选择性扫描的基本原理是网络蠕虫在事先获知一定信息的条件下,有选择地搜索下一个感染目标主机。选择性扫描是网络蠕虫的发展方向,可以进一步细分为5几种:①选择性随机扫描是指网络蠕虫按照一定信息搜索下一个感染目标主机,将最有可能存在漏洞的主机的地址集作为扫描的地址空间,以提高扫描效率。②基于目标列表的扫描是指网络蠕虫在寻找受感染的目标前,预先生成一份可能易传染的目标列表,然后对该列表进行攻击尝试和传播。网络蠕虫采用目标列表扫描实际上是将初始的蠕虫传染源分布在不同的地址空间,以提高传播速度。UC Berkeley的Nicholas C Weaver实现了一个基于目标列表扫描的试验性Warhol蠕虫,理论推测该蠕虫能在30分钟内感染整个互联网。③基于路由的扫描是指网络蠕虫根据网络中的路由信息,如BGP路由表信息,有选择地扫描IP地址空间,以避免扫描无用的地址空间。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测,而这些地址大部分在互联网上是无法路由的,因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的,则它能够更快、更有效地进行传播,并能逃避一些对抗工具的检测。基于路由的扫描利用BGP路由表公开的信息,减少蠕虫扫描的地址空间,提高了蠕虫的传播速度。从理论上来说,路由扫描蠕虫的感染率是采用随机扫描蠕虫的感染率的3.5倍。基于路由的扫描的不足是网络蠕虫传播时必须携带一个路由IP地址库,蠕虫代码量大。另外一个不足是,在使用保留地址空间的内部网络中,若采用基于路由的扫描,网络蠕虫的传播会受到限制。目前,基于路由的扫描的网络蠕虫还处于理论研究阶段。④基于DNS的扫描是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库,该扫描策略的优点在于获得的IP地址块具有针对性和可用性强的特点。⑤分而治之的扫描是网络蠕虫之间相互协作快速搜索易感染主机的一种策略,网络蠕虫发送地址库的一部分给每台被感染的主机,然后每台主机再去扫描它所获得的地址。主机A感染了主机B后,主机A将它自身携带的地址分出一部分给主机B,然后主机B开始扫描这一部分地址。分而治之的扫描策略通过将扫描空间分成若干个子空间,各子空间由已感染蠕虫的主机负责扫描,这样就可能提高网络蠕虫的扫描速度,同时避免重复扫描。分而治之的扫描策略的不足是存在“坏点”问题。在蠕虫传播的过程中,如果一台主机死机或崩溃,那么所有传给它的地址库就会丢失,这个问题发生得越早,影响就越大。
