資源描述:
《分析蠕蟲病毒傳播模式》由會(huì)員上傳分享����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)���。
1�����、分析蠕蟲病毒傳播模式~教育資源庫(kù) 蠕蟲最近很熱��,沒幾天互聯(lián)網(wǎng)上就來一次蠕蟲浪潮���,當(dāng)然浪頭有大有小,有的波濤洶涌���,勢(shì)不可擋�,很快就波及整個(gè)世界����,有的在一小片范圍內(nèi)翻了幾翻就沉寂下去了。其實(shí)�����,這些都是表象��,蠕蟲真正的意義不在于其引起的浪頭有多大�����,而在于是否實(shí)現(xiàn)了其目的����。散播蠕蟲的人的目的是什么呢�����?有很多種可能����,可能是哪個(gè)所謂的黑客想提高自己在圈內(nèi)的知名度,可能那個(gè)小孩覺得這東西好玩就做一個(gè)出來滿足好奇心,可能是某個(gè)激進(jìn)的家伙想試驗(yàn)一下自己的新技術(shù)���,可能是某個(gè)受到傷害的可憐蟲想報(bào)復(fù)社會(huì)����,也可能是某個(gè)網(wǎng)絡(luò)安全公司為他們的產(chǎn)品促銷��,當(dāng)然��,還有
2��、可能是某為好心人想幫電腦用戶自動(dòng)打上系統(tǒng)補(bǔ)丁����,補(bǔ)上安全漏洞。本文不研究蠕蟲制作心理學(xué)���,所以某個(gè)蠕蟲可能是那類人的作品這不在本文的考慮范圍之內(nèi)����,本文關(guān)心的是蠕蟲的技術(shù)方面��,具體來說是蠕蟲的傳播技術(shù)�����?��! ∫?���、蠕蟲的基本結(jié)構(gòu)和傳播過程 蠕蟲的基本程序結(jié)構(gòu)為: 1��、傳播模塊:負(fù)責(zé)蠕蟲的傳播��,這是本文要討論的部分�。 2�、隱藏模塊:侵入主機(jī)后,隱藏蠕蟲程序����,防止被用戶發(fā)現(xiàn)?����! ?���、目的功能模塊:實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制����、監(jiān)視或破壞等功能?��! 鞑ツK由可以分為三個(gè)基本模塊:掃描模塊����、攻擊模塊和復(fù)制模塊�����?�! ∪湎x程序的一般傳播過程為: 1.掃描:
3�����、由蠕蟲的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)�。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后,就得到一個(gè)可傳播的對(duì)象����?�! ?.攻擊:攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象�����,取得該主機(jī)的權(quán)限(一般為管理員權(quán)限),獲得一個(gè)shell�。 3.復(fù)制:復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)�����?��! ∥覀兛梢钥吹?�,傳播模塊實(shí)現(xiàn)的實(shí)際上是自動(dòng)入侵的功能���。所以蠕蟲的傳播技術(shù)是蠕蟲技術(shù)的首要技術(shù),沒有蠕蟲的傳播技術(shù)����,也就談不上什么蠕蟲技術(shù)了?! 《?��、入侵過程的分析 想必大家對(duì)入侵的一般步驟都是比較熟悉的。我們簡(jiǎn)單
4���、回憶一下���。 第一步:用各種方法收集目標(biāo)主機(jī)的信息�,找到可利用的漏洞或弱點(diǎn)?! 〉诙剑横槍?duì)目標(biāo)主機(jī)的漏洞或缺陷,采取相應(yīng)的技術(shù)攻擊主機(jī)�,直到獲得主機(jī)的管理員權(quán)限?�! 〉谌剑豪毛@得的權(quán)限在主機(jī)上安裝后門�����、跳板��、控制端�、監(jiān)視器等等,清除日志���?! ∥覀円徊揭徊椒治觥�����! ∠瓤吹谝徊?���,搜集信息�,有很多種方法�,包括技術(shù)的和非技術(shù)的�。采用技術(shù)的方法包括用掃描器掃描主機(jī)���,探測(cè)主機(jī)的操作系統(tǒng)類型����、版本�����,主機(jī)名��,用戶名����,開放的端口��,開放的服務(wù),開放的服務(wù)器軟件版本等�。非技術(shù)的方法包括和主機(jī)的管理員拉關(guān)系套口風(fēng)���,騙取信任�,威逼利誘等各種少兒不宜的手段
