网络安全中蠕虫病毒技术与防范措施研究

1、网络安全中蠕虫病毒技术与防范措施研究摘要：蠕虫的大规模爆发，引起的Internet 安全威胁事件每年以指数增长，近年来的增长态势变得的尤为迅猛。所以对蠕虫病毒的检测防范有着重要的意义。关键词：蠕虫 网络安全 病毒 异常检测1引言 随着信息化的发展，网络已经渗入到人们生活的各个领域。人们可以在Internet上享用大量的信息资源，但与此同时，人们也受到一些恶意代码的攻击。自1988年第一个蠕虫病毒开始在局域网内活动到1998年底的第一个Internet网上传播的蠕虫病毒(appy99)，就向人们展示了他的巨大破坏力。所谓网络蠕虫是一种能够独立运行，并能通过寻找和攻击远方主机的漏洞进行自主传播的恶

2、意代码。他不同于病毒。具有他自己独特的传播方式和巨大的破坏力。进入世纪蠕虫病毒先后在全世界引起了几次很大轰动。像我们熟悉的“冲击波”蠕虫、Nimda蠕虫、狮子蠕虫等等。都给人们留下了深刻的印象。这些都引起了网络安全人员的广泛关注。2网络蠕虫的特性网络蠕虫的传播与生物中蠕虫病毒的传播存在相似性，因此对于网络蠕虫的传播同样可以套用生物病毒传播的模型来表示： 其中I(t)表示中已经被感染的计算机的数量，S(t)表示网络中存在漏洞、可以被蠕虫感染计算机的数量， 表示影响蠕虫传播的因素。公式左边是被感染的计算机数量的增量与单位时间的比值，也就蠕虫传播的速度。从公式中很直观的看出，公式右边三个因子中任何一

3、个因子的减小都会降蠕虫的传播速度。所以从蠕虫的传播模式和特征行为，我们可以得出蠕虫在传播过程中所共有的一些特征：（1）单一性：大量相同的数据包在蠕虫爆发初期出现，这是由于蠕虫发出的扫描包大多数是相同的，另外蠕虫在进行复制时传输的文件也是相同的。（2）自主性：网络上感染规模不断增大这是由于蠕虫是自主传播，不受管理员的干涉，被感染主机数量以及扫描都呈指数级迅速增长。这个可以有上边的模型看出。（3）随机性：被感染主机会随机探测某个地址的固定端口，网络上会出现大量目标地址不可达或连接请求失败。（4）利用软件漏洞，造成网络拥塞，系统消耗资源，留下安全隐患的特性。3蠕虫的运行技术介绍2003年8月12日爆

4、发的“冲击波”蠕虫是利用RPC(remote procedure call)漏洞攻击计算机。RPC是Windows操作系统使用的一个应用层协议，它提供了一种进程间通信机制。而“冲击波”蠕虫就是利用RPC存在的漏洞对计算机进行攻击的，它会不断的扫描网络中存在RPC漏洞的计算机进行攻击，一旦攻击成功，蠕虫就会传输到该计算机上并运行。感染的主机可能造成RPC服务终止，系统被自动关闭，由于蠕虫占用大量的资源，以至于不能在Internet Explorer中打开新窗口，复制粘贴不能进行等现象，感染蠕虫还可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135, 传播成功后他会利用tcp/4

5、444和UDP 69端口下载并运行它的代码程序Msblast.exe。这个蠕虫还将对进行拒绝服务攻击。病毒行为和传播方式：(1)病毒运行时会建立一个名为“BILLY”的互斥线程，当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast.exe”的进程。(2)病毒运行时会将自身复制为：%systemdir%msblast.exe，%systemdir%指的是操作系统安装目录中的系统目录，Windows 2000/XP/2003默认为C:Winntsystem32。(3)在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC

6、urrentVersionRun下添加名为“windows auto update”的启动项目，值为“msblast.exe”，使得每次启动计算机时自动加载病毒。(4)感染病毒的计算机会尝试连接20个随机的IP地址，并且对有此漏洞的计算机进行攻击，然后该病毒会休息(sleep)1.8秒，然后扫描下20个随机的IP地址。病毒扫描IP地址（A.B.C.D，如：IP为192.168.0.1时，A=192 B=168 C=0 D=1）符合如下规则：35的可能当D等于0时，A、B、C为0到255的随机数。另外25的可能，病毒扫描子网并取得染毒计算机的IP地址，提取其中的A、B值，并设置D值为0，然后提取

7、C的值。如果C的值小于等于20的时候，病毒不对其进行改变。例如：染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描；如果C的值大于20，则病毒会从C减去19和C值之间随机选择一个数。例如：感染计算机的IP地址为192.168.135.161，则病毒将扫描的IP地址为192.168.115-134.0。(5)病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求（即攻击代码），然后被攻击的计算机将在TCP4444端口开启一个Command Shell。(6)监听UDP69端口，当接收到受攻击的机器发来的允许使用DCOM RP

8、C运行远程指令的消息后，将发送Msblast.exe 文件，并让受攻击的计算机执行它，至此受攻击的计算机也感染此病毒。(7)如果当前日期是8月或者当月日期是15日以后，病毒将发起对的拒绝服务（DoS）攻击。蠕虫程序除了在网络上产生大量的负载和占用网络带宽，还导致系统自动重起。因此在蠕虫爆发期间Windows自动重起现象大量出现，所以只要计算机连接因特网，在数分钟内就会收到错误攻击包，导致Windows自动重起。与网络断开，则不会出现这种现象。4网络蠕虫的防范措施研究 当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先产生报警，通知管理员，并通过防火墙、路由器将感染了蠕虫的主机隔离；然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补。防治蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。1) 利用防火墙防范：通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。同时如果发现外网的蠕虫对内网进行扫描和攻击，也可以和防火墙进行互动，防止外网的蠕虫传染内网的主机。2) 交换机防范内网传播：交换机通过SNMP协议进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机在内网的大肆传播，同