資源描述:
《蠕蟲病毒原理ppt課件.ppt》由會員上傳分享�����,免費在線閱讀��,更多相關內(nèi)容在教育資源-天天文庫�����。
1���、蠕蟲病毒原理1蠕蟲病毒蠕蟲病毒是一種常見的計算機病毒����。它是利用網(wǎng)絡進行復制和傳播����,傳染途徑是通過網(wǎng)絡和電子郵件����。蠕蟲病毒是自包含的程序(或是一套程序)�����,它能傳播自身功能的拷貝或自身(蠕蟲病毒)的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡連接)�����。蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機.局域網(wǎng)條件下的共享文件夾���,電子郵件email����,網(wǎng)絡中的惡意網(wǎng)頁���,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑����。網(wǎng)絡的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球!而且蠕蟲的主動攻擊性和突然爆發(fā)性會使得人們手足無策2蠕蟲與漏洞網(wǎng)絡蠕蟲最大特點是利用
2��、各種漏洞進行自動傳播根據(jù)網(wǎng)絡蠕蟲所利用漏洞的不同,又可以將其細分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol�����,多用途的網(wǎng)際郵件擴充協(xié)議)漏洞MIME描述漏洞3蠕蟲與漏洞網(wǎng)頁蠕蟲(木馬)主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個IFrame插入一個Mail框架��,同樣利用MIME漏洞執(zhí)行蠕蟲���,這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運作的�,首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件�����,然后運行它����,完成蠕蟲
3��、傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波��、沖擊波殺手利用LSASS溢出漏洞的震蕩波�����、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng),它隨機產(chǎn)生IP并嘗試溢出���,然后將自身復制過去它們往往造成被感染系統(tǒng)性能速度迅速降低����,甚至系統(tǒng)崩潰����,屬于最不受歡迎的一類蠕蟲4蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復制”5蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術目標,一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是:隨機選取某一段IP地址�,然后對這一地址段上的主機進行掃描沒有優(yōu)化的掃描程序可能
4、會不斷重復上面這一過程�,大量蠕蟲程序的掃描引起嚴重的網(wǎng)絡擁塞對掃描策略的改進在IP地址段的選擇上,可以主要針對當前主機所在的網(wǎng)段進行掃描�����,對外網(wǎng)段則隨機選擇幾個小的IP地址段進行掃描對掃描次數(shù)進行限制�,只進行幾次掃描把掃描分散在不同的時間段進行6蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)7從傳播模式進行安全防御對蠕蟲在網(wǎng)絡中產(chǎn)生的異常,有多
5���、種的的方法可以對未知的蠕蟲進行檢測��,比較通用的方法是對流量異常的統(tǒng)計分析����,主要包括對TCP連接異常的分析和ICMP數(shù)據(jù)異常分析的方法。8從傳播模式進行安全防御在蠕蟲的掃描階段��,蠕蟲會隨機的或者偽隨機的生成大量的IP地址進行掃描�,探測漏洞主機。這些被掃描主機中會存在許多空的或者不可達的IP地址�,從而在一段時間里,蠕蟲主機會接收到大量的來自不同路由器的ICMP不可達數(shù)據(jù)包�����。流量分析系統(tǒng)通過對這些數(shù)據(jù)包進行檢測和統(tǒng)計��,在蠕蟲的掃描階段將其發(fā)現(xiàn)�����,然后對蠕蟲主機進行隔離����,對蠕蟲其進行分析����,進而采取防御措施。將ICMP不可達數(shù)據(jù)包進行收集、解
6�����、析�,并根據(jù)源和目的地址進行分類,如果一個IP在一定時間(T)內(nèi)對超過一定數(shù)量(N)的其它主機的同一端口(P)進行了掃描���,則產(chǎn)生一個發(fā)現(xiàn)蠕蟲的報警(同時還會產(chǎn)生其它的一些報警)�。9用Sniffer進行蠕蟲檢測一般進行流量分析時����,首先關注的是產(chǎn)生網(wǎng)絡流量最大的那些計算機。利用Sniffer的HostTable功能��,將所有計算機按照發(fā)出數(shù)據(jù)包的包數(shù)多少進行排序10發(fā)包數(shù)量前列的IP地址為22.163.0.9的主機����,其從網(wǎng)絡收到的數(shù)據(jù)包數(shù)是0,但其向網(wǎng)絡發(fā)出的數(shù)據(jù)包是445個�����;這對HTTP協(xié)議來說顯然是不正常的���,HTTP協(xié)議是基于TCP的
7���、協(xié)議�,是有連接的����,不可能是光發(fā)不收的,一般來說光發(fā)包不收包是種類似于廣播的11同樣�,我們可以發(fā)現(xiàn),如下IP地址存在同樣的問題12首先我們對IP地址為22.163.0.9的主機產(chǎn)生的網(wǎng)絡流量進行過濾13蠕蟲病毒流量分析14發(fā)出的數(shù)據(jù)包的內(nèi)容151617一����、兩種檢測粒度的比較在早期的snort在其virus.rules中,用了多達24條規(guī)則來檢測名為NewApt的蠕蟲���,占了全部VX規(guī)則的28%�。18粗糙的文件名檢測法content:"filename="THEOBBQ.EXE"";content:"filename="COOLE
8�����、R3.EXE"";content:"filename="PARTY.EXE"";content:"filename="HOG.EXE"";content:"filename="GOAL1.EXE"";content:"filename
