蠕蟲病毒的傳播原理.doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請 聯(lián)系網(wǎng)站刪除計算機系統(tǒng)安全課程結(jié)課論文蠕蟲病毒的傳播原理學生姓名 陳軍輝 學 號 5011212502 所屬學院 信息工程學院 專 業(yè) 計算機科學與技術(shù) 班 級 計算機16-5 指導(dǎo)教師 李鵬 塔里木大學教務(wù)處制摘要:蠕蟲病毒發(fā)展迅速，現(xiàn)在的蠕蟲病毒融入了黑客、木馬等功能，還能阻止安全軟件的運行，危害越來越大。本文介紹了蠕蟲病毒的定義，特點，結(jié)構(gòu)及其在傳播過程中的功能，最后介紹了蠕蟲病毒的傳播機制。關(guān)鍵詞：計算機蠕蟲；傳播；目錄引言1正文11.蠕蟲病毒的定義及特點12.蠕蟲病毒的構(gòu)成及在傳播過程中的功能23. 攻擊模式33.1 掃描-攻擊-復(fù)制33.2模式的使用53.3蠕蟲傳播的其他可能模式54.從安全防御的角度看蠕蟲的傳播模式5總結(jié)6參考文獻：7精品文檔蠕蟲病毒的傳播原理引言 蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。 正文 1.蠕蟲病毒的定義及特點 蠕蟲病毒的定義：蠕蟲是一種可以自我復(fù)制的代碼，并 且通過網(wǎng)絡(luò)傳播，通常無需人為干預(yù)就能傳播。蠕蟲病毒入 侵完全控制一臺計算機之后，就會把這臺機器作為宿主，進 而掃描并感染其他計算機。當這些新的被蠕蟲入侵的計算機 被控制之中后，蠕蟲會以這些計算機為宿主繼續(xù)掃描并感染 其他計算機，這種行為會一直延續(xù)下去。蠕蟲使用這種遞歸 的方法進行傳播，按照指數(shù)增長的規(guī)律分布自己，進而及時 控制越來越多的計算機。 蠕蟲病毒有如下特點： （1）較強的獨立性。計算機病毒一般都需要宿主程序， 病毒將自己的代碼寫到宿主程序中，當該程序運行時先執(zhí)行 寫入的病毒程序，從而造成感染和破壞。而蠕蟲病毒不需要 宿主程序，它是一段獨立的程序或代碼，因此也就避免了受 宿主程序的牽制，可以不依賴于宿主程序而獨立運行，從而 主動地實施攻擊。 （2）利用漏洞主動攻擊。由于不受宿主程序的限制，蠕 蟲病毒可以利用操作系統(tǒng)的各種漏洞進行主動攻擊。例如，“尼 姆達”病毒利用了 IE 瀏覽器的漏洞，使感染了病毒的郵件附 件在不被打開的情況下就能激活病毒；“紅色代碼”利用了微 軟 IIS 服務(wù)器軟件的漏洞(idq.dll 遠程緩存區(qū)溢出)來傳播；而 蠕蟲王病毒則是利用了微軟數(shù)據(jù)庫系統(tǒng)的一個漏洞進行攻擊。（3）傳播更快更廣。蠕蟲病毒比傳統(tǒng)病毒具有更大的傳 染性，它不僅僅感染本地計算機，而且會以本地計算機為基 礎(chǔ)，感染網(wǎng)絡(luò)中所有的服務(wù)器和客戶端。蠕蟲病毒可以通過網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁以及存在著大量 漏洞的服務(wù)器等途徑肆意傳播，幾乎所有的傳播手段都被蠕 蟲病毒運用得淋漓盡致，因此，蠕蟲病毒的傳播速度可以是 傳統(tǒng)病毒的幾百倍，甚至可以在幾個小時內(nèi)蔓延全球。（4）更好的偽裝和隱藏方式。為了使蠕蟲病毒在更大范 圍內(nèi)傳播，病毒的編制者非常注重病毒的隱藏方式。在通常 情況下，我們在接收、查看電子郵件時，都采取雙擊打開郵 件主題的方式瀏覽郵件內(nèi)容，如果郵件中帶有病毒，用戶的 計算機就會立刻被病毒感染（5）技術(shù)更加先進。一些蠕蟲病毒與網(wǎng)頁的腳本相結(jié)合， 利用 VB Script、Java、ActiveX 等技術(shù)隱藏在 HTML 頁面里。 當用戶上網(wǎng)瀏覽含有病毒代碼的網(wǎng)頁時，病毒會自動駐留內(nèi) 存并伺機觸發(fā)。還有一些蠕蟲病毒與后門程序或木馬程序相 結(jié)合，比較典型的是“紅色代碼病毒”，它會在被感染計算 機 Web 目錄下的scripts 下將生成一個 root.exe 后門程序，病 毒的傳播者可以通過這個程序遠程控制該計算機。這類與黑 客技術(shù)相結(jié)合的蠕蟲病毒具有更大的潛在威脅。（6）使追蹤變得更困難。當這 10000 個系統(tǒng)在蠕蟲病毒 的控制之下時，攻擊者利用一個極為迷惑的系統(tǒng)來隱藏自己 的源位置?？梢暂p易地制造一個蠕蟲，它可以在這個蠕蟲的 段與段之間任意連接。當這個蠕蟲感染了大部分系統(tǒng)之后， 攻擊者便能發(fā)動其他攻擊方式對付一個目標站點，并通過蠕 蟲網(wǎng)絡(luò)隱藏攻擊者的位置。