資源描述:
《蠕蟲病毒原理ppt課件.ppt》由會員上傳分享����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、蠕蟲病毒原理1蠕蟲病毒蠕蟲病毒是一種常見的計算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播��,傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序(或是一套程序)����,它能傳播自身功能的拷貝或自身(蠕蟲病毒)的某些部分到其他的計算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機(jī).局域網(wǎng)條件下的共享文件夾�,電子郵件email,網(wǎng)絡(luò)中的惡意網(wǎng)頁�,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球!而且蠕蟲的主動攻擊性和突然爆發(fā)性會使得人們手足無策2蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用
2�、各種漏洞進(jìn)行自動傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同,又可以將其細(xì)分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol�����,多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞MIME描述漏洞3蠕蟲與漏洞網(wǎng)頁蠕蟲(木馬)主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個IFrame插入一個Mail框架�����,同樣利用MIME漏洞執(zhí)行蠕蟲����,這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的,首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件����,然后運(yùn)行它����,完成蠕蟲
3�����、傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波���、沖擊波殺手利用LSASS溢出漏洞的震蕩波�����、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng)����,它隨機(jī)產(chǎn)生IP并嘗試溢出���,然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低����,甚至系統(tǒng)崩潰�,屬于最不受歡迎的一類蠕蟲4蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”5蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)��,一般是盡快地傳播到盡量多的計算機(jī)中掃描模塊采用的掃描策略是:隨機(jī)選取某一段IP地址,然后對這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能
4�、會不斷重復(fù)上面這一過程,大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對掃描策略的改進(jìn)在IP地址段的選擇上����,可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描,對外網(wǎng)段則隨機(jī)選擇幾個小的IP地址段進(jìn)行掃描對掃描次數(shù)進(jìn)行限制��,只進(jìn)行幾次掃描把掃描分散在不同的時間段進(jìn)行6蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)7從傳播模式進(jìn)行安全防御對蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常��,有多
5����、種的的方法可以對未知的蠕蟲進(jìn)行檢測,比較通用的方法是對流量異常的統(tǒng)計分析��,主要包括對TCP連接異常的分析和ICMP數(shù)據(jù)異常分析的方法���。8從傳播模式進(jìn)行安全防御在蠕蟲的掃描階段��,蠕蟲會隨機(jī)的或者偽隨機(jī)的生成大量的IP地址進(jìn)行掃描��,探測漏洞主機(jī)����。這些被掃描主機(jī)中會存在許多空的或者不可達(dá)的IP地址,從而在一段時間里��,蠕蟲主機(jī)會接收到大量的來自不同路由器的ICMP不可達(dá)數(shù)據(jù)包���。流量分析系統(tǒng)通過對這些數(shù)據(jù)包進(jìn)行檢測和統(tǒng)計�����,在蠕蟲的掃描階段將其發(fā)現(xiàn)���,然后對蠕蟲主機(jī)進(jìn)行隔離,對蠕蟲其進(jìn)行分析����,進(jìn)而采取防御措施。將ICMP不可達(dá)數(shù)據(jù)包進(jìn)行收集��、解
6��、析��,并根據(jù)源和目的地址進(jìn)行分類����,如果一個IP在一定時間(T)內(nèi)對超過一定數(shù)量(N)的其它主機(jī)的同一端口(P)進(jìn)行了掃描,則產(chǎn)生一個發(fā)現(xiàn)蠕蟲的報警(同時還會產(chǎn)生其它的一些報警)�����。9用Sniffer進(jìn)行蠕蟲檢測一般進(jìn)行流量分析時�,首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計算機(jī)。利用Sniffer的HostTable功能����,將所有計算機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序10發(fā)包數(shù)量前列的IP地址為22.163.0.9的主機(jī),其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0��,但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個��;這對HTTP協(xié)議來說顯然是不正常的���,HTTP協(xié)議是基于TCP的
7�����、協(xié)議�,是有連接的���,不可能是光發(fā)不收的���,一般來說光發(fā)包不收包是種類似于廣播的11同樣���,我們可以發(fā)現(xiàn),如下IP地址存在同樣的問題12首先我們對IP地址為22.163.0.9的主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行過濾13蠕蟲病毒流量分析14發(fā)出的數(shù)據(jù)包的內(nèi)容151617一�、兩種檢測粒度的比較在早期的snort在其virus.rules中,用了多達(dá)24條規(guī)則來檢測名為NewApt的蠕蟲���,占了全部VX規(guī)則的28%����。18粗糙的文件名檢測法content:"filename="THEOBBQ.EXE"";content:"filename="COOLE
8��、R3.EXE"";content:"filename="PARTY.EXE"";content:"filename="HOG.EXE"";content:"filename="GOAL1.EXE"";content:"filename
