蠕虫病毒的传播原理资料
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
蠕虫模型及传播规律研究
蠕虫模型及传播规律研究近年来,随着计算机技术的飞速发展,互联网已经成为人们生活中不可或缺的一部分。
然而,互联网的广泛应用也带来了网络安全问题的日益严峻。
蠕虫病毒作为一种具有传染性的恶意程序,对于网络安全构成了严重威胁。
因此,研究蠕虫传播规律以及构建蠕虫模型成为了互联网安全领域的重要问题之一。
蠕虫病毒是指一种可以自复制和自传播的计算机病毒,通过利用互联网上的安全漏洞,从一个计算机感染其他计算机。
蠕虫病毒的传播是通过利用网络资源进行自我复制,使得感染数量呈指数级增长。
为了研究蠕虫模型及其传播规律,学者们提出了许多经典的模型,其中最具代表性的是Kermack-McKendrick模型和SIR模型。
Kermack-McKendrick模型是最早用于描述传染病传播的数学模型之一。
该模型将人群分为三个类别:易感者(Susceptible)、感染者(Infected)和恢复者(Recovered)。
易感者可以通过与感染者接触而被感染,感染者经过一定的潜伏期后恢复,成为恢复者。
这种模型能够描述蠕虫病毒传播与感染过程,为进一步研究蠕虫模型提供了基础。
SIR模型则更加细致地划分了人群的状态,将感染者分为亚类,包括易感人群(Susceptible)、感染人群(Infected)和移除人群(Removed)。
移除人群包括恢复者(Recovered)和去世者(Deceased)。
该模型考虑了人群的自然流动以及与他人的接触情况,更加真实地反映了蠕虫传播的复杂性。
蠕虫模型及其传播规律研究不仅可以帮助互联网安全专家更好地了解蠕虫病毒的特性,还可以为网络安全的防控提供参考。
通过研究蠕虫模型,我们可以预测蠕虫病毒的传播速度和扩散范围,有助于及早采取相应的安全防范措施。
此外,研究蠕虫病毒的传播规律还可以揭示互联网安全漏洞,推动网络安全技术的发展。
除了数学模型的研究,现代计算机科学技术也为蠕虫模型及传播规律研究提供了有力支持。
近年来,基于人工智能和机器学习的模型也被广泛运用于网络安全领域。
详细的蠕虫病毒介绍
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
网络寄虫的基本原理有哪些
网络寄虫的基本原理有哪些
网络寄虫(或称为网络蠕虫)是一种自动化程序,能够在计算机网络中自我复制和传播。
其基本原理包括以下几个方面:
1. 主动扫描:寄虫程序会主动扫描网络上存在的漏洞或弱点,并试图利用这些漏洞入侵目标主机。
2. 自我复制:一旦寄虫程序成功入侵了一个主机,它会在该主机上复制自己的代码,以便传播到其他主机。
复制的方法可以包括直接复制到其他主机上,也可以通过复制到可移动介质(如USB存储设备)中传播。
3. 传播机制:寄虫程序会利用网络中的通信协议和服务来迅速传播自己。
例如,它可以通过利用邮件系统发送含有寄虫代码的恶意邮件,或者通过利用文件共享服务传播感染性文件。
4. 隐藏性:为了避免被发现和清除,寄虫程序通常会采用一些隐藏手段。
例如,它们可以修改自己的文件名、注册表项、进程名等,以躲避防护软件的检测。
5. 运行行为:寄虫程序通常会在目标主机上执行一些恶意行为,例如窃取用户信息、攻击其他系统或发起拒绝服务攻击等。
这些行为的目的可以是获取经济利益、破坏目标系统或者滥用资源等。
需要注意的是,网络寄虫是一种违法行为,严重妨害了计算机网络的正常运行和用户的信息安全,因此,网络安全意识与措施的加强对于预防寄虫程序的传播至关重要。
蠕虫病毒原理
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
简述蠕虫的概念
简述蠕虫的概念蠕虫是一种计算机网络中的恶意软件,其主要功能是在网络中自动复制自身并传播到其他设备上。
蠕虫与病毒类似,但不需要借助于宿主文件来传播。
相较于病毒,蠕虫具有更强的传播能力和破坏力,因为它可以利用网络中的漏洞自动传播。
蠕虫的传播方式主要有三种:通过网络漏洞的自动传播、利用共享文件夹或邮件附件等途径传播;通过社工手段诱导用户点击链接或下载相关文件进行传播;通过移动设备等外部媒介进行传播。
蠕虫的传播过程通常分为以下几个阶段:感染阶段、传播阶段和执行阶段。
感染阶段是指蠕虫寻找漏洞、入侵目标系统并感染其它系统的过程。
蠕虫可以通过扫描网络中的漏洞,找到易受攻击的目标,并尝试利用漏洞入侵。
一旦成功入侵目标系统,蠕虫会在系统中创建自己的副本,并修改系统的设置以确保自身的启动和执行。
传播阶段是指蠕虫复制自身并传播到其他设备的过程。
蠕虫可以利用目标系统上的网络连接,通过扫描局域网或互联网上的其他设备,寻找新的目标,并通过网络连接将自己的副本复制到目标设备上。
在传播过程中,蠕虫可以利用系统漏洞、弱密码、共享文件夹等方式自动传播,使感染范围不断扩大。