這樣，在不同的蠕蟲段之間的連 接中，要抓住攻擊者就會非常困難。 2.蠕蟲病毒的構(gòu)成及在傳播過程中的功能 探測部分：探測部分是用來獲得入侵目標的訪問權(quán)， 他實際上是一些入侵到計算機的代碼，進入目標計算機之后 探測部分會自動探測攻擊點，并盡可能的利用計算機的漏洞 侵占系統(tǒng)。探測部分獲得訪問權(quán)的技術(shù)，有緩存一處探測， 文件共享攻擊，電子郵件以及計算機的配置錯誤。傳播引擎：通過探測部分獲得目標機的訪問權(quán)后， 蠕蟲必須傳輸自身的其他部分到目標機。有些蠕蟲的探測部 分可以將整個蠕蟲載入目標機，有些蠕蟲則需要利用探測部 分的傳播引擎代碼執(zhí)行一個用來傳輸蠕蟲代碼的命令將蠕 蟲的其他部分傳播到計算機中。當蠕蟲傳播到計算機中，便運行蠕蟲代碼，改變系統(tǒng)配置，用來在系統(tǒng)中隱藏自己。 目標選擇算法：蠕蟲在進入到目標機之后，便開始尋找新的攻擊目標，這部分工作是由目標選擇算法完成。蠕蟲會自動掃描由目標選擇算法確定的地址，然后檢查是否有合適的易攻擊的對象。蠕蟲的選擇算法有如下方法：電子郵件地址：一個蠕蟲可以從受害計算機的郵件閱讀 器或郵件服務(wù)器中得到電子郵件地址，任何發(fā)送信息到受害計算機或從受害計算機接收信息的計算機都將成為下一個 潛在的目標。 主機列表：一些蠕蟲從本地主機上的各種計算機列表中 獲得地址，例如存儲在主機文件(UNIX 中的/etc/hosts 和 Windows 中的 LMHOSTS)中的那些。域名服務(wù)(DNS)查詢：蠕蟲可以連接到包含其它計算機地址的本地域名服務(wù)器，這些計算機地址即成為蠕蟲的攻擊對象。 任意選擇一個目標網(wǎng)絡(luò)地址：蠕蟲可以任意地選擇一個目標網(wǎng)絡(luò)地址。由于網(wǎng)絡(luò)延時，在局域網(wǎng)上傳播速度要遠距 離傳播蠕蟲快得多，因此，許多目標選擇算法優(yōu)先選擇當前 蠕蟲所在的較近的網(wǎng)絡(luò)地址。 掃描引擎。目標引擎獲得攻擊目標的地址后，蠕蟲 便可以利用掃描引擎對目標傳送數(shù)據(jù)包，以此來判斷此目標 是否適合攻擊。 有效載荷。進入到計算機之后，蠕蟲的有效載荷可 以實施某種行為，如打開一個后門，然后攻擊者就可以遠程 控制目標計算機?；蛘甙惭b一個分布式的拒絕服務(wù)淹沒代 理，攻擊者可以命令他侵占其它受害計算機。 3. 攻擊模式3.1 掃描-攻擊-復(fù)制從新聞中看到關(guān)于蠕蟲的報道，報道中總是強調(diào)蠕蟲如何發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞，影響網(wǎng)絡(luò)通信速度。實際上這不是蠕蟲程序的本意，造成網(wǎng)絡(luò)擁塞對蠕蟲程序的發(fā)布者沒有什么好處。如果可能的話，蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去，因為蠕蟲傳播出去后，蠕蟲的發(fā)布者就可以獲得大量的可以利用的計算資源，這樣他獲得的利益比起造成網(wǎng)絡(luò)擁塞的后果來說顯然強上萬倍。但是，現(xiàn)有的蠕蟲采用的掃描方法不可避免的會引起大量的網(wǎng)絡(luò)擁塞，這是蠕蟲技術(shù)發(fā)展的一個瓶頸，如果能突破這個難關(guān)，蠕蟲技術(shù)的發(fā)展就會進入一個新的階段。現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標一般是盡快地傳播到盡量多的電腦中，于是掃描模塊采用的掃描策略是這樣的：隨機選取某一段IP地址，然后對這一地址段上的主機掃描。笨點的掃描程序可能會不斷重復(fù)上面這一過程。這樣，隨著蠕蟲的傳播，新感染的主機也開始進行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過，它只是簡單的隨機掃描互聯(lián)網(wǎng)。于是蠕蟲傳播的越廣，網(wǎng)絡(luò)上的掃描包就越多。即使掃描程序發(fā)出的探測包很小，積少成多，大量蠕蟲程序的掃描引起的網(wǎng)絡(luò)擁塞就非常嚴重了。聰明點的作者會對掃描策略進行一些改進，比如在IP地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段掃描，對外網(wǎng)段則隨機選擇幾個小的IP地址段進行掃描。對掃描次數(shù)進行限制，只進行幾次掃描。把掃描分散在不同的時間段進行。掃描策略設(shè)計的原則有三點：1.盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小2.