网络安全中蠕虫病毒技术与防范措施研究概要
网络攻击技术原理与防范措施
网络攻击技术原理与防范措施网络攻击技术是指黑客或恶意人员利用各种手段和技术对网络系统、网络服务和网络用户进行攻击的行为。
网络攻击技术主要包括网络蠕虫、病毒、木马、拒绝服务攻击、SQL注入等。
下面将对其中几种常见的网络攻击技术的原理和防范措施进行详细介绍。
1. 网络蠕虫(worm):网络蠕虫是一种自我复制自传播的恶意程序,利用网络系统的漏洞或弱点进行传播,从而感染更多的计算机。
网络蠕虫主要通过利用计算机网络的通信机制进行传播,利用网络中的用户远程登录、文件传输、电子邮件等功能,获取网络用户的权限,从而对其进行攻击、破坏或获取信息。
防范网络蠕虫攻击的措施主要包括及时更新操作系统和应用软件补丁、安装网络防火墙和入侵检测系统、加强网络用户的安全防护意识等。
4. 拒绝服务攻击(Denial of Service,DoS):拒绝服务攻击是指黑客通过消耗网络系统资源或破坏网络服务的正常运行,使目标网络系统或服务无法正常提供服务,从而造成网络系统瘫痪的攻击行为。
拒绝服务攻击主要包括流量洪泛攻击、SYN洪泛攻击等。
防范拒绝服务攻击的措施主要包括改进网络系统架构,提高网络系统的容灾能力、制定合理的网络流量控制策略、安装入侵检测和防火墙等安全设备、对流量进行监控和分析等。
5. SQL注入攻击:SQL注入攻击是指黑客通过在用户提交的数据中插入恶意SQL代码,从而控制数据库执行非法操作或取得敏感信息的攻击行为。
SQL注入攻击主要是利用Web应用程序中存在的漏洞,通过构造特定的数据库查询语句绕过应用程序的访问控制机制,并向数据库服务器发送恶意的SQL语句。
防范SQL注入攻击的措施主要包括使用参数化查询或预编译语句、进行输入验证和过滤、限制用户的输入权限和访问权限、加强数据库安全配置等。
综上所述,网络攻击技术是一种对网络系统和用户进行攻击和破坏的恶意行为。
针对不同的攻击技术,我们可以采取相应的防范措施来保护网络系统和用户的安全。
计算机网络攻击手段与防范研究
计算机网络攻击手段与防范研究计算机网络已经渗透到我们生活的各个领域,如银行、交通、治安、通信等,它的重要性不言而喻。
但随着技术的进步,威胁也越来越多,针对网络的攻击和破坏也变得越来越普遍。
为了保障网络的安全,有必要研究计算机网络攻击手段,发现潜在的安全问题,并进行相应的防范。
一、计算机网络攻击手段的分类1、蠕虫攻击蠕虫攻击是一种利用计算机系统漏洞,自动传播恶意代码的攻击手段。
蠕虫攻击利用计算机系统之间的相互连接,通过邮件、文件传输协议等方式快速传播。
2、木马攻击木马攻击是一种通过植入木马程序,窃取系统信息并以劫持计算机控制权的形式进行的攻击手段。
木马程序会在后台运行,收集受害者的密码、帐号以及其他信息,将这些信息传输到攻击者的系统中。
3、黑客攻击黑客攻击是指通过非法入侵、破解密码、欺骗等手段获取计算机系统内部机密信息的一种攻击方法。
黑客攻击大多数情况下是通过对目标计算机进行一系列扫描,来获得目标计算机的信息。
4、拒绝服务攻击拒绝服务攻击(DoS攻击)是一种将大量信息发送给网络服务器的攻击手段,并且攻击者会使用多个计算机向目标发送请求。
这样,网络服务器就会超载,无法响应正常用户的请求,从而使网络服务受到破坏。
5、社会工程学攻击社会工程学攻击是一种通过欺骗和诱导等手段来获取系统密码等敏感信息的攻击手段。
攻击者会通过社交网络、电话、邮件、短信等方式,骗取受害者的密码等信息,利用这些敏感信息进行攻击。
二、防范措施针对不同的攻击手段,有不同的防范措施。
以下是几种常见的防范措施。
1、强化密码策略建议用户选择较为复杂的密码,并且定期更换密码。
同时,使用多个账号和密码,避免使用相同的密码用于不同的网站。
2、安装安全防护软件安装安全防护软件可以对计算机进行实时检测,发现恶意程序并进行相应处理。
3、定期备份数据定期进行数据备份可以避免用户的数据丢失,避免用户受到数据相关的攻击。
4、加强网络安全教育对用户进行网络安全方面的教育和宣传是十分必要的。
蠕虫病毒的检测和防御研究
