网络攻防原理 作者 吴礼发9-12 第11讲-蠕虫攻击技术.pptVIP

第十一讲 蠕虫攻击技术 吴礼发，洪征，李华波 （wulifa@ ） 内容提纲 蠕虫的定义（1/2） 《简明牛津英语辞典》对于蠕虫的解释：“蠕虫，名词，能够在网络上繁殖的自我复制程序，通常是有害的”。 1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“worm is a program that can run by itself and can propagate a fully working version of itself to other machines”。 蠕虫的定义（2/2） 网络蠕虫较为精确的定义：网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。 蠕虫、病毒之间的区别 历史上的蠕虫事件（1/7） 1980年，Xerox PARC 的研究人员编写了最早的蠕虫，用来尝试进行分布式计算（Distributed Computation）。 整个程序由几个段（Segment）组成，这些段分布在网络中的不同计算机上，它们能够判断出计算机是否空闲，并向处于空闲状态的计算机复制。 研究人员编写该蠕虫的目的是为了辅助科学实验。 历史上的蠕虫事件（2/7） 1988年11月2日，Morris 蠕虫发作，一夜之间造成与该网络系统连接的6000多台计算机停机，其中包括美国国家航空和航天局、军事基地和主要大学，直接经济损失达9200多万美元。 Morris蠕虫通过fingerd、sendmail、rexec/rsh三种系统服务中存在漏洞进行传播。 1990年，Morris蠕虫的编写者Robert T. Morris被判有罪并处以3年缓刑、1万美元罚金和400小时的社区义务劳动。 历史上的蠕虫事件（3/7） 1989年10月16日，WANK蠕虫被报告，它表现出来强烈的政治意味，自称是抗议核刽子手的蠕虫（worms against the nuclear killers）。 蠕虫将被攻击的DEC VMS计算机的提示信息改为“表面上高喊和平，背地里却准备战争”（You talk of times of peace for all, and then prepare for war.）。 WANK蠕虫是通过系统弱口令漏洞进行传播的。 历史上的蠕虫事件（4/7） 2001年1月，Ramen蠕虫在Linux系统下发现，它的名字取自一种面条。 它在15分钟内可以扫描13万个地址。 早期的版本只修改被入侵计算机Web服务下的index.html文件，在利用系统漏洞入侵后会为系统修补好漏洞。 后期的版本中被加入了隐藏其踪迹的工具包（Rootkit），并在系统中留下后门。 历史上的蠕虫事件（5/7） 2001年3月23日，Lion（1i0n）蠕虫被发现；它是中国的一名黑客写出来的。根据lion蠕虫编写者的自述，他是四年制的中专生，2000年3月才第一次上网。 Lion蠕虫集成了多个网上常见的黑客工具如扫描工具Pscan、后门工具t0rn、DDoS工具TFN2K等等，并把被攻击的主机上重要信息如口令文件等发往li0nsniffer@。 Lion代码中有明显的抄袭Ramen蠕虫的痕迹。 历史上的蠕虫事件（6/7） 2001年7月19日，CodeRed蠕虫爆发，在爆发后的9小时内就攻击了25万台计算机。随后几个月内产生了威力更强的几个变种，其中CodeRed II造成的损失估计12亿美元。 由于2001年4月1日的中美撞机事件导致了所谓中美黑客大战，而CodeRed蠕虫产生的时间刚好是黑客大战的尾声，并且被攻击的计算机的网页上留下了“Hacked by Chinese!”字样，所以有计算机专家推断Code Red为中国黑客编写。 历史上的蠕虫事件（7/7） 2001年9月18日，Nimda蠕虫被发现，Nimda结合了病毒技术。 Nimda蠕虫通过五种方式进行传播 电子邮件 网络邻近共享文件 IE浏览器的内嵌MIME类型自动执行（Automatic Execution of Embedded MIME Types）漏洞 IIS服务器文件目录遍历（directory traversal）的漏洞 CodeRed II蠕虫留下的后门 其中前三种传播方式是病毒常用的传播方式。 蠕虫的基本工作流程 蠕虫的传播 蠕虫的爆发周期越来越短 漏洞公布和蠕虫爆发的间隔越来越短 功能结构模型 基本功能模块 有哪些信誉好的足球投注网站模块：该模块负责寻找新的攻击目标。 攻击模块：该模块利用安全漏洞，进行攻击，获取权限。 信息搜集模块：该模块决定如何对本地或者目标