蠕虫病毒原理ppt课件.ppt

蠕虫病毒原理ppt课件.ppt

ID:50533483

大小:3.47 MB

页数:27页

时间:2020-03-14

蠕虫病毒原理ppt课件.ppt_第1页
蠕虫病毒原理ppt课件.ppt_第2页
蠕虫病毒原理ppt课件.ppt_第3页
蠕虫病毒原理ppt课件.ppt_第4页
蠕虫病毒原理ppt课件.ppt_第5页
资源描述:

《蠕虫病毒原理ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、蠕虫病毒原理1蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策2蠕虫与漏洞网络蠕虫最大特点是利用

2、各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同,又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol,多用途的网际邮件扩充协议)漏洞MIME描述漏洞3蠕虫与漏洞网页蠕虫(木马)主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫,这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它,完成蠕虫

3、传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃,属于最不受欢迎的一类蠕虫4蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”5蠕虫的工作方式与扫描策略蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描没有优化的扫描程序可能

4、会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制,只进行几次扫描把扫描分散在不同的时间段进行6蠕虫的工作方式与扫描策略蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan)7从传播模式进行安全防御对蠕虫在网络中产生的异常,有多

5、种的的方法可以对未知的蠕虫进行检测,比较通用的方法是对流量异常的统计分析,主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。8从传播模式进行安全防御在蠕虫的扫描阶段,蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描,探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址,从而在一段时间里,蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计,在蠕虫的扫描阶段将其发现,然后对蠕虫主机进行隔离,对蠕虫其进行分析,进而采取防御措施。将ICMP不可达数据包进行收集、解

6、析,并根据源和目的地址进行分类,如果一个IP在一定时间(T)内对超过一定数量(N)的其它主机的同一端口(P)进行了扫描,则产生一个发现蠕虫的报警(同时还会产生其它的一些报警)。9用Sniffer进行蠕虫检测一般进行流量分析时,首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能,将所有计算机按照发出数据包的包数多少进行排序10发包数量前列的IP地址为22.163.0.9的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个;这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的

7、协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的11同样,我们可以发现,如下IP地址存在同样的问题12首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤13蠕虫病毒流量分析14发出的数据包的内容151617一、两种检测粒度的比较在早期的snort在其virus.rules中,用了多达24条规则来检测名为NewApt的蠕虫,占了全部VX规则的28%。18粗糙的文件名检测法content:"filename="THEOBBQ.EXE"";content:"filename="COOLE

8、R3.EXE"";content:"filename="PARTY.EXE"";content:"filename="HOG.EXE"";content:"filename="GOAL1.EXE"";content:"filename

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。