青岛科技大学业设计(论文)专科毕蠕虫病毒的检测和防御研究__________________________________指导教师__________________________学生姓名__________________________学生学号__________________________院(部)____________________________专业________________班_________________________________年 ___月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全目录前言 (1)1蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (2)1.3蠕虫病毒国内外研究现状 (4)2蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (5)2.3基于蜜罐和蜜网的检测技术 (6)2.4基于贝叶斯的网络蠕虫检测技术 (6)3蠕虫病毒防御技术研究 (8)3.1企业防范蠕虫病毒措施 (8)3.2个人用户防范蠕虫病毒措施 (9)4总结 (10)致谢 (11)参考文献 (12)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
网络蠕虫病毒的防范与检测
网络蠕虫病毒的检测及防范1.引言蠕虫可以被分成两个部分,一部分是一个引导程序或称为传病媒体,这部分程序首先进入目标系统,用于引入蠕虫的其他部分;另一部分是蠕虫的主体程序。
2.网络蠕虫病毒攻击原理网络蠕虫是一种可以通过永久性网络连接或拨号网络进行自身复制的程序,它与普通病毒的不同之处在于普通病毒需要在计算机的硬盘或文件系统中繁殖,而蠕虫程序具有自给能力。
典型的蠕虫程序只会在内存中维持一个活动副本,甚至根本不向硬盘中写入它自己的任何信息,十分具有隐蔽性。
实际上,蠕虫程序具有两种不同的变形。
第一种只会在第一台计算机中运行,像一般应用程序一样。
这种程序只会把系统的网络连接作为自己的信道,从而把自身复制到其他系统中,或者进行信息中继。
根据蠕虫程序编写者的设计意图。
它既可能在原始系统中留下一份副本,也可能在完成向另一个主机进行复制后,就不再留下副本。
第二种计算机蠕虫程序实际上使用网络连接作为神经系统,使程序代码中的不同段运行在多个系统上。
如果在此基础上有一个中心点对这些代码段的工作进行协调(就像人的大脑一样),则这种蠕虫程序就被称为“章鱼程序”。
3.网络蠕虫病毒的破坏性:网络蠕虫程序是一个程序或者说是一个程序序列,它由两部分组成:一个主程序和一个引导程序。
主程序一旦在计算机上建立,就会去读取公共配置文件并运行显示当前网络上联机状态信息的系统使用程序,来达到它收集与当前计算机联网的其他计算机信息的目的。
然后,它会尝试利用网络缺陷到这些远程计算机上建立其引导程序(也称为“钓鱼”程序)。
正是通过这个程序,蠕虫进入了它感染的每一台计算机。
当蠕虫程序通过窃取口令、盗取特权、借助操作系统本身的错误和漏洞来达到非法入侵的目的后,蠕虫程序已经获取了系统用户的特权,可以读取被保护的敏感数据,可以做种种特权动作,具备了做严格破坏动作的能力。
蠕虫程序的破坏行为类似于抢夺系统资源、影像系统效率,通常造成的后果是系统崩溃。
如Robert Morris编写的蠕虫实际上并没有任何有意的破坏目的,就是在它遇到的每台计算机的后台都运行一个小进程。
网络蠕虫防范技术研究
I T 技术科技创新导报 Science and Technology Innovation Herald56网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主要区别是没有人为干预,能够独立运行。
网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。
1 网络蠕虫的建模分析研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。
1.1 搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路由信息。
1.2 扫描模块该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。
通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。
1.3 攻击模块该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。
缓冲区溢出攻击是普遍的攻击形式,此外攻击形式还有系统误配置和字符串格式攻击等。
1.4 复制模块该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。
