蠕蟲(chóng)病毒的傳播原理.doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng) 聯(lián)系網(wǎng)站刪除計(jì)算機(jī)系統(tǒng)安全課程結(jié)課論文蠕蟲(chóng)病毒的傳播原理學(xué)生姓名 陳軍輝 學(xué) 號(hào) 5011212502 所屬學(xué)院 信息工程學(xué)院 專(zhuān) 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 班 級(jí) 計(jì)算機(jī)16-5 指導(dǎo)教師 李鵬 塔里木大學(xué)教務(wù)處制摘要:蠕蟲(chóng)病毒發(fā)展迅速，現(xiàn)在的蠕蟲(chóng)病毒融入了黑客、木馬等功能，還能阻止安全軟件的運(yùn)行，危害越來(lái)越大。本文介紹了蠕蟲(chóng)病毒的定義，特點(diǎn)，結(jié)構(gòu)及其在傳播過(guò)程中的功能，最后介紹了蠕蟲(chóng)病毒的傳播機(jī)制。關(guān)鍵詞：計(jì)算機(jī)蠕蟲(chóng)；傳播；目錄引言1正文11.蠕蟲(chóng)病毒的定義及特點(diǎn)12.蠕蟲(chóng)病毒的構(gòu)成及在傳播過(guò)程中的功能23. 攻擊模式33.1 掃描-攻擊-復(fù)制33.2模式的使用53.3蠕蟲(chóng)傳播的其他可能模式54.從安全防御的角度看蠕蟲(chóng)的傳播模式5總結(jié)6參考文獻(xiàn)：7精品文檔蠕蟲(chóng)病毒的傳播原理引言 蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。最初的蠕蟲(chóng)病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類(lèi)似蟲(chóng)子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲(chóng)病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（通常是經(jīng)過(guò)網(wǎng)絡(luò)連接）。 正文 1.蠕蟲(chóng)病毒的定義及特點(diǎn) 蠕蟲(chóng)病毒的定義：蠕蟲(chóng)是一種可以自我復(fù)制的代碼，并 且通過(guò)網(wǎng)絡(luò)傳播，通常無(wú)需人為干預(yù)就能傳播。蠕蟲(chóng)病毒入 侵完全控制一臺(tái)計(jì)算機(jī)之后，就會(huì)把這臺(tái)機(jī)器作為宿主，進(jìn) 而掃描并感染其他計(jì)算機(jī)。當(dāng)這些新的被蠕蟲(chóng)入侵的計(jì)算機(jī) 被控制之中后，蠕蟲(chóng)會(huì)以這些計(jì)算機(jī)為宿主繼續(xù)掃描并感染 其他計(jì)算機(jī)，這種行為會(huì)一直延續(xù)下去。蠕蟲(chóng)使用這種遞歸 的方法進(jìn)行傳播，按照指數(shù)增長(zhǎng)的規(guī)律分布自己，進(jìn)而及時(shí) 控制越來(lái)越多的計(jì)算機(jī)。 蠕蟲(chóng)病毒有如下特點(diǎn)： （1）較強(qiáng)的獨(dú)立性。計(jì)算機(jī)病毒一般都需要宿主程序， 病毒將自己的代碼寫(xiě)到宿主程序中，當(dāng)該程序運(yùn)行時(shí)先執(zhí)行 寫(xiě)入的病毒程序，從而造成感染和破壞。而蠕蟲(chóng)病毒不需要 宿主程序，它是一段獨(dú)立的程序或代碼，因此也就避免了受 宿主程序的牽制，可以不依賴(lài)于宿主程序而獨(dú)立運(yùn)行，從而 主動(dòng)地實(shí)施攻擊。 （2）利用漏洞主動(dòng)攻擊。由于不受宿主程序的限制，蠕 蟲(chóng)病毒可以利用操作系統(tǒng)的各種漏洞進(jìn)行主動(dòng)攻擊。