|
知识路径: > 恶意代码防范技术原理 > 网络蠕虫分析与防护 > 网络蠕虫常用技术(网络蠕虫扫描技术、网络蠕虫漏洞利用技术等) > 网络蠕虫常用技术 >
|
相关知识点:2个
|
|
|
|
网络蠕虫利用系统漏洞进行传播,良好的传播方法能够加速蠕虫传播,使网络蠕虫以最少的时间找到互联网上易感的主机。网络蠕虫改善传播效果的方法是提高扫描的准确性,快速发现易感的主机。目前,有三种措施可以采取:一是减少扫描未用的地址空间;二是在主机漏洞密度高的地址空间发现易感主机;三是增加感染源。根据网络蠕虫发现易感主机的方式,可以将网络蠕虫的传播方法分成三类,即随机扫描、顺序扫描、选择性扫描。下面分别说明网络蠕虫这几种扫描方式的原理。
|
|
|
|
随机扫描的基本原理是网络蠕虫会对整个IP地址空间随机抽取的一个地址进行扫描,这样网络蠕虫感染下一个目标具有非确定性。“Slammer”蠕虫的传播方法就是采用随机扫描感染主机。
|
|
|
|
顺序扫描的基本原理是网络蠕虫根据感染主机的地址信息,按照本地优先原则,选择它所在网络内的IP地址进行传播。顺序扫描又可称为“子网扫描”。若蠕虫扫描的目标地址IP为A,则扫描的下一个地址IP为A+1或者A-1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略使得网络蠕虫避免扫描到未用地址空间,不足的地方是对同一台主机可能重复扫描,引起网络拥塞。“W32.Blaster”是典型的顺序扫描蠕虫。
|
|
|
|
选择性扫描的基本原理是网络蠕虫在事先获知一定信息的条件下,有选择地搜索下一个感染目标主机。选择性扫描是网络蠕虫的发展方向,可以进一步细分为5几种:①选择性随机扫描是指网络蠕虫按照一定信息搜索下一个感染目标主机,将最有可能存在漏洞的主机的地址集作为扫描的地址空间,以提高扫描效率。②基于目标列表的扫描是指网络蠕虫在寻找受感染的目标前,预先生成一份可能易传染的目标列表,然后对该列表进行攻击尝试和传播。网络蠕虫采用目标列表扫描实际上是将初始的蠕虫传染源分布在不同的地址空间,以提高传播速度。UC Berkeley的Nicholas C Weaver实现了一个基于目标列表扫描的试验性Warhol蠕虫,理论推测该蠕虫能在30分钟内感染整个互联网。③基于路由的扫描是指网络蠕虫根据网络中的路由信息,如BGP路由表信息,有选择地扫描IP地址空间,以避免扫描无用的地址空间。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测,而这些地址大部分在互联网上是无法路由的,因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的,则它能够更快、更有效地进行传播,并能逃避一些对抗工具的检测。基于路由的扫描利用BGP路由表公开的信息,减少蠕虫扫描的地址空间,提高了蠕虫的传播速度。从理论上来说,路由扫描蠕虫的感染率是采用随机扫描蠕虫的感染率的3.5倍。基于路由的扫描的不足是网络蠕虫传播时必须携带一个路由IP地址库,蠕虫代码量大。另外一个不足是,在使用保留地址空间的内部网络中,若采用基于路由的扫描,网络蠕虫的传播会受到限制。目前,基于路由的扫描的网络蠕虫还处于理论研究阶段。④基于DNS的扫描是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库,该扫描策略的优点在于获得的IP地址块具有针对性和可用性强的特点。⑤分而治之的扫描是网络蠕虫之间相互协作快速搜索易感染主机的一种策略,网络蠕虫发送地址库的一部分给每台被感染的主机,然后每台主机再去扫描它所获得的地址。主机A感染了主机B后,主机A将它自身携带的地址分出一部分给主机B,然后主机B开始扫描这一部分地址。分而治之的扫描策略通过将扫描空间分成若干个子空间,各子空间由已感染蠕虫的主机负责扫描,这样就可能提高网络蠕虫的扫描速度,同时避免重复扫描。分而治之的扫描策略的不足是存在“坏点”问题。在蠕虫传播的过程中,如果一台主机死机或崩溃,那么所有传给它的地址库就会丢失,这个问题发生得越早,影响就越大。
|
|
|
|
|
|