(一)网络蠕虫扫描技术
网络蠕虫利用系统漏洞进行传播,良好的传播方法能够加速传播,以最少时间找到互联网上易感主机改善传播效果方法:提高扫描准确性,快速发现易感主机
(二)改善传播效果措施
(1)减少扫描未用的地扯空间
(2)在主机漏洞密度高的地址空间发现易感主机
(3)增加感染源
按网络蠕虫发现易感主机方式
传播方法 | 基本原理 | 典型 | |
1 | 随机扫描 | 对整个IP地址空间,随机抽取一个地址进行扫描,感染下一个目标具有非确定性 | Slammer蠕虫 |
2 | 顺序扫描(子网扫描) | 根据感染主机地址信息,按照本地优先原则,选择自身所在网络内IP地址传播。 规则:目标地址IP为A,则下一个地址IP为A+1或者A-1 优点:使网络蠕虫避免扫描到未用地址空间 缺点:对同一台主机可能重复扫描,引起网络拥塞 | W32.Blaster |
3 | 选择性扫描 | 基本原理:网络蠕虫未来发展方向。在事先获知一定信息条件下,有选择地搜索下一个感染目标主机 |
(三)选择性扫描
选择性扫描 | 描述 | 备注 | |
1 | 选择性随机扫描 | 根据一定信息搜索下一个感染目标主机,将最可能存在漏洞的主机地址集作为扫描地址空间,以提高扫描效率 | |
2 | 基于目标列表扫描 | 在寻找目标前,预先生成一份可能易传染目标列表,然后对该列表进行攻击尝试和传播 | 基于目标列表扫描的试验性Warhol蠕虫,理论上能在30分钟内感染整个互联网 |
3 | 基于路由扫描(理论研究阶段) | 根据路由信息,如BGP路由表信息,有选择地扫描IP地址空间,避免扫描无用地址空间 | 从理论上来说,路由扫描蠕虫的感染率是随机扫描蠕虫的3.5倍 ①优点:路由信息有助于提高扫描效率 ②缺点:蠕虫传播时必须携带一个路由IP地址库,导致代码量大;在使用保留地址空间的内部网络中,传播会受限 |
4 | 基于DNS扫描 | 指网络蠕虫从DNS服务器获取IP地址来建立目标地址库 | 优点:获得的IP地址块有针对性,可用性强 |
5 | 分而治之扫描 | 蠕虫之间相互协作(向对方发送地址库)快速搜索易感染主机 | ①优点:扫描空间分成若干个子空间,提高扫描速度,避免重复扫描 ②缺点:存在“坏点”问题,主机死机或崩溃后,地址库就会丢失 |
(四)网络蠕虫漏洞利用技术
技术 | 说明 | 备注 | |
1 | 主机间信任关系漏洞 | 利用系统信任关系,将蠕虫程序从一台机器复制到另一台机器 | 小莫里斯蠕虫(利用UNIX信任关系脆弱性) |
2 | 目标主机程序漏洞 | 利用目标主机构造缓冲区溢出程序,远程控制易感目标主机 | |
3 | 目标主机默认用户和口令漏洞 | 网络蠕虫直接使用口令进入目标系统,直接上传蠕虫程序 | |
4 | 目标主机用户安全意识薄弱漏洞 | 网络蠕虫伪装成合法文件,引诱用户点击触发执行 | 电子邮件蠕虫 |
5 | 目标主机客户端程序配置漏洞 | 网络蠕虫利用漏洞直接执行 | 自动执行网上下载的程序 |