例如，“尼 姆達(dá)”病毒利用了 IE 瀏覽器的漏洞，使感染了病毒的郵件附 件在不被打開(kāi)的情況下就能激活病毒；“紅色代碼”利用了微 軟 IIS 服務(wù)器軟件的漏洞(idq.dll 遠(yuǎn)程緩存區(qū)溢出)來(lái)傳播；而 蠕蟲(chóng)王病毒則是利用了微軟數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)漏洞進(jìn)行攻擊。（3）傳播更快更廣。蠕蟲(chóng)病毒比傳統(tǒng)病毒具有更大的傳 染性，它不僅僅感染本地計(jì)算機(jī)，而且會(huì)以本地計(jì)算機(jī)為基 礎(chǔ)，感染網(wǎng)絡(luò)中所有的服務(wù)器和客戶端。蠕蟲(chóng)病毒可以通過(guò)網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁(yè)以及存在著大量 漏洞的服務(wù)器等途徑肆意傳播，幾乎所有的傳播手段都被蠕 蟲(chóng)病毒運(yùn)用得淋漓盡致，因此，蠕蟲(chóng)病毒的傳播速度可以是 傳統(tǒng)病毒的幾百倍，甚至可以在幾個(gè)小時(shí)內(nèi)蔓延全球。（4）更好的偽裝和隱藏方式。為了使蠕蟲(chóng)病毒在更大范 圍內(nèi)傳播，病毒的編制者非常注重病毒的隱藏方式。在通常 情況下，我們?cè)诮邮铡⒉榭措娮余]件時(shí)，都采取雙擊打開(kāi)郵 件主題的方式瀏覽郵件內(nèi)容，如果郵件中帶有病毒，用戶的 計(jì)算機(jī)就會(huì)立刻被病毒感染（5）技術(shù)更加先進(jìn)。一些蠕蟲(chóng)病毒與網(wǎng)頁(yè)的腳本相結(jié)合， 利用 VB Script、Java、ActiveX 等技術(shù)隱藏在 HTML 頁(yè)面里。 當(dāng)用戶上網(wǎng)瀏覽含有病毒代碼的網(wǎng)頁(yè)時(shí)，病毒會(huì)自動(dòng)駐留內(nèi) 存并伺機(jī)觸發(fā)。還有一些蠕蟲(chóng)病毒與后門(mén)程序或木馬程序相 結(jié)合，比較典型的是“紅色代碼病毒”，它會(huì)在被感染計(jì)算 機(jī) Web 目錄下的scripts 下將生成一個(gè) root.exe 后門(mén)程序，病 毒的傳播者可以通過(guò)這個(gè)程序遠(yuǎn)程控制該計(jì)算機(jī)。這類(lèi)與黑 客技術(shù)相結(jié)合的蠕蟲(chóng)病毒具有更大的潛在威脅。（6）使追蹤變得更困難。當(dāng)這 10000 個(gè)系統(tǒng)在蠕蟲(chóng)病毒 的控制之下時(shí)，攻擊者利用一個(gè)極為迷惑的系統(tǒng)來(lái)隱藏自己 的源位置。可以輕易地制造一個(gè)蠕蟲(chóng)，它可以在這個(gè)蠕蟲(chóng)的 段與段之間任意連接。當(dāng)這個(gè)蠕蟲(chóng)感染了大部分系統(tǒng)之后， 攻擊者便能發(fā)動(dòng)其他攻擊方式對(duì)付一個(gè)目標(biāo)站點(diǎn)，并通過(guò)蠕 蟲(chóng)網(wǎng)絡(luò)隱藏攻擊者的位置。這樣，在不同的蠕蟲(chóng)段之間的連 接中，要抓住攻擊者就會(huì)非常困難。 2.蠕蟲(chóng)病毒的構(gòu)成及在傳播過(guò)程中的功能 探測(cè)部分：探測(cè)部分是用來(lái)獲得入侵目標(biāo)的訪問(wèn)權(quán)， 他實(shí)際上是一些入侵到計(jì)算機(jī)的代碼，進(jìn)入目標(biāo)計(jì)算機(jī)之后 探測(cè)部分會(huì)自動(dòng)探測(cè)攻擊點(diǎn)，并盡可能的利用計(jì)算機(jī)的漏洞 侵占系統(tǒng)。探測(cè)部分獲得訪問(wèn)權(quán)的技術(shù)，有緩存一處探測(cè)， 文件共享攻擊，電子郵件以及計(jì)算機(jī)的配置錯(cuò)誤。