执行阶段是指蠕虫在目标系统上执行恶意活动的过程。
蠕虫可以利用系统资源进行一系列的恶意活动,如植入后门、窃取敏感信息、破坏系统文件等。
蠕虫具有自我保护机制,可以屏蔽防火墙、杀毒软件等安全防护措施,从而更好地隐藏自身并继续传播和攻击。
蠕虫的危害性主要体现在以下几个方面:首先,蠕虫的传播速度很快,能够在短时间内感染大量设备,导致网络拥堵,影响正常通信交互。
其次,蠕虫可以利用感染的设备进行大规模攻击,例如发起分布式拒绝服务(DDoS)攻击,造成服务不可用。
再次,蠕虫能够窃取用户的敏感信息并传输给攻击者,导致用户隐私泄露和财产损失。
此外,蠕虫还可以破坏系统文件、篡改数据等,对受害者的设备和数据造成严重损坏。
对于蠕虫的防范和打击,用户和网络管理员可以采取一些措施。
首先,及时更新系统和软件补丁,修复已知漏洞,以阻止蠕虫的入侵。
蠕虫病毒的传播原理
《计算机系统安全》课程结课论文《蠕虫病毒的传播原理》学生姓名陈军辉学号5011212502所属学院信息工程学院专业计算机科学与技术班级计算机16—5指导教师李鹏塔里木大学教务处制摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。
本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。
关键词:计算机蠕虫;传播;目录引言 0正文 01。
蠕虫病毒的定义及特点 02。
蠕虫病毒的构成及在传播过程中的功能 (1)3。
攻击模式 (2)3.1 扫描-攻击—复制 (2)3.2模式的使用 (4)3。
3蠕虫传播的其他可能模式 (4)4。
从安全防御的角度看蠕虫的传播模式 (4)总结 (5)参考文献: (5)蠕虫病毒的传播原理引言蠕虫病毒是一种常见的计算机病毒.它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形.蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接).正文1.蠕虫病毒的定义及特点蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。
蠕虫病毒入侵完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
当这些新的被蠕虫入侵的计算机被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。
蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。
蠕虫病毒有如下特点:(1)较强的独立性.计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。
而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。
蠕虫病毒的原理
蠕虫病毒的原理
蠕虫病毒产生于上世纪70年代,它是根基与网络的,所以随着网络的发展,蠕虫病毒也越来越强大、破坏力越来越强大。
下面是店铺跟大家分享的是蠕虫病毒的原理,欢迎大家来阅读学习。
蠕虫病毒的原理
方法/步骤
1首先,扫描侦测存在漏洞的主机。
随机选取某一段的IP地址,然后对这一地址段上的主机进行扫面。
被感染的主机也会加入扫面的行列中来。
积少成多,大量蠕虫程序的扫描将引起网络阻塞。
2攻击,当蠕虫扫描到网络中存在的主机后,就开始利用自己的破坏模块获取主机的管理员权限。
3最后,利用原主机同被感染主机的交互,将蠕虫程序复制到新主机中并启动。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《计算机系统安全》课程结课论文《蠕虫病毒的传播原理》学生姓名陈军辉学号5011212502所属学院信息工程学院专业计算机科学与技术班级计算机16-5指导教师李鹏塔里木大学教务处制摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。
本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。
关键词:计算机蠕虫;传播;目录引言 (1)正文 (1)1.蠕虫病毒的定义及特点 (1)2.蠕虫病毒的构成及在传播过程中的功能 (2)3. 攻击模式 (3)3.1 扫描-攻击-复制 (3)3.2模式的使用 (5)3.3蠕虫传播的其他可能模式 (5)4.从安全防御的角度看蠕虫的传播模式 (5)总结 (6)参考文献: (7)蠕虫病毒的传播原理引言蠕虫病毒是一种常见的计算机病毒。
它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
