网络蠕虫程序分析-Read.DOCVIP

网络蠕虫程序分析 摘要 1988年11月2日夜，有人以蠕虫程序感染了因特网。这种程序利用了由BSD衍生的UNIX操作系统中应用程序的漏洞。这种漏洞使得程序能够入侵并自我复制，从而感染那些系统。这种程序感染了上千台的主机，并中断因特网上的正常活动和连接达数日之久。 这篇报告给出了蠕虫程序各部分组成的详尽描述，包括——数据和函数。它是基于对两个完整的相互独立的蠕虫程序的反编译和一个反汇编成VAX汇编语言的版本。在论文中几乎没有给出源代码，主要考虑到因特网上主机的“免疫系统”的状况，但描述也足够详细以使读者能够理解程序的行为。 这篇报告包括了一个对曾被蠕虫程序利用的安全漏洞的回顾，并对怎样避免它们将来再次被利用给出了一些建议，同时还包括了对蠕虫程序作者编程风格及方法的分析，对他的能力及企图作出了评价。 网络蠕虫程序：分析 1 介绍 1988年11月2日晚，因特网遭遇攻击。大约在东部时间晚6点左右，在一个或多个连接到因特网的主机上运行了一个程序。这个程序收集主机，网络，用户信息，然后利用在系统软件中存在的漏洞进入其它主机。在闯入后，程度将会自我复制，同时复制品将会试图感染其它系统。尽管这种程序只会感染Sun 的Sun3系统，以及运行由第4版BSDg改编的 UNIX的VAX主机，但传播的很迅速。系统管理员和用户发现它们的系统被入侵后感到十分迷惑和惊愕，尽管UNIX存在安全漏洞是重所周知的，但留给非法闯入的空间仍使每个人都大吃一惊。 这个程序对于在其出现的站点上的用户来说是十分神秘的，在一些机器的/usr/tmp目录下出现了不寻常的文件，在一些应用程序的日志文件中出现了奇怪的消息，例如sendmil邮件处理机制。然而最明显的后果是系统被重复感染时，不断加载运行程序。随着时间的推移，一些机器过载以至不能运行任何程序，一些机器当交换空间或程序列表被耗尽后完全当机。 到周三晚为止，UC Berkeley和 MIT的每一个人都获得了这种程序的拷贝并开始分析它。在其它地方的人们也开始研究这种程序并研制避免它扩散的方法。一种普遍的恐慌是程序正以一种不能很容易被发现的方法感染系统——在寻找补救方法的同时，系统文件正被更改或信息正被毁坏，到东部时间周四上午5:00为止，在这种程序首次被发现不到12小时的时间里，Berkeley的计算机系统研究组开发出了一套过渡时期手段，以阻止其传播，它包括了一个Serdmail邮件机制的基本补丁，以及为避免使用C编译器和加载器而对其进行重命名的建议。这些建议被公布在了 Usenet的邮件列表上，尽管有一些系统为进行隔离从因特网上断开，阻碍了它的传播。 到东部时间周四下午7:00点，另一个简单有效的避免感染而不用重命名应用程序的方法，被Purdue发现并广泛传播，同时Berkeley小组发布了能够弥补所有造成系统入侵的漏洞的补丁。剩下来的只是分析造成问题的程序了。 11月8日，国家计算机安全中心在Boltimore举行了一个匆忙召集的会议。讨论的主题是蠕虫程序以及它对因特网社区的意义，与会人员名单，他们为什么被邀请，以及讨论题目是保密的，然而我们知道的一件事情是与会人员决定他们不会将反编译所得代码公之于众。人们感到这个程序使用了过多不为人所知的技术，因此将它公之于众只会给其它攻击者提供一个编写这类程序的框架。尽管这种想法是善意的，但它只起到了一种延缓的作用。到12月8日，我至少知道11个版本的反编译程序，而且由于源代码的广泛传播，我肯定至少有10倍以上的版本已被完成或在改进过程中——在那些相信只有一部分人有能力重写代码的团体中，他们正渐渐获得所需的技巧及工具。 许多系统管理人员，程序员，管理者对于这个程序怎样在系统中建立自身并快速传播很感兴趣，这些人有合法的理由去看源代码。特别当他们是软件销售商时，他们的兴趣不是复制蠕虫，而是要确认系统中所有被蠕虫利用的漏洞都被正确地弥补丁。检验代码可以帮助网管和销售商进一步开发防御未来可能的攻击的防御手段。 这篇报告试图在此过程中充当一个过渡性的角色。它详细描述了程序是怎样运作的，但不提供可能被用来创造新型蠕虫程序的源代码，这样一来，这对于那些希望能对代码运作机制有一个更好的理解的人来说应是一个很好的帮助，然而它的形式使得它在不花费相当大的努力的情况下，是不能被用来创造一个新的蠕虫程序的，第3节和附录C中包括了对被蠕虫程序利用的系统漏洞的分析，以及他们的补丁。一份在将来几周内发布的附加报告，将包括蠕虫程序在因特网上传播的过程。 这份分析是对3个独立的反编译蠕虫程序所得代码的研究结果。两份是C代码，1份是VAX汇编语言，3者除细节外大部分是相同的。1份C代码被编译成了二进制，除无关紧要的细节外它和原始代码是一样的。从这一点，我可以断方如果只有一份蠕虫程序，那么设计它的初衷是好的。蠕虫在将其