1.5 传输模块该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到w i n d o w s 进程中,致使系统操作异常。
通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。
2 网络蠕虫检测技术网络蠕虫控制技术的主要思想是,通过研究各个主机流量随时间变化的规律,预测网络蠕虫的变化趋势,进而有效防范病毒的传播。
网络蠕虫控制方向一般有三大方面,即主机隔离、阻断、限速。
当前最常用的是检测主机单位时间发起的连接失败率,丢弃数据包且切断主机与网络的通信,但是对流量产生影响,准确率也受到限制。
计算机网络安全威胁及防范措施分析
计算机网络安全威胁及防范措施分析计算机网络已经成为了现代社会不可或缺的一部分。
然而,随着互联网的普及和发展,网络安全问题也越来越突出。
网络攻击和黑客入侵已经成为了影响人们工作和生活的一大威胁。
为了保障计算机网络的安全,必须采取相应的防范措施。
本文将分析计算机网络安全威胁及防范措施。
1. 病毒、蠕虫及木马病毒、蠕虫及木马是最常见的网络安全威胁之一。
它们可以通过下载、网络共享及电子邮件等方式进入计算机系统。
一旦感染,它们可以窃取数据、损害系统,甚至利用操作系统漏洞进行扩散。
2. 黑客攻击黑客攻击指的是不怀好意的人利用计算机系统漏洞,入侵他人的计算机网络。
黑客攻击的目的可能是窃取机密信息或者破坏网络系统。
3. 拒绝服务攻击拒绝服务攻击是一种阻止计算机资源正常访问的方式。
攻击者向某个服务器发送大量的请求,使得服务器无法正常响应其他请求。
4. 间谍软件间谍软件主要是指利用计算机用户的不知情,窃取用户隐私信息,包括个人信息、银行账户信息、信用卡信息等。
1. 安装杀毒软件安装杀毒软件是保护计算机网络安全的最基本方法。
杀毒软件可以帮助识别并清除病毒、蠕虫和木马等恶意程序。
2. 增强密码密码是保护个人信息的第一道防线。
为了增强密码的安全性,应该使用复杂的密码并定期更改。
3. 使用网络防火墙网络防火墙可以保护计算机网络免受黑客攻击和拒绝服务攻击。
防火墙可以限制网络流量并允许网络管理员控制访问权限。
4. 及时更新操作系统和软件及时更新操作系统和软件可以修复软件漏洞和安全漏洞,减少安全威胁。
5. 加密数据传输加密数据传输可以保护数据的机密性,防止间谍软件的窃取。
HTTPS、SSL和VPN等加密技术可以保护数据传输的安全。
6. 教育用户网络安全知识教育用户网络安全知识可以增强用户网络安全意识,包括使用安全密码、免疫网络攻击等。
用户应该知道如何安全地使用互联网。
7. 建立强有力的安全政策建立强有力的安全政策可以确保计算机网络的安全。
网络环境下计算机蠕虫病毒的防范
网络环境下计算机蠕虫病毒的防范摘要随着互联网和计算机的迅速普及,一些计算机病毒逐渐传播开来,其中网络蠕虫的传播,给诸多计算机用户带来了不小的损失。
本文对网络蠕虫进行了介绍,并提出了一些行之有效的防范措施。
关键词网络;计算机;蠕虫病毒;防范随着计算机技术的不断进步和互联网的逐渐普及,互联网已经成为人们日常生活和工作中必不可少的信息工具之一,逐渐受到越来越多人的依赖,但与此同时,计算机病毒的数量和攻击性性也与日俱增。
计算机蠕虫病毒是极具代表性的计算机病毒之一,近年来,计算机蠕虫病毒对互联网的危害程度有逐渐加深的趋势,因而对它进行分析、研究,并对其防范措施进行探讨和不断的创新具有很强的理论意义和实践意义。
1计算机病毒和蠕虫病毒1.1计算机病毒计算机病毒往往是靠不断的自我复制来实现传播的,当前,大多数计算机病毒是依靠隐藏技术,把自己复制或者加入到一个很小的程序代码或者一个文件夹中,因而不易被计算机用户发现。
广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。
计算机病毒的特点如下:1)计算机病毒都具有潜在的破坏力,一旦遇到合适的时机,便会发作,同时给计算机系统造成不同程度的破坏;2)自我复制能力,隐藏在某些程序内,通过用户的操作而不断自我复制;3)传染性,计算机病毒都具有可传染性,并且通过非法拷贝实现传播;4)破坏系统程序,计算机病毒只能破坏计算机系统程序,而不可能对计算机硬件设备造成破坏。
1.2 蠕虫病毒蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,它利用网络的缺陷在网络中大量繁殖,导致几千台服务器无法正常提供服务。