正文1.蠕虫病毒的定义及特点蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。
蠕虫病毒入侵完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
当这些新的被蠕虫入侵的计算机被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。
蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。
蠕虫病毒有如下特点:(1)较强的独立性。
计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。
而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。
(2)利用漏洞主动攻击。
由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。
例如,“尼姆达”病毒利用了 IE 浏览器的漏洞,使感染了病毒的邮件附件在不被打开的情况下就能激活病毒;“红色代码”利用了微软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。
(3)传播更快更广。
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。
蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是传统病毒的几百倍,甚至可以在几个小时内蔓延全球。
(4)更好的伪装和隐藏方式。
为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注重病毒的隐藏方式。
在通常情况下,我们在接收、查看电子邮件时,都采取双击打开邮件主题的方式浏览邮件内容,如果邮件中带有病毒,用户的计算机就会立刻被病毒感染(5)技术更加先进。
一些蠕虫病毒与网页的脚本相结合,利用 VB Script、Java、ActiveX 等技术隐藏在 HTML 页面里。
当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。
还有一些蠕虫病毒与后门程序或木马程序相结合,比较典型的是“红色代码病毒”,它会在被感染计算机 Web 目录下的\scripts 下将生成一个 root.exe 后门程序,病毒的传播者可以通过这个程序远程控制该计算机。
这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。
(6)使追踪变得更困难。
当这 10000 个系统在蠕虫病毒的控制之下时,攻击者利用一个极为迷惑的系统来隐藏自己的源位置。
可以轻易地制造一个蠕虫,它可以在这个蠕虫的段与段之间任意连接。
当这个蠕虫感染了大部分系统之后,攻击者便能发动其他攻击方式对付一个目标站点,并通过蠕虫网络隐藏攻击者的位置。
这样,在不同的蠕虫段之间的连接中,要抓住攻击者就会非常困难。
2.蠕虫病毒的构成及在传播过程中的功能探测部分:探测部分是用来获得入侵目标的访问权,他实际上是一些入侵到计算机的代码,进入目标计算机之后探测部分会自动探测攻击点,并尽可能的利用计算机的漏洞侵占系统。
探测部分获得访问权的技术,有缓存一处探测,文件共享攻击,电子邮件以及计算机的配置错误。
传播引擎:通过探测部分获得目标机的访问权后,蠕虫必须传输自身的其他部分到目标机。
有些蠕虫的探测部分可以将整个蠕虫载入目标机,有些蠕虫则需要利用探测部分的传播引擎代码执行一个用来传输蠕虫代码的命令将蠕虫的其他部分传播到计算机中。
当蠕虫传播到计算机中,便运行蠕虫代码,改变系统配置,用来在系统中隐藏自己。
目标选择算法:蠕虫在进入到目标机之后,便开始寻找新的攻击目标,这部分工作是由目标选择算法完成。
蠕虫会自动扫描由目标选择算法确定的地址,然后检查是否有合适的易攻击的对象。
蠕虫的选择算法有如下方法:电子邮件地址:一个蠕虫可以从受害计算机的邮件阅读器或邮件服务器中得到电子邮件地址,任何发送信息到受害计算机或从受害计算机接收信息的计算机都将成为下一个潜在的目标。
主机列表:一些蠕虫从本地主机上的各种计算机列表中获得地址,例如存储在主机文件(UNIX 中的/etc/hosts 和 Windows 中的 LMHOSTS)中的那些。
域名服务(DNS)查询:蠕虫可以连接到包含其它计算机地址的本地域名服务器,这些计算机地址即成为蠕虫的攻击对象。
任意选择一个目标网络地址:蠕虫可以任意地选择一个目标网络地址。
由于网络延时,在局域网上传播速度要远距离传播蠕虫快得多,因此,许多目标选择算法优先选择当前蠕虫所在的较近的网络地址。
扫描引擎。
目标引擎获得攻击目标的地址后,蠕虫便可以利用扫描引擎对目标传送数据包,以此来判断此目标是否适合攻击。
有效载荷。
