防治網絡蠕蟲病毒的技巧及其策略

　　每一次蠕蟲的爆發都會給社會帶來巨大的損失。2001 年9 月18 日，Nimda 蠕蟲被發現，對Nimda 造成的損失評估數據從5 億美元攀升到26 億美元後，繼續攀升，到現在已無法估計。目前蠕蟲爆發的頻率越來越快，尤其是近兩年來，越來越多的蠕蟲（如沖擊波、振蕩波等）出現。對蠕蟲進行深入研究，並提出一種行之有效的解決方案，為企業和政府提供一個安全的網絡環境成為我們急待解決的問題。

　　什麼是蠕蟲

　　Internet 蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。

　　蠕蟲與病毒的最大不同在於它不需要人為干預，且能夠自主不斷地復制和傳播。蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段。蠕蟲程序掃描到有漏洞的計算機系統後，將蠕蟲主體遷移到目標主機。然後，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。現場處理部分的工作包括：隱藏、信息搜集等。不同的蠕蟲采取的IP生成策略可能並不相同，甚至隨機生成。各個步驟的繁簡程度也不同，有的十分復雜，有的則非常簡單。

　　蠕蟲的行為特征包括：

　　·自我繁殖：

　　·利用軟件漏洞：

　　·造成網絡擁塞：

　　·消耗系統資源：

　　·留下安全隱患：

　　蠕蟲的工作方式歸納如下：隨機產生一個IP 地址；判斷對應此IP 地址的機器是否可被感染；如果可被感染，則感染之；重復1～3 共m 次，m 為蠕蟲產生的繁殖副本數量。

　　如何檢測蠕蟲

　　由以上的分析可知，盡早地發現蠕蟲並對感染蠕蟲的主機進行隔離和恢復，是防止蠕蟲泛濫、造成重大損失的關鍵。

　　目前國內並沒有專門的蠕蟲檢測和防御系統，傳統的主機防病毒系統並不能對未知的蠕蟲進行檢測，只能被動地對已發現的特征的蠕蟲進行檢測。而且目前市場上的入侵檢測產品，對蠕蟲的檢測也多半是基於特征，所以我們利用ids提供的異常檢測功能，通過發現網絡中的異常，來對蠕蟲的傳染進行控制。雖然有些事後諸葛的嫌疑，但只要發現及時，還是能大大減少蠕蟲造成的損失。

　　在對未知蠕蟲的檢測方面，入侵檢測在對流量異常的統計分析和對tcp連接異常的分析基礎上，又使用了對ICMP數據異常分析的方法，可以更全面地檢測網絡中的未知蠕蟲。這種網絡蠕蟲的檢測技術是Bob Gray，具體實現過程是：當一台主機向一個不存在的主機發起連接時，中間的路由器會產生一個ICMP-T3（目標不可達）包返回給蠕蟲主機。

　　這種方法可以檢測出具有高速、大規模傳染模型的網絡蠕蟲。（很難檢測針對某個網絡傳播的特定的蠕蟲和慢速傳播的蠕蟲。這兩種蠕蟲，可以認為對整個網絡來說，它們的危害比較小）。

　　全方位的蠕蟲防治策略

　　當蠕蟲被發現時，要在盡量短的時間內對其進行響應。首先產生報警，通知管理員，並通過防火牆、路由器、或者HIDS的互動將感染了蠕蟲的主機隔離；然後對蠕蟲進行分析，進一步制定檢測策略，盡早對整個系統存在的不安全隱患進行修補，防止蠕蟲再次傳染，並對感染了蠕蟲的主機進行蠕蟲的刪除工作。

　　對於感染了蠕蟲的主機時，其防治策略是這樣的：

　　1.與防火牆互動：通過控制防火牆的策略，對感染主機的對外訪問數據進行控制，防止蠕蟲對外網的主機進行感染。

　　2.交換機聯動：通過SNMP協議進行聯動，當發現內網主機被蠕蟲感染時，可以切斷感染主機同內網的其他主機的通訊，防止感染主機在內網的大肆傳播。

　　3.通知HIDS（基於主機的入侵監測）：裝有HIDS的服務器接收到監測系統傳來的信息，可以對可疑主機的訪問進行阻斷，這樣可以阻止受感染的主機訪問服務器，使服務器上的重要資源免受損壞。

　　4.報警：產生報警，通知網絡管理員，對蠕蟲進行分析後，可以通過配置Scaner來對網絡進行漏洞掃描，通知存在漏洞的主機到Patch服務器下載補丁進行漏洞修復，防治蠕蟲進一步傳播。