蠕虫病毒的特点有:1)自我复制,蠕虫在本质上已经演变为黑客入侵的自动化工具! 当蠕虫被释放后从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成,就自主性而言,这一点有别于普通的计算机病毒;2)利用系统漏洞,计算机都存在系统漏洞,计算机蠕虫正是利用这些系统漏洞获得被攻击计算机的相应权限,从而使自身的复制和传播以及对计算机系统的攻击和破坏成为可能;3)遗留安全隐患,蠕虫病毒往往具有搜集、扩散、暴露用户信息等能力,并在系统中留下安全隐患,在未来某一时间内再次对计算机系统造成破坏;4)消耗系统资源,蠕虫病毒进入计算机系统之后,会在被侵入的计算机系统中产生若干个与自己相关的副本,这些副本都会在一定时机启动搜索程序并寻找各自的攻击目标,大量的搜索程序显然会消耗计算机系统资源,从而导致计算机系统相关性能变弱。
如何应对网络蠕虫感染的网络防护策略(十)
网络蠕虫是一种自动传播的恶意软件,它可以通过网络迅速传播并感染大量计算机。
面对日益增多的网络蠕虫威胁,有效的网络防护策略变得尤为重要。
本文将探讨如何应对网络蠕虫感染并提出相应的网络防护策略。
第一部分:了解网络蠕虫的工作原理网络蠕虫是一种利用网络传播的恶意软件,它通常通过利用系统漏洞或社交工程等手段感染计算机。
一旦感染成功,网络蠕虫会自动在感染的计算机上复制和传播,迅速蔓延至其他计算机。
网络蠕虫的传播速度快且隐蔽,给网络安全带来了巨大的威胁。
第二部分:加强系统安全性为了应对网络蠕虫的感染,首先需要加强系统的安全性。
定期更新操作系统和应用程序的补丁,以修复已知的安全漏洞。
使用强密码和双因素身份验证,加密敏感数据和通信,以防止蠕虫窃取信息。
此外,安装和更新可信赖的防病毒软件和防火墙是非常重要的,可以帮助检测和阻止网络蠕虫的感染。
第三部分:培养网络安全意识网络蠕虫的感染往往是通过利用人们的不安全行为实现的,因此培养良好的网络安全意识至关重要。
员工应接受网络安全培训,了解网络蠕虫的工作原理和常见的感染途径,学习如何辨别和避免恶意软件。
同时,组织应制定网络安全政策,明确规定安全操作流程和责任分工,提高全员的安全防护意识。
第四部分:设立网络监测和应急响应机制及早发现和应对网络蠕虫的感染是关键。
建立网络监测系统,及时检测异常活动和潜在的蠕虫感染。
利用入侵检测系统(IDS)和入侵防御系统(IPS)等技术,监控和拦截恶意软件的传播。
同时,建立完善的应急响应机制,明确责任和流程,及时应对网络蠕虫的感染,并采取相应的处置措施。
第五部分:定期备份和恢复数据网络蠕虫感染可能导致数据丢失或被加密,给组织带来严重的损失。
为了防止数据丢失,定期备份数据是非常必要的。
同时,建立可靠的备份存储和恢复系统,确保在感染发生时可以迅速恢复数据,降低损失。
第六部分:持续改进网络安全防护措施网络蠕虫的感染形式和手段在不断演化,网络防护策略也需要不断改进。
网络安全中蠕虫病毒技术与防范措施研究概要
网络安全中蠕虫病毒技术与防范措施研究摘要:蠕虫的大规模爆发,引起的Internet 安全威胁事件每年以指数增长,近年来的增长态势变得的尤为迅猛。
所以对蠕虫病毒的检测防范有着重要的意义。
关键词:蠕虫网络安全病毒异常检测1引言随着信息化的发展,网络已经渗入到人们生活的各个领域。
人们可以在Internet上享用大量的信息资源,但与此同时,人们也受到一些恶意代码的攻击。
自1988年第一个蠕虫病毒开始在局域网内活动到1998年底的第一个Internet网上传播的蠕虫病毒(appy99),就向人们展示了他的巨大破坏力。
所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。
他不同于病毒。
具有他自己独特的传播方式和巨大的破坏力。
进入21世纪蠕虫病毒先后在全世界引起了几次很大轰动。
像我们熟悉的“冲击波”蠕虫、Nimda蠕虫、狮子蠕虫等等。
都给人们留下了深刻的印象。
这些都引起了网络安全人员的广泛关注。
2网络蠕虫的特性网络蠕虫的传播与生物中蠕虫病毒的传播存在相似性,因此对于网络蠕虫的传播同样可以套用生物病毒传播的模型来表示:其中I(t)表示中已经被感染的计算机的数量,S(t)表示网络中存在漏洞、可以被蠕虫感染计算机的数量,表示影响蠕虫传播的因素。
公式左边是被感染的计算机数量的增量与单位时间的比值,也就蠕虫传播的速度。
从公式中很直观的看出,公式右边三个因子中任何一个因子的减小都会降蠕虫的传播速度。
所以从蠕虫的传播模式和特征行为,我们可以得出蠕虫在传播过程中所共有的一些特征:(1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的。
