蠕虫病毒原理.pptVIP

蠕虫病毒原理 蠕虫病毒 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。 蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。 蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径 。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策 蠕虫与漏洞 网络蠕虫最大特点是利用各种漏洞进行自动传播 根据网络蠕虫所利用漏洞的不同，又可以将其细分 邮件蠕虫 主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞 蠕虫与漏洞 网页蠕虫（木马） 主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种 用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播 系统漏洞蠕虫 利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫 蠕虫的工作方式与扫描策略 蠕虫的工作方式一般是“扫描→攻击→复制” 蠕虫的工作方式与扫描策略 蠕虫的扫描策略 现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中 扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞 对扫描策略的改进 在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描 对扫描次数进行限制，只进行几次扫描 把扫描分散在不同的时间段进行 蠕虫的工作方式与扫描策略 蠕虫常用的扫描策略 选择性随机扫描(包括本地优先扫描) 可路由地址扫描(Routable Scan) 地址分组扫描(Divide-Conquer Scan) 组合扫描(Hybrid Scan) 极端扫描(Extreme Scan) 从传播模式进行安全防御 对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。 从传播模式进行安全防御 在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。 将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。 用Sniffer进行蠕虫检测 一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序 同样，我们可以发现，如下IP地址存在同样的问题 首先我们对IP地址为的主机产生的网络流量进行过滤 蠕虫病毒流量分析 发出的数据包的内容 一、两种检测粒度的比较 在早期的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，占了全部VX规则的28%。 粗糙的文件名检测法 粗检测粒度的表现 附件文件名检测方式弊端 对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。 一个同名的正常附件，带来误报造成用户的恐慌。同时，修改文件名对于修改蠕虫是最容易的。 细粒度检测 站在基于文件系统的病毒分析来看，I-worm.NewApt完全可以靠文件体中如下的特征串来检测：|680401000056FF152C75106884F7400056E8CC0800005903C650E8340C6880F7400056E8B50800005903C650……| 问题（一）网络检测