Chapter 8 网络蠕虫
8.1 定义
蠕虫的基本特征:
- 能够进行传播
- 能够进行自我复制
计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
第一个蠕虫:Morris蠕虫。
- 利用的漏洞:
- Rsh/exec:用户缺省认证
- Sendmail的debug模式
- Fingerd缓冲区溢出
8.2 分类
- 漏洞利用类蠕虫:利用计算机系统的漏洞进行破坏与传播。如Stuxnet
- 口令破解类蠕虫:通过弱口令进入目标系统。
- 邮件传播类蠕虫
- 即时通信类蠕虫:通过即使通信进行传播。
- 其他:如USB蠕虫等
8.3 基本功能
- 信息搜集:对本地和目标节点主机的信息汇集
- 信息搜集模块需要为发现易感染目标提供支持,搜集包括本机系统信息、用户信息、对本机的信任或者授权的主机、本机所处的网络拓朴结构、边界路由信息等。(即寻找下一个感染目标)
- 扫描探测:对具体的目标主机的服务漏洞检测
- 扫描探测模块完成特定目标的脆弱性检测,发现易感染目标。
- 攻击渗透:利用发现的服务漏洞实现攻击
- 自我推进:完成对目标结点的感染
- 自我推进模块需要在本机与目标主机之间完成蠕虫副本传递,使蠕虫正式“进驻”该目标机器。
8.4 蠕虫防护
- 个人用户
- 及时修补补丁
- 使用防火墙软件
- 关注流量的异常性
- 网络管理者
- 网关阻断
- 补丁下发
- 网络应用厂商
- 应用流量过滤与阻断
- 补丁自动分发与修补
- 安全厂商
- 网络流量分析与提取
- 网络安全设备快速阻断
- 快速利用客户端安全软件清除蠕虫个体,进行补丁修复