(2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。
这个可以有上边的模型看出。
(3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败。
常见的网络蠕虫病及防范方法
常见的网络蠕虫病及防范方法网络蠕虫病是指攻击计算机系统的一种恶意软件。
它通过利用计算机系统上的漏洞进行自我复制,从而迅速传播到其他计算机系统上。
网络蠕虫病的传播速度惊人,一旦感染计算机系统,就会破坏计算机系统的正常工作,对计算机系统安全造成威胁。
本文将介绍几种常见的网络蠕虫病及其防范方法。
首先,最常见的网络蠕虫病是黑客利用漏洞攻击计算机系统的蠕虫病。
这种蠕虫病通过利用操作系统、网络服务以及应用程序等漏洞进行传播。
黑客通常会在漏洞曝光后迅速发动攻击,所以及时打补丁是最有效的预防方法。
另外,为计算机安装杀毒软件和防火墙也是必要的。
其次,还有一种名为自我复制病毒的网络蠕虫病。
这种病毒通常会通过电子邮件或者网络文件共享等方式传播。
为避免感染自我复制病毒,建议不随意打开附件,特别是不信任的来源。
此外,定期清理垃圾邮件和无效邮件也是很有必要的。
第三,蠕虫病的另一种形态是僵尸网络,也称为DDoS攻击。
这种攻击会消耗网络带宽,致使正常的网络服务无法正常运行。
对此,建议企业和个人用户定期备份数据和重要文件,避免受到攻击时遭受重大损失。
最后,网络蠕虫病的应对方法还包括:定期更新操作系统、防火墙和应用程序,以便修补漏洞,确保计算机系统的安全性;不要随意下载未知来源的文件或使用未知来源的软件,以免引入蠕虫病;使用复杂密码和定期更换密码也是重要的。
如果发现计算机系统受到了蠕虫病攻击,要立即断开网络并寻求尽早的专业技术支持。
总之,网络蠕虫病给计算机系统的安全带来了巨大挑战。
针对网络蠕虫病的病毒特征和传播规律,制定科学的防范策略是必不可少的。
通过坚持定期备份、打补丁、杀毒和更新操作系统等措施,可以有效地降低网络蠕虫病的危害,确保计算机和网络的安全运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全中蠕虫病毒技术与防范措施研究
摘要:蠕虫的大规模爆发,引起的Internet 安全威胁事件每年以指数增长,近年来的增长态势变得的尤为迅猛。
所以对蠕虫病毒的检测防范有着重要的意义。
关键词:蠕虫网络安全病毒异常检测
1引言
随着信息化的发展,网络已经渗入到人们生活的各个领域。
人们可以在Internet上享用大量的信息资源,但与此同时,人们也受到一些恶意代码的攻击。
自1988年第一个蠕虫病毒开始在局域网内活动到1998年底的第一个Internet网上传播的蠕虫病毒(appy99),就向人们展示了他的巨大破坏力。
所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。
他不同于病毒。
具有他自己独特的传播方式和巨大的破坏力。
进入21世纪蠕虫病毒先后在全世界引起了几次很大轰动。
像我们熟悉的“冲击波”蠕虫、Nimda蠕虫、狮子蠕虫等等。
都给人们留下了深刻的印象。
这些都引起了网络安全人员的广泛关注。
2网络蠕虫的特性
网络蠕虫的传播与生物中蠕虫病毒的传播存在相似性,因此对于网络蠕虫的传播同样可以套用生物病毒传播的模型来表示:其中I(t)表示中已经被感染的计算机的数量,S(t)表示网络中存在漏洞、可以被蠕虫感染计算机的数量,表示影响蠕虫传播的因素。
公式左边是被感染的计算机数量的增量与单位时间的比值,也就蠕虫传播的速度。
从公式中很直观的看出,公式右边三个因子中任何一个因子的减小都会降蠕虫的传播速度。
所以从蠕虫的传播模式和特征行为,我们可以得出蠕虫在传播过程中所共有的一些特征:
(1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的。
(2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。
这个可以有上边的模型看出。
(3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败。
(4)利用软件漏洞,造成网络拥塞,系统消耗资源,留下安全隐患的特性。
3蠕虫的运行技术介绍
2003年8月12日爆发的“冲击波”蠕虫是利用RPC(remote procedure call)漏洞攻击计算机。
