蠕虫