浅析网络蠕虫及防范措施

2024年3月7日发(作者：)

浅析网络蠕虫及防范措施

一、网络蠕虫定义及特征

（一）网络蠕虫的定义

网络蠕虫通过网络传播，是一种无须计算机使用者干预即可运行的独立程序。它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。网络蠕虫与普通计算机病毒不同，它不需要人为干预，不利用文件寄生，而且能够自主不断地复制和传播，对网络造成拒绝服务。

传播形式

存在形式

复制机制

传染机制

触发传染

攻击目标

破坏重点

搜索机制

防御措施

计算机使用者的角色

对抗主体

蠕虫

主动自己传播

独立存在

自身拷贝

系统或者软件漏洞

程序自身

网络上其他计算机

主机自身性能和网络性能

网络IP扫描

为系统或者软件打补丁

无关

计算机使用者，反病毒厂商

普通病毒

通过U盘或者受感染的文件

寄生于某个宿主文件中

插入到宿主程序中

宿主程序的运行

计算机使用者

本地文件

本地文件系统

本地文件系统扫描

从受感染的文件中清除

病毒传播的关键环节

系统软件，服务软件提供商，网络管理员

表格：蠕虫和普通病毒的区别

（二）网络蠕虫的特征

1、主动传播

蠕虫在整一个传播过程中，从搜索漏洞，到利用搜索结果攻击系统，再到复制副本到目标主机，整个过程由蠕虫程序自身主动完成。

2、传播迅速

蠕虫的扫描机制决定了蠕虫传播的迅速，一般情况下，蠕虫会打开几十个甚至上百个线程用来同时对外扫描，而且扫描的间隔时间非常短。再加上蠕虫爆发时用户尚还未对漏洞打补丁，使蠕虫可以在很短的时间内占领整个互联网。

3、利用漏洞

计算机系统存在漏洞是蠕虫传播一个必不可少的条件。早期的蠕虫是科学家用来进行分布式计算的，他们的传播对象是经过许可的计算机。蠕虫要想不经过允许而进行传播，只有利用搜索到的漏洞进行攻击，提升权限。

4、网络拥塞

从蠕虫的传播过程可以看出，在蠕虫的传播过程中，首先要进行扫描，找到存在漏洞的计算机，这是一个大面积的搜索过程，这些都无疑会带来大量的数据流。特别是蠕虫传播开以后，成千上万台机器在不断地扫描，这是很大的网络开销。

5、反复感染

蠕虫是利用计算机系统的漏洞进行传播，如果只是清除了蠕虫在文件系统中留下的痕迹，像清除病毒一样单单地清除蠕虫本身，而没有及时修补系统的漏洞，计算机在重新联网后还有可能会感染这种蠕虫。

6、留下安全隐患

大部分的蠕虫会搜集，扩散，暴露系统的敏感信息（如用户信息），并在系统中留下后门。这些都会 导致未来的安全隐患。

二、网络蠕虫攻击原理及案例分析

(一)网络蠕虫的工作流程

网络蠕虫的工作流程一般来说可以分为5个步骤：

①搜集信息

②探测目标主机

③攻击目标系统

④自我复制

⑤后续处理

⑥被感染后的主机又会重复上述步骤来攻击网络上其他的主机。

（二）网络蠕虫运行技术案例

2003 年 2 月爆发的 SQL 杀手蠕虫病毒是利用 Microsoft SQL Server 2000 缓冲区溢出漏洞进行传播，对未安装 MS SQL Server2000 SP3 的系统进行攻击并获得控制权。导致蠕虫的讯速传播并且形成整个互联网范围内的拒绝服务攻击, 网络带宽大量被占用。 所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。

SQL 杀手的运行过程为：该病毒入侵未受保护的机器后，取得三个 Win32 API 地址，

GetTickCount、socket、sendto，接着病毒使用GetTickCount 获得一个随机数，进入一个死循环继续传播。 在该循环中蠕虫使用获得的随机数生成一个随机的 ip 地址，随后创建一个 UDP

socket，将自身代码发送到目的被攻击机器的 1434 端口，随后进入一个无限循环中，重复上述产生随机数计算 ip 地址，发动攻击一系列动作。

“SQL 杀手”病毒直接危害是导致网络流量堵塞，服务器宕机。都利用“缓存区溢出”这一技术对存在漏洞的机器进行攻击，病毒传播路径都是内存到内存，不向硬盘上写任何文件，不对系统数据造成任何破坏，也不破坏硬件设备。 都是利用微软软件或系统中的漏洞，通过已知的开放的端口，使用广播数据包方式进行自身的传播和复制。可以随机计算出大量的 IP 地址，对他们发起 DoS

攻击，使得被攻击的电脑网速特别慢，最终由于网络流量负载严重而宕机。

三、应对网络蠕虫攻击的措施和警报

对于蠕虫的防范措施和报警系统应该放在以下两点：

一是能够在第一时间发现蠕虫；

二是在最短的时间内对蠕虫的传播能够进行控制。

（一）对于未知蠕虫进行检测

对蠕虫在网络中产生的异常，有多种方法可以对未知蠕虫进行检测，比较通用的方法是对流量异常的统计分析，对TCP连接异常的分析，理论依据是：正常主机对外访问是有限的，因此很少会出现连接失败；蠕虫确定攻击目标是随机的，因而很容易出现连接失败现象。 另外在上述两种分析的基础上，在路由建立一个监测模块，对产生的数据进行分析。 这样可以更全面的检测网络中的未知蠕虫。

当蠕虫病毒在网络上扫描具有漏洞的目标机时，会存在许多空的不可达的 IP 地址，从而在一段时间内，蠕虫主机会接收到大量的来自不同路由器的数据包。 通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机隔离，对蠕虫其进行分析，进而采取防御措施。

（二）网络蠕虫防范策略

1、利用防火墙防范：通过控制防火墙策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。 同时如果发现外网的蠕虫对内网进行扫描和攻击，也可以和防火墙互动，防止外网的蠕虫传染内网的主机。

2、交换机防范内网传播：交换机通过 SNMP 协议进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机在内网的大肆传播，同时可以控制因为蠕虫发作而产生的大量的网络流量。 同时为了适应用户的网络环境，最好还能提供 Telnet 配置网

络设备的接口，这样可以和网络任何支持 Telnet 管理的网络设备进行联动。

3、就是分析蠕虫病毒对其进行查杀并对响应的漏洞进行补丁的安装。 防止蠕虫进一步感染其他网络上的计算机。

三、提高个人网络安全意识

1、加强法律监管。目前我国互联网的相关的法律法规还比较欠缺，相关部门要根据网络体系结构以及网络安全的特点，尽快建立比较完善的网络应急体系，为破解网络安全难题提供法律方面的依据。

2、网络安全架构的建设。构建一个比较完善的网络安全架构，不仅从技术方面保障网络系统的安全性，还要加强对网络安全问题的监管，为用户创造一个良好的网络环境，尽可能预防网络安全事故的发生。

3、网民个人安全意识。现实生活中，很多网络完全事故的发生，都是因为网民自身安全意识过低，使得不法分子钻空子。广大网民一定要提高自己的网络安全意识，丰富自己的网络安全知识，避免掉入不法分子处心积虑设置的网络陷阱中。