RPC是Windows操作系统使用的一个应用层协议,它提供了一种进程间通信机制。
而“冲击波”蠕虫就是利用RPC存在的漏洞对计算机进行攻击的,它会不断的扫描网络中存在RPC漏洞的计算机进行攻击,一旦攻击成功,蠕虫就会传输到该计算机上并运行。
感染的主机可能造成RPC服务终
止,系统被自动关闭,由于蠕虫占用大量的资源,以至于不能在Internet Explorer中打开新窗口,复制粘贴不能进行等现象,感染蠕虫还可能导致系统不稳定,有可能造成系统崩溃,它扫描端口号是TCP/135, 传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe。
这个蠕虫还将对进行拒绝服务攻击。
病毒行为和传播方式:(1)病毒运行时会建立一个名为“BILLY”的互斥线程,当病毒检测到系统有该线程的话则不会重复驻入内存。
病毒会在内存中建立一个名为“msblast.exe”的进程。
(2)病毒运行时会将自身复制
为:%systemdir%msblast.exe,%systemdir%指的是操作系统安装目录中的系统目录,Windows 2000/XP/2003默认为C:Winntsystem32。
(3)在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名为“windows auto update”的启动项目,值为“msblast.exe”,使得每次启动计算机时自动加载病毒。
(4)感染病毒的计算机会尝试连接20个随机的IP地址,并且对有此漏洞的计算机进行攻击,然后该病毒会休息(sleep)1.8秒,然后扫描下20个随机的IP地址。
病毒扫描IP地址(A.B.C.D,如:IP为
192.168.0.1时,A=192 B=168 C=0 D=1)符合如下规则:①3/5的可能当D等于0时,A、B、C为0到255的随机数。
②另外2/5的可能,病毒扫描子网并取得染毒计算机的IP地址,提取其中的A、B值,并设置D值为0,然后提取C 的值。
如果C的值小于等于20的时候,病毒不对其进行改变。
例如:染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描;如果C的值大于20,则病毒会从C减去19和C值之间随机选择一个数。
例如:感染计算机的IP地址为192.168.135.161,则病毒将扫描的IP地址为192.168.{115-134}.0。
(5)病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求(即攻击代码),然后被攻击的计算机将在
TCP4444端口开启一个Command Shell。
(6)监听UDP69端口,当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后,将发送Msblast.exe 文件,并让受攻击的计算机执行它,至此受攻击的计算机也感染此病毒。
(7)如果当前日期是8月或者当月日期是15日以后,病毒将发起对的拒绝服务(DoS)攻击。
蠕虫程序除了在网络上产生大量的负载和占用网络带宽,还导致系统自动重起。
因此在蠕虫爆发期间Windows自动重起现象大量出现,所以只要计算机连接因特网,在数分钟内就会收到错误攻击包,导致Windows自动重起。
与网络断开,则不会出现这种现象。
4网络蠕虫的防范措施研究
当蠕虫被发现时,要在尽量短的时间内对其进行响应。
首先产生报警,通知管理员,并通过防火墙、路由器将感染了蠕虫的主机隔离;然后对蠕虫进行分析,进一步制定检测策略,尽早对整个系统存在的不安全隐患进行修补。
防治蠕虫再次传染,并对感染了蠕虫的主机进行蠕虫的删除工作。
1) 利用防火墙防范:通过控制防火墙的策略,对感染主机的对外访问数据进行控制,防止蠕虫对外网的主机进行感染。
同时如果发现外网的蠕虫对内网进行扫描和攻击,也可以和防火墙进行互动,防止外网的蠕虫传染内网的主机。
2) 交换机防范内网传播:交换机通过SNMP协议进行联动,当发现内网主机被蠕虫感染时,可以切断感染主机同内网的其他主机的通讯,防止感染主机在
内网的大肆传播,同时可以控制因为蠕虫发作而产生的大量的网络流量。
同时为了适应用户的网络环境,最好还能提供了Telnet配置网络设备的接口,这样可以和网络任何支持Telnet管理的网络设备进行联动。
3)就是分析蠕虫病毒对其进行查杀并对响应的漏洞进行补丁的安装。
防止蠕虫进一步感染其他网络上的计算
机。