資源描述:
《分析蠕蟲病毒傳播模式》由會員上傳分享,免費在線閱讀���,更多相關內(nèi)容在應用文檔-天天文庫����。
1��、分析蠕蟲病毒傳播模式~教育資源庫 蠕蟲最近很熱����,沒幾天互聯(lián)網(wǎng)上就來一次蠕蟲浪潮,當然浪頭有大有小�����,有的波濤洶涌�,勢不可擋����,很快就波及整個世界�����,有的在一小片范圍內(nèi)翻了幾翻就沉寂下去了�����。其實����,這些都是表象���,蠕蟲真正的意義不在于其引起的浪頭有多大���,而在于是否實現(xiàn)了其目的。散播蠕蟲的人的目的是什么呢�����?有很多種可能�,可能是哪個所謂的黑客想提高自己在圈內(nèi)的知名度,可能那個小孩覺得這東西好玩就做一個出來滿足好奇心��,可能是某個激進的家伙想試驗一下自己的新技術,可能是某個受到傷害的可憐蟲想報復社會���,也可能是某個網(wǎng)絡安全公司為他們的產(chǎn)品促銷���,當然,還有
2�����、可能是某為好心人想幫電腦用戶自動打上系統(tǒng)補丁�,補上安全漏洞。本文不研究蠕蟲制作心理學���,所以某個蠕蟲可能是那類人的作品這不在本文的考慮范圍之內(nèi)���,本文關心的是蠕蟲的技術方面,具體來說是蠕蟲的傳播技術��?��! ∫?����、蠕蟲的基本結構和傳播過程 蠕蟲的基本程序結構為: 1����、傳播模塊:負責蠕蟲的傳播����,這是本文要討論的部分?��! ?��、隱藏模塊:侵入主機后���,隱藏蠕蟲程序,防止被用戶發(fā)現(xiàn)����。 3�、目的功能模塊:實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能����。 傳播模塊由可以分為三個基本模塊:掃描模塊、攻擊模塊和復制模塊��?�! ∪湎x程序的一般傳播過程為: 1.掃描:
3��、由蠕蟲的掃描功能模塊負責探測存在漏洞的主機�。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后,就得到一個可傳播的對象�。 2.攻擊:攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象��,取得該主機的權限(一般為管理員權限)�����,獲得一個shell���?��! ?.復制:復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動?! ∥覀兛梢钥吹剑瑐鞑ツK實現(xiàn)的實際上是自動入侵的功能��。所以蠕蟲的傳播技術是蠕蟲技術的首要技術,沒有蠕蟲的傳播技術�����,也就談不上什么蠕蟲技術了���。 二����、入侵過程的分析 想必大家對入侵的一般步驟都是比較熟悉的。我們簡單
4�����、回憶一下����。 第一步:用各種方法收集目標主機的信息���,找到可利用的漏洞或弱點���?��! 〉诙剑横槍δ繕酥鳈C的漏洞或缺陷,采取相應的技術攻擊主機�����,直到獲得主機的管理員權限����。 第三步:利用獲得的權限在主機上安裝后門��、跳板��、控制端�����、監(jiān)視器等等��,清除日志��?! ∥覀円徊揭徊椒治觥���! ∠瓤吹谝徊?���,搜集信息,有很多種方法����,包括技術的和非技術的���。采用技術的方法包括用掃描器掃描主機�����,探測主機的操作系統(tǒng)類型���、版本,主機名�,用戶名,開放的端口���,開放的服務��,開放的服務器軟件版本等��。非技術的方法包括和主機的管理員拉關系套口風���,騙取信任�����,威逼利誘等各種少兒不宜的手段
5��、�。當然是信息搜集的越全越好�。搜集完信息后進入第二步?���! 〉诙剑瑢λ鸭瘉淼男畔⑦M行分析��,找到可以有效利用的信息�。如果有現(xiàn)成的漏洞可以利用,上網(wǎng)找到該漏洞的攻擊方法�,如果有攻擊代碼就直接COPY下來,然后用該代碼取得權限,OK了��;如果沒有現(xiàn)成的漏洞可以利用�,就用根據(jù)搜集的信息試探猜測用戶密碼����,另一方面試探研究分析其使用的系統(tǒng)�,爭取分析出一個可利用的漏洞。如果最后能找到一個辦法獲得該系統(tǒng)權限�����,那么就進入第三步���,否則�����,放棄?! 〉谌剑辛酥鳈C的權限��,你想干什么就干什么吧�。如果你不知道想干什么,那你就退出來去玩你喜歡玩的游戲吧�。 上面說的
6����、是手動入侵的一般過程�����,對于自動入侵來說��,在應用上有些特殊之處�����?! ∪湎x采用的自動入侵技術����,由于程序大小的限制,自動入侵程序不可能有太強的智能性�����,所以自動入侵一般都采用某種特定的模式�����。我們稱這種模式為入侵模式,它是由普通入侵技術中提取出來的�����。目前蠕蟲使用的入侵模式只有一種��,這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式:掃描漏洞-攻擊并獲得shell-利用shell�。這種入侵模式也就是現(xiàn)在蠕蟲常用的傳播模式。這里有一個問題�����,就是對蠕蟲概念的定義問題��,目前對蠕蟲的定義把這種傳播模式作為蠕蟲的定義的一部分�����,實際上廣義的蠕蟲應該包括那些使
7�����、用其他自動傳播模式的程序����。 我們先看一般的傳播模式�����?! ∪⑷湎x傳播的一般模式分析 1.模式:掃描-攻擊-復制�。 從新聞中看到關于蠕蟲的報道����,報道中總是強調(diào)蠕蟲如何發(fā)送大量的數(shù)據(jù)包,造成網(wǎng)絡擁塞����,影響網(wǎng)絡通信速度。實際上這不是蠕蟲程序的本意���,造成網(wǎng)絡擁塞對蠕蟲程序的發(fā)布者沒有什么好處���。如果可能的話,蠕蟲程序的發(fā)布者更希望蠕蟲隱蔽的傳播出去�,因為蠕蟲傳播出去后,蠕蟲的發(fā)布者就可以獲得大量的可以利用的計算資源�,這樣他獲得的利益比起造成網(wǎng)絡擁塞的后果來說顯然強上萬倍�����。但是�,現(xiàn)有的蠕蟲采用的掃描方法不可避免的會引起大量的網(wǎng)絡擁塞����,這是蠕
8、蟲技術發(fā)展的一個瓶頸�,如果能突破這個難關,蠕蟲技術的發(fā)展就會進入一個新的階段�。 現(xiàn)在流行的蠕蟲采用的傳播技術目標一般是盡快地傳播到盡量多的電腦中�,于是掃描模塊采用的掃描策略是這樣的: 隨機選取某一段IP地址,然后對這
