《计算机病毒原理及防治技术》4.2蠕虫.pptVIP

4.2网络蠕虫 网络蠕虫的定义 网络蠕虫的特征 网络蠕虫的结构模型 网络蠕虫的工作流程 未来蠕虫的可能的方向 结束语 4.2.1网络蠕虫的定义 同病毒一词一样，蠕虫一开始也只是一个生物名词，是指一种藉由身体的肌肉收缩而作蠕形运动的小型虫子。1980年，Xerox Palo Alto Research Center(PARC)首次将蠕虫这一概念引入到计算机领域研究人员就编写了一段程序用来尝试进行分布式计(Distributed Computation)，整个程序由几个段组成，这些段分布在网络中的不同计算机上，它们能够判断出计算机是否空闲，并向处于空闲状态的计算机迁移。当某个段被破坏掉时，其它的段还能够重新复制出这个段。在1982年，Xerox PARC的John F.Shoch等人指出了蠕虫的两个基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们最初编写蠕虫的目的是做分布式计算的模型试验，但在他们的文章中，蠕虫的破坏性和不易控制己初露端倪。 4.2.1网络蠕虫的定义 1988年，第一个蠕虫病毒爆发造成了重大损失。由于蠕虫病毒自身一些独特的性质，使得计算机病毒这一概念已经不适合它了，从此计算机病毒有了广义与狭义之分。Eugene H.Spafford为了区别网络蠕虫和计算机病毒，对网络蠕虫和计算机病毒给出了新的定义—计算机病毒的狭义定义，“计算机病毒是一段代码，能把自身加到其它程序包括操作系统上，它不能独立运行，需要它的宿主程序激活运行它。”该定义是严格联系了病毒作为生物名词的相关特点来说的。但它也确实准确的刻画了早期意义病毒的特征。广义的计算机病毒就是平常所说的，让计算机不按主人或用户的意愿工作，造成自己精神，经济等各方面损失的程序或者代码。而“网络蠕虫可以独立运行，并能把自身的一个包含所有功能的副本传播到另一台计算机上”。 4.2.1网络蠕虫的定义 通过上述定义，可以发现网络蠕虫跟狭义的计算机病毒，其实和早期意义的计算机病毒有很大区别，特别是网络蠕虫由于独特的功能破坏了早期意义病毒的几个重要特征。其表现有： 1.蠕虫自动的通过网络进行传播，是一个主动的行为; 2.蠕虫可以主动攻击系统; 3.蠕虫可以独立存在. 郑辉把蠕虫和早期意义的病毒做了一些比较 蠕虫 早期意义的病毒 传播形式 主动自己传播 通过U盘或者受感染的文件 存在形式 独立存在 寄生于某个宿主文件中 复制机制 自身拷贝 插入到宿主程序中 传染机制 系统或者软件漏洞 宿主程序的运行 触发传染 程序自身 计算机使用者 攻击目标 网络上其他计算机 本地文件 破坏重点 主机自身性能和网络性能 本地文件系统 搜索机制 网络IP扫描 本地文件系统扫描 防御措施 为系统或者软件打补丁 从受感染的文件中清除 计算机使用者的角色 无关 病毒传播的关键环节 对抗主体 计算机使用者，反病毒厂商 系统软件，服务软件提供商，网络管理员 4.2.2网络蠕虫的特征 1.主动传播 2.传播迅速 3.利用漏洞 4.网络拥塞 5.反复感染 6.留下安全隐患 4.2.2网络蠕虫的特征 1.主动传播 蠕虫在整个传播过程中，从释放到搜索漏洞、利用搜索到的漏洞进行攻击，再到复制副本到目标主机，整个过程由蠕虫程序自身主动完成。这也是蠕虫区别于传统病毒的主要特征。 2.传播迅速 蠕虫的扫描机制决定了蠕虫传播的迅速，一般情况下，蠕虫都会打开几十个甚至上百个线程用来同时对外扫描，且扫描的间隔时间非常短。加上蠕虫爆发时用户尚未对漏洞打补丁，使蠕虫可以在很短的时间内占领整个互联网。 4.2.2网络蠕虫的特征 3.利用漏洞 计算机系统存在漏洞是蠕虫进行传播的一个必不可少的条件。早期的蠕虫是科学家用来进行分布式计算的，他们的传播对象是经过许可的计算机。蠕虫要想不经过允许而进行传播，只有利用搜索到的漏洞进行攻击，提升权限; 4.网络拥塞 这个特性从蠕虫的传播过程可以看出，在蠕虫的传播过程中，首先要进行扫描，找到存在漏洞的计算机，这是一个大面积的搜索过程，这些都无疑会带来大量的数据流。特别是蠕虫传播开了以后，成千上万台机器在不断地扫描，试想一下这是多么大的网络开销。 4.2.2网络蠕虫的特征 5.反复感染 蠕虫是利用计算机系统的漏洞进行传播，如果只是清除了蠕虫在文件系统中留下的痕迹，像清除病毒一样单单地清除蠕虫本身，而没有及时修补系统的漏洞，计算机在重新联网后还可能会感染这种蠕虫。 6.留下安全隐患 大部分的蠕虫会搜集，扩散，暴露系统的敏感信息（如用户信息），并在系统中留下后门。这些都会 导致未来的安全隐患。 4.2.3网络蠕虫的结构模型 Jose Nazario等人提出了蠕虫的一个功能结构框架，把蠕虫的功能模块分为六个部分 4.2.3网络蠕虫的结构模型 J