自1988年出現(xiàn)第一個蠕蟲病毒以來,計(jì)算機(jī)蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。特別是網(wǎng)絡(luò)的迅速發(fā)展令蠕蟲造成的危害日益嚴(yán)重,造成一個談毒色變的的網(wǎng)絡(luò)世界。
不同于一般的病毒,蠕蟲病毒以計(jì)算機(jī)為載體,復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播,蠕蟲病毒的傳染目標(biāo)是網(wǎng)絡(luò)上所有計(jì)算機(jī)--局域網(wǎng)條件下的共享文件夾、電子郵件E-mail、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。
首先,掃描:由蠕蟲的掃描功能模塊負(fù)責(zé)探測存在漏洞的主機(jī)。隨機(jī)選取某一段IP地址,然后對這一地址段上的主機(jī)掃描。笨點(diǎn)的掃描程序可能會不斷重復(fù)上面這一過程。這樣,隨著蠕蟲的傳播,新感染的主機(jī)也開始進(jìn)行這種掃描,這些掃描程序不知道哪些地址已經(jīng)被掃描過,它只是簡單的隨機(jī)掃描互聯(lián)網(wǎng)。于是蠕蟲傳播的越廣,網(wǎng)絡(luò)上的掃描包就越多。即使掃描程序發(fā)出的探測包很小,積少成多,大量蠕蟲程序的掃描引起的網(wǎng)絡(luò)擁塞就非常嚴(yán)重了。
其次,攻擊:當(dāng)蠕蟲掃描到網(wǎng)絡(luò)中存在的主機(jī)后,就開始利用自身的破壞功能獲取主機(jī)的管理員權(quán)限。 最后,利用原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動。由此可見,蠕蟲的危害有兩個方面:
一、蠕蟲大量而快速的復(fù)制使得網(wǎng)絡(luò)上的掃描包迅速增多,造成網(wǎng)絡(luò)擁塞,占用大量帶寬,從而使得網(wǎng)絡(luò)癱瘓。
二、網(wǎng)絡(luò)上存在漏洞的主機(jī)被掃描到以后,會被迅速感染,使得管理員權(quán)限被竊取。方便黑客的攻擊。
魔高一尺,道高一丈,隨著蠕蟲的快速演變,解毒的的高手也不斷涌現(xiàn)。艾泰科技寬帶安全網(wǎng)關(guān)系列就采用了“檢測--屏避”的簡單防毒方法。
首先,檢測:這一步驟需要手工來操作。由于網(wǎng)絡(luò)中的蠕蟲病毒不斷向外界計(jì)算機(jī)發(fā)出掃描包,這些掃描包是有顯而易見的特點(diǎn)的。例如,被感染的計(jì)算機(jī)中的蠕蟲病毒會向網(wǎng)絡(luò)中的某段IP地址發(fā)送掃描包。由于網(wǎng)絡(luò)所來往發(fā)送接收的包都要經(jīng)過路由器,而通過路由器的WEB管理界面就可以輕松看到。所以,蠕蟲病毒攻擊的特點(diǎn)反映在上網(wǎng)監(jiān)控頁面上就是:感染的主機(jī)發(fā)出大量的NAT會話,會話中只有上傳包,下載包很小或者為零。如果存在這樣的主機(jī),說明該主機(jī)已經(jīng)被蠕蟲病毒感染。
這種情況下,就要進(jìn)入第二步,對網(wǎng)絡(luò)中的主機(jī)實(shí)施屏蔽。屏蔽的方法是:利用路由器的管理功能建立相應(yīng)的策略,關(guān)閉病毒向外發(fā)包的端口。采取殺毒措施或者安裝相應(yīng)的補(bǔ)丁程序。這樣,就可以輕松消滅蠕蟲病毒。