5�、����。當(dāng)然是信息搜集的越全越好���。搜集完信息后進(jìn)入第二步?���! 〉诙?���,對(duì)搜集來的信息進(jìn)行分析��,找到可以有效利用的信息。如果有現(xiàn)成的漏洞可以利用�,上網(wǎng)找到該漏洞的攻擊方法���,如果有攻擊代碼就直接COPY下來���,然后用該代碼取得權(quán)限,OK了�;如果沒有現(xiàn)成的漏洞可以利用����,就用根據(jù)搜集的信息試探猜測(cè)用戶密碼�����,另一方面試探研究分析其使用的系統(tǒng),爭(zhēng)取分析出一個(gè)可利用的漏洞�。如果最后能找到一個(gè)辦法獲得該系統(tǒng)權(quán)限�����,那么就進(jìn)入第三步,否則��,放棄?���! 〉谌剑辛酥鳈C(jī)的權(quán)限����,你想干什么就干什么吧��。如果你不知道想干什么����,那你就退出來去玩你喜歡玩的游戲吧��?����! ∩厦嬲f的
6��、是手動(dòng)入侵的一般過程�����,對(duì)于自動(dòng)入侵來說�,在應(yīng)用上有些特殊之處?! ∪湎x采用的自動(dòng)入侵技術(shù)�,由于程序大小的限制�����,自動(dòng)入侵程序不可能有太強(qiáng)的智能性�����,所以自動(dòng)入侵一般都采用某種特定的模式����。我們稱這種模式為入侵模式�,它是由普通入侵技術(shù)中提取出來的�。目前蠕蟲使用的入侵模式只有一種����,這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式:掃描漏洞-攻擊并獲得shell-利用shell��。這種入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式�。這里有一個(gè)問題���,就是對(duì)蠕蟲概念的定義問題�,目前對(duì)蠕蟲的定義把這種傳播模式作為蠕蟲的定義的一部分�,實(shí)際上廣義的蠕蟲應(yīng)該包括那些使
7��、用其他自動(dòng)傳播模式的程序?���! ∥覀兿瓤匆话愕膫鞑ツJ?����。 三����、蠕蟲傳播的一般模式分析 1.模式:掃描-攻擊-復(fù)制���?��! 男侣勚锌吹疥P(guān)于蠕蟲的報(bào)道�����,報(bào)道中總是強(qiáng)調(diào)蠕蟲如何發(fā)送大量的數(shù)據(jù)包��,造成網(wǎng)絡(luò)擁塞�,影響網(wǎng)絡(luò)通信速度��。實(shí)際上這不是蠕蟲程序的本意�,造成網(wǎng)絡(luò)擁塞對(duì)蠕蟲程序的發(fā)布者沒有什么好處。如果可能的話�����,蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去��,因?yàn)槿湎x傳播出去后���,蠕蟲的發(fā)布者就可以獲得大量的可以利用的計(jì)算資源,這樣他獲得的利益比起造成網(wǎng)絡(luò)擁塞的后果來說顯然強(qiáng)上萬倍��。但是�,現(xiàn)有的蠕蟲采用的掃描方法不可避免的會(huì)引起大量的網(wǎng)絡(luò)擁塞,這是蠕
8����、蟲技術(shù)發(fā)展的一個(gè)瓶頸,如果能突破這個(gè)難關(guān)����,蠕蟲技術(shù)的發(fā)展就會(huì)進(jìn)入一個(gè)新的階段?�! ‖F(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)一般是盡快地傳播到盡量多的電腦中,于是掃描模塊采用的掃描策略是這樣的: 隨機(jī)選取某一段IP地址��,然后對(duì)這