傳播引擎：通過(guò)探測(cè)部分獲得目標(biāo)機(jī)的訪問(wèn)權(quán)后， 蠕蟲(chóng)必須傳輸自身的其他部分到目標(biāo)機(jī)。有些蠕蟲(chóng)的探測(cè)部 分可以將整個(gè)蠕蟲(chóng)載入目標(biāo)機(jī)，有些蠕蟲(chóng)則需要利用探測(cè)部 分的傳播引擎代碼執(zhí)行一個(gè)用來(lái)傳輸蠕蟲(chóng)代碼的命令將蠕 蟲(chóng)的其他部分傳播到計(jì)算機(jī)中。當(dāng)蠕蟲(chóng)傳播到計(jì)算機(jī)中，便運(yùn)行蠕蟲(chóng)代碼，改變系統(tǒng)配置，用來(lái)在系統(tǒng)中隱藏自己。 目標(biāo)選擇算法：蠕蟲(chóng)在進(jìn)入到目標(biāo)機(jī)之后，便開(kāi)始尋找新的攻擊目標(biāo)，這部分工作是由目標(biāo)選擇算法完成。蠕蟲(chóng)會(huì)自動(dòng)掃描由目標(biāo)選擇算法確定的地址，然后檢查是否有合適的易攻擊的對(duì)象。蠕蟲(chóng)的選擇算法有如下方法：電子郵件地址：一個(gè)蠕蟲(chóng)可以從受害計(jì)算機(jī)的郵件閱讀 器或郵件服務(wù)器中得到電子郵件地址，任何發(fā)送信息到受害計(jì)算機(jī)或從受害計(jì)算機(jī)接收信息的計(jì)算機(jī)都將成為下一個(gè) 潛在的目標(biāo)。 主機(jī)列表：一些蠕蟲(chóng)從本地主機(jī)上的各種計(jì)算機(jī)列表中 獲得地址，例如存儲(chǔ)在主機(jī)文件(UNIX 中的/etc/hosts 和 Windows 中的 LMHOSTS)中的那些。域名服務(wù)(DNS)查詢：蠕蟲(chóng)可以連接到包含其它計(jì)算機(jī)地址的本地域名服務(wù)器，這些計(jì)算機(jī)地址即成為蠕蟲(chóng)的攻擊對(duì)象。 任意選擇一個(gè)目標(biāo)網(wǎng)絡(luò)地址：蠕蟲(chóng)可以任意地選擇一個(gè)目標(biāo)網(wǎng)絡(luò)地址。由于網(wǎng)絡(luò)延時(shí)，在局域網(wǎng)上傳播速度要遠(yuǎn)距 離傳播蠕蟲(chóng)快得多，因此，許多目標(biāo)選擇算法優(yōu)先選擇當(dāng)前 蠕蟲(chóng)所在的較近的網(wǎng)絡(luò)地址。 掃描引擎。目標(biāo)引擎獲得攻擊目標(biāo)的地址后，蠕蟲(chóng) 便可以利用掃描引擎對(duì)目標(biāo)傳送數(shù)據(jù)包，以此來(lái)判斷此目標(biāo) 是否適合攻擊。 有效載荷。進(jìn)入到計(jì)算機(jī)之后，蠕蟲(chóng)的有效載荷可 以實(shí)施某種行為，如打開(kāi)一個(gè)后門(mén)，然后攻擊者就可以遠(yuǎn)程 控制目標(biāo)計(jì)算機(jī)?；蛘甙惭b一個(gè)分布式的拒絕服務(wù)淹沒(méi)代 理，攻擊者可以命令他侵占其它受害計(jì)算機(jī)。 3. 攻擊模式3.1 掃描-攻擊-復(fù)制從新聞中看到關(guān)于蠕蟲(chóng)的報(bào)道，報(bào)道中總是強(qiáng)調(diào)蠕蟲(chóng)如何發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞，影響網(wǎng)絡(luò)通信速度。實(shí)際上這不是蠕蟲(chóng)程序的本意，造成網(wǎng)絡(luò)擁塞對(duì)蠕蟲(chóng)程序的發(fā)布者沒(méi)有什么好處。如果可能的話，蠕蟲(chóng)程序的發(fā)布者更希望蠕蟲(chóng)隱蔽的傳播出去，因?yàn)槿湎x(chóng)傳播出去后，蠕蟲(chóng)的發(fā)布者就可以獲得大量的可以利用的計(jì)算資源，這樣他獲得的利益比起造成網(wǎng)絡(luò)擁塞的后果來(lái)說(shuō)顯然強(qiáng)上萬(wàn)倍。