保證掃描覆蓋到盡量大的范圍3.處理好掃描的時間分布，使得掃描不要集中在某一時間內(nèi)發(fā)生。怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證。掃描發(fā)送的探測包是根據(jù)不同的漏洞進行設(shè)計的。比如，針對遠程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來探測，針對web的cgi漏洞就需要發(fā)送一個特殊的http請求來探測。當然發(fā)送探測代碼之前首先要確定相應(yīng)端口是否開放，這樣可以提高掃描效率。一旦確認漏洞存在后就可以進行相應(yīng)的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實現(xiàn)這一過程就可以了。這一部關(guān)鍵的問題是對漏洞的理解和利用。關(guān)于如何分析漏洞不是本文要討論的內(nèi)容。攻擊成功后，一般是獲得一個遠程主機的shell，對win2k系統(tǒng)來說就是cmd.exe，得到這個shell后我們就擁有了對整個系統(tǒng)的控制權(quán)。復(fù)制過程也有很多種方法，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲自代的程序?qū)崿F(xiàn)。復(fù)制過程實際上就是一個文件傳輸?shù)倪^程，實現(xiàn)網(wǎng)絡(luò)文件傳輸很簡單，這里不再討論。3.2模式的使用既然稱之為模式，那么它就是可以復(fù)用的。也就是說，我們只要簡單地改變這個模式中各個具體環(huán)節(jié)的代碼，就可以實現(xiàn)一個自己的蠕蟲了。比如掃描部分和復(fù)制部分的代碼完成后，一旦有一個新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補充上就可以了。利用模式我們甚至可以編寫一個蠕蟲制造機。當然利用模式也可以編寫一個自動入侵系統(tǒng)，模式化的操作用程序?qū)崿F(xiàn)起來并不復(fù)雜。3.3蠕蟲傳播的其他可能模式除了上面介紹的傳播模式外，還可能會有別的模式出現(xiàn)。比如，我們可以把利用郵件進行自動傳播也作為一種模式。這種模式的描述為：由郵件地址薄獲得郵件地址-群發(fā)帶有蠕蟲程序的郵件-郵件被動打開，蠕蟲程序啟動。這里面每一步都可以有不同的實現(xiàn)方法，而且這個模式也實現(xiàn)了自動傳播所以我們可以把它作為一種蠕蟲的傳播模式。隨著蠕蟲技術(shù)的發(fā)展，今后還會有其他的傳播模式出現(xiàn)。4.從安全防御的角度看蠕蟲的傳播模式我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。對蠕蟲傳播的一般模式來說，我們目前做的安全防護工作主要是針對其第二環(huán)即攻擊部分，為了防止攻擊，要采取的措施就是及早發(fā)現(xiàn)漏洞并打上補丁。其實更重要的是第一環(huán)節(jié)的防護，對掃描的防護現(xiàn)在人們常用的方法是使用防護墻來過濾掃描。使用防火墻的方法有局限性，因為很多用戶并不知道如何使用防火墻，所以當蠕蟲仍然能傳播開來，有防火墻保護的主機只能保證自己的安全，但是網(wǎng)絡(luò)已經(jīng)被破壞了。另外一種方案是從網(wǎng)絡(luò)整體來考慮如何防止蠕蟲的傳播。從一般模式的過程來看，大規(guī)模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了?？赡艿姆椒ㄊ窃诰W(wǎng)關(guān)或者路由器上加一個過濾器，當檢測到某個地址發(fā)送掃描包就過濾掉該包。具體實現(xiàn)時可能要考慮到如何識別掃描包與正常包的問題，這有待進一步研究。了解了蠕蟲的傳播模式，可以很容易實現(xiàn)針對蠕蟲的入侵檢測系統(tǒng)。蠕蟲的掃描會有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。了解了這些特征就可以針對其制定入侵檢測規(guī)則?？偨Y(jié)網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對網(wǎng)絡(luò)產(chǎn)生巨大的危險。在防御上，已經(jīng)不再是由單獨的殺毒廠商所能夠解決，而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，防病毒廠商及用戶共同參與，構(gòu)筑全方位的防范體系！蠕蟲和黑客