进入到计算机之后,蠕虫的有效载荷可以实施某种行为,如打开一个后门,然后攻击者就可以远程控制目标计算机。
或者安装一个分布式的拒绝服务淹没代理,攻击者可以命令他侵占其它受害计算机。
3.攻击模式3.1 扫描-攻击-复制从新闻中看到关于蠕虫的报道,报道中总是强调蠕虫如何发送大量的数据包,造成网络拥塞,影响网络通信速度。
实际上这不是蠕虫程序的本意,造成网络拥塞对蠕虫程序的发布者没有什么好处。
如果可能的话,蠕虫程序的发布者更希望蠕虫隐蔽的传播出去,因为蠕虫传播出去后,蠕虫的发布者就可以获得大量的可以利用的计算资源,这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。
但是,现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞,这是蠕虫技术发展的一个瓶颈,如果能突破这个难关,蠕虫技术的发展就会进入一个新的阶段。
现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中,于是扫描模块采用的扫描策略是这样的:随机选取某一段IP地址,然后对这一地址段上的主机扫描。
笨点的扫描程序可能会不断重复上面这一过程。
这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描互联网。
于是蠕虫传播的越广,网络上的扫描包就越多。
即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。
聪明点的作者会对扫描策略进行一些改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描。
对扫描次数进行限制,只进行几次扫描。
把扫描分散在不同的时间段进行。
扫描策略设计的原则有三点:1.尽量减少重复的扫描,使扫描发送的数据包总量减少到最小2.保证扫描覆盖到尽量大的范围3.处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。
怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析,甚至需要试验验证。
扫描发送的探测包是根据不同的漏洞进行设计的。
比如,针对远程缓冲区溢出漏洞可以发送溢出代码来探测,针对web的cgi漏洞就需要发送一个特殊的http请求来探测。
当然发送探测代码之前首先要确定相应端口是否开放,这样可以提高扫描效率。
一旦确认漏洞存在后就可以进行相应的攻击步骤,不同的漏洞有不同的攻击手法,只要明白了漏洞的利用方法,在程序中实现这一过程就可以了。
这一部关键的问题是对漏洞的理解和利用。
关于如何分析漏洞不是本文要讨论的内容。
攻击成功后,一般是获得一个远程主机的shell,对win2k系统来说就是cmd.exe,得到这个shell后我们就拥有了对整个系统的控制权。
复制过程也有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫自代的程序实现。
复制过程实际上就是一个文件传输的过程,实现网络文件传输很简单,这里不再讨论。
3.2模式的使用既然称之为模式,那么它就是可以复用的。
也就是说,我们只要简单地改变这个模式中各个具体环节的代码,就可以实现一个自己的蠕虫了。
比如扫描部分和复制部分的代码完成后,一旦有一个新的漏洞出现,我们只要把攻击部分的代码补充上就可以了。
利用模式我们甚至可以编写一个蠕虫制造机。
当然利用模式也可以编写一个自动入侵系统,模式化的操作用程序实现起来并不复杂。
3.3蠕虫传播的其他可能模式除了上面介绍的传播模式外,还可能会有别的模式出现。
比如,我们可以把利用邮件进行自动传播也作为一种模式。
这种模式的描述为:由邮件地址薄获得邮件地址-群发带有蠕虫程序的邮件-邮件被动打开,蠕虫程序启动。
这里面每一步都可以有不同的实现方法,而且这个模式也实现了自动传播所以我们可以把它作为一种蠕虫的传播模式。
随着蠕虫技术的发展,今后还会有其他的传播模式出现。
4.从安全防御的角度看蠕虫的传播模式我们针对蠕虫的传播模式来分析如何防止蠕虫的传播思路会清晰很多。
对蠕虫传播的一般模式来说,我们目前做的安全防护工作主要是针对其第二环即"攻击"部分,为了防止攻击,要采取的措施就是及早发现漏洞并打上补丁。
其实更重要的是第一环节的防护,对扫描的防护现在人们常用的方法是使用防护墙来过滤扫描。
使用防火墙的方法有局限性,因为很多用户并不知道如何使用防火墙,所以当蠕虫仍然能传播开来,有防火墙保护的主机只能保证自己的安全,但是网络已经被破坏了。
另外一种方案是从网络整体来考虑如何防止蠕虫的传播。
从一般模式的过程来看,大规模扫描是蠕虫传播的重要步骤,如果能防止或限制扫描的进行,那么就可以防止蠕虫的传播了。
可能的方法是在网关或者路由器上加一个过滤器,当检测到某个地址发送扫描包就过滤掉该包。