但是，現(xiàn)有的蠕蟲(chóng)采用的掃描方法不可避免的會(huì)引起大量的網(wǎng)絡(luò)擁塞，這是蠕蟲(chóng)技術(shù)發(fā)展的一個(gè)瓶頸，如果能突破這個(gè)難關(guān)，蠕蟲(chóng)技術(shù)的發(fā)展就會(huì)進(jìn)入一個(gè)新的階段?，F(xiàn)在流行的蠕蟲(chóng)采用的傳播技術(shù)目標(biāo)一般是盡快地傳播到盡量多的電腦中，于是掃描模塊采用的掃描策略是這樣的：隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)掃描。笨點(diǎn)的掃描程序可能會(huì)不斷重復(fù)上面這一過(guò)程。這樣，隨著蠕蟲(chóng)的傳播，新感染的主機(jī)也開(kāi)始進(jìn)行這種掃描，這些掃描程序不知道那些地址已經(jīng)被掃描過(guò)，它只是簡(jiǎn)單的隨機(jī)掃描互聯(lián)網(wǎng)。于是蠕蟲(chóng)傳播的越廣，網(wǎng)絡(luò)上的掃描包就越多。即使掃描程序發(fā)出的探測(cè)包很小，積少成多，大量蠕蟲(chóng)程序的掃描引起的網(wǎng)絡(luò)擁塞就非常嚴(yán)重了。聰明點(diǎn)的作者會(huì)對(duì)掃描策略進(jìn)行一些改進(jìn)，比如在IP地址段的選擇上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描。對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描。把掃描分散在不同的時(shí)間段進(jìn)行。掃描策略設(shè)計(jì)的原則有三點(diǎn)：1.盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小2.保證掃描覆蓋到盡量大的范圍3.處理好掃描的時(shí)間分布，使得掃描不要集中在某一時(shí)間內(nèi)發(fā)生。怎樣找到一個(gè)合適的策略需要在考慮以上原則的前提下進(jìn)行分析，甚至需要試驗(yàn)驗(yàn)證。掃描發(fā)送的探測(cè)包是根據(jù)不同的漏洞進(jìn)行設(shè)計(jì)的。比如，針對(duì)遠(yuǎn)程緩沖區(qū)溢出漏洞可以發(fā)送溢出代碼來(lái)探測(cè)，針對(duì)web的cgi漏洞就需要發(fā)送一個(gè)特殊的http請(qǐng)求來(lái)探測(cè)。當(dāng)然發(fā)送探測(cè)代碼之前首先要確定相應(yīng)端口是否開(kāi)放，這樣可以提高掃描效率。一旦確認(rèn)漏洞存在后就可以進(jìn)行相應(yīng)的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實(shí)現(xiàn)這一過(guò)程就可以了。這一部關(guān)鍵的問(wèn)題是對(duì)漏洞的理解和利用。關(guān)于如何分析漏洞不是本文要討論的內(nèi)容。攻擊成功后，一般是獲得一個(gè)遠(yuǎn)程主機(jī)的shell，對(duì)win2k系統(tǒng)來(lái)說(shuō)就是cmd.exe，得到這個(gè)shell后我們就擁有了對(duì)整個(gè)系統(tǒng)的控制權(quán)。復(fù)制過(guò)程也有很多種方法，可以利用系統(tǒng)本身的程序?qū)崿F(xiàn)，也可以用蠕蟲(chóng)自代的程序?qū)崿F(xiàn)。復(fù)制過(guò)程實(shí)際上就是一個(gè)文件傳輸?shù)倪^(guò)程，實(shí)現(xiàn)網(wǎng)絡(luò)文件傳輸很簡(jiǎn)單，這里不再討論。3.2模式的使用既然稱(chēng)之為模式，那么它就是可以復(fù)用的。也就是說(shuō)，我們只要簡(jiǎn)單地改變這個(gè)模式中各個(gè)具體環(huán)節(jié)的代碼，就可以實(shí)現(xiàn)一個(gè)自己的蠕蟲(chóng)了。比如掃描部分和復(fù)制部分的代碼完成后，一旦有一個(gè)新的漏洞出現(xiàn)，我們只要把攻擊部分的代碼補(bǔ)充上就可以了。利用模式我們甚至可以編寫(xiě)一個(gè)蠕蟲(chóng)制造機(jī)。當(dāng)然利用模式也可以編寫(xiě)一個(gè)自動(dòng)入侵系統(tǒng)，模式化的操作用程序?qū)崿F(xiàn)起來(lái)并不復(fù)雜。3.3蠕蟲(chóng)傳播的其他可能模式除了上面介紹的傳播模式外，還可能會(huì)有別的模式出現(xiàn)。比如，我們可以把利用郵件進(jìn)行自動(dòng)傳播也作為一種模式。這種模式的描述為：由郵件地址薄獲得郵件地址-群發(fā)帶有蠕蟲(chóng)程序的郵件-郵件被動(dòng)打開(kāi)，蠕蟲(chóng)程序啟動(dòng)。這里面每一步都可以有不同的實(shí)現(xiàn)方法，而且這個(gè)模式也實(shí)現(xiàn)了自動(dòng)傳播所以我們可以把它作為一種蠕蟲(chóng)的傳播模式。隨著蠕蟲(chóng)技術(shù)的發(fā)展，今后還會(huì)有其他的傳播模式出現(xiàn)。4.從安全防御的角度看蠕蟲(chóng)的傳播模式我們針對(duì)蠕蟲(chóng)的傳播模式來(lái)分析如何防止蠕蟲(chóng)的傳播思路會(huì)清晰很多。對(duì)蠕蟲(chóng)傳播的一般模式來(lái)說(shuō)，我們目前做的安全防護(hù)工作主要是針對(duì)其第二環(huán)即攻擊部分，為了防止攻擊，要采取的措施就是及早發(fā)現(xiàn)漏洞并打上補(bǔ)丁。其實(shí)更重要的是第一環(huán)節(jié)的防護(hù)，對(duì)掃描的防護(hù)現(xiàn)在人們常用的方法是使用防護(hù)墻來(lái)過(guò)濾掃描。使用防火墻的方法有局限性，因?yàn)楹芏嘤脩舨⒉恢廊绾问褂梅阑饓?，所以?dāng)蠕蟲(chóng)仍然能傳播開(kāi)來(lái)，有防火墻保護(hù)的主機(jī)只能保證自己的安全，但是網(wǎng)絡(luò)已經(jīng)被破壞了。另外一種方案是從網(wǎng)絡(luò)整體來(lái)考慮如何防止蠕蟲(chóng)的傳播。從一般模式的過(guò)程來(lái)看，大規(guī)模掃描是蠕蟲(chóng)傳播的重要步驟，如果能防止或限制掃描的進(jìn)行，那么就可以防止蠕蟲(chóng)的傳播了?？赡艿姆椒ㄊ窃诰W(wǎng)關(guān)或者路由器上加一個(gè)過(guò)濾器，當(dāng)檢測(cè)到某個(gè)地址發(fā)送掃描包就過(guò)濾掉該包。具體實(shí)現(xiàn)時(shí)可能要考慮到如何識(shí)別掃描包與正常包的問(wèn)題，這有待進(jìn)一步研究。了解了蠕蟲(chóng)的傳播模式，可以很容易實(shí)現(xiàn)針對(duì)蠕蟲(chóng)的入侵檢測(cè)系統(tǒng)。蠕蟲(chóng)的掃描會(huì)有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測(cè)的入侵特征。了解了這些特征就可以針對(duì)其制定入侵檢測(cè)規(guī)則?？偨Y(jié)網(wǎng)絡(luò)蠕蟲(chóng)病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對(duì)網(wǎng)絡(luò)產(chǎn)生巨大的危險(xiǎn)。在防御上，已經(jīng)不再是由單獨(dú)的殺毒廠商所能夠解決，而需要網(wǎng)絡(luò)安全公司，系統(tǒng)廠商，防病毒廠商及用戶共同參與，構(gòu)筑全方位的防范體系！蠕蟲(chóng)和黑客