至顶网›安全频道 ›防止网络蠕虫病毒的技巧和策略

防止网络蠕虫病毒的技巧和策略

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

每一次蠕虫的爆发都会给社会带来巨大的损失。2001 年9 月18 日，Nimda 蠕虫被发现，对Nimda 造成的损失评估数据从5 亿美元攀升到26 亿美元后，继续攀升，到现在已无法估计。目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如冲击波、振荡波等）出现。对蠕虫进行深入研究，并提出一种行之有效的解决方案，为企业和政府提供一个安全的网络环境成为我们急待解决的问题。

来源：论坛整理 2008年8月28日

关键字：安全防范病毒查杀蠕虫

　　什么是蠕虫

　　 Internet 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

　　蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。

　　蠕虫的行为特征包括：

　　·自我繁殖：

　　·利用软件漏洞：

　　·造成网络拥塞：

　　·消耗系统资源：

　　·留下安全隐患：

　　蠕虫的工作方式归纳如下：随机产生一个IP 地址；判断对应此IP 地址的机器是否可被感染；如果可被感染，则感染之；重复1～3 共m 次，m 为蠕虫产生的繁殖副本数量。

　　如何检测蠕虫

　　由以上的分析可知，尽早地发现蠕虫并对感染蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥、造成重大损失的关键。

　　目前国内并没有专门的蠕虫检测和防御系统，传统的主机防病毒系统并不能对未知的蠕虫进行检测，只能被动地对已发现的特征的蠕虫进行检测。而且目前市场上的入侵检测产品，对蠕虫的检测也多半是基于特征，所以我们利用ids提供的异常检测功能，通过发现网络中的异常，来对蠕虫的传染进行控制。虽然有些事后诸葛的嫌疑，但只要发现及时，还是能大大减少蠕虫造成的损失。

　　在对未知蠕虫的检测方面，入侵检测在对流量异常的统计分析和对tcp连接异常的分析基础上，又使用了对ICMP数据异常分析的方法，可以更全面地检测网络中的未知蠕虫。这种网络蠕虫的检测技术是Bob Gray，具体实现过程是：当一台主机向一个不存在的主机发起连接时，中间的路由器会产生一个ICMP-T3（目标不可达）包返回给蠕虫主机。

　　这种方法可以检测出具有高速、大规模传染模型的网络蠕虫。（很难检测针对某个网络传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫，可以认为对整个网络来说，它们的危害比较小）。

　全方位的蠕虫防治策略

　　当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先产生报警，通知管理员，并通过防火墙、路由器、或者HIDS的互动将感染了蠕虫的主机隔离；然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。

　　对于感染了蠕虫的主机时，其防治策略是这样的：

　　1.与防火墙互动：通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染。

　　2.交换机联动：通过SNMP协议进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网的其他主机的通讯，防止感染主机在内网的大肆传播。

　　3.通知HIDS（基于主机的入侵监测）：装有HIDS的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏。

随着互联网和电子商务应用的不断普及，网络安全日益成为大家关注的问题，导致防火墙等安全设备应运而生，防火墙的应用成为用户实现网络安全的一个基本手段。防火墙本身的主要功能除了对网络访问进行有效控制以外，还有一个很重要的功能就是对网络上的访问进行记录和审计，防火墙日志审计服务器就是完成这一功能的主要工具。
　　
　　虽然目前所有厂商的防火墙都提供日志功能，但各厂商对于防火墙日志的记录和管理策略却各各不同。有的厂商采用防火墙内置硬盘作为防火墙的整体存储介质，其目的就是利用硬盘这一较为廉价的存储介质来放置相对较为庞大的防火墙日志；而另一些厂商则使用电子盘存贮防火墙的核心系统和临时日志，同时，通过架设一台远程的防火墙日志审计服务器来实现对防火墙日志的存放和审计。
　　
　　防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况，并衡量防火墙性能和作用的重要手段。令人遗憾的是许多用户在选择防火墙产品的时候，往往会忽略防火墙的日志审计这一环节。
　　
　　那么用户在选择防火墙日志审计服务的时候，应该选择哪种模式呢？下面我们从常见黑客入侵方法来帮助用户作一个整体的分析。
　　
　　作为一个黑客，他入侵一个网络系统的目的是要攻击网络系统内部的关键主机，如果一个网络系统有防火墙这样的安全设备负责网络通信的监控，那么黑客首先要做的事情是利用网络的安全缺陷攻击或避绕防火墙，然后进行关键主机攻击。而无论黑客采用什么样的手段，他在被攻击网络系统内的通信行为是物理存在的，所以黑客在完成攻击后，最后做的工作就是将防火墙上记录的通信日志进行破坏或删改。如果将所有的防火墙日志存储在防火墙本地，这样，黑客就有机会完全破坏通讯日志，以降低后续被跟踪的可能性。
　　
　　那么怎样才能最大程度地保护防火墙的日志，以做为被攻击后的审计资料呢？最好的办法就是使用远程的日志审计服务器来存储防火墙的监控日志，因为远程日志审计服务器的位置对于黑客来说是不透明的，在防火墙上有大量的设置地址，黑客在短时间内是无法从防火墙上分析出日志服务器的网络位置，黑客在完成网络攻击后，为了在最短时间内离开被攻击的网络，基本上会删除被攻击主机的日志和攻击路径上网络设备的日志，根本没有时间分析和查找防火墙远程日志服务器的位置和攻击修改远程日志服务器上的防火墙日志，这样，防火墙的远程日志服务器就有效地记录了黑客的攻击行为，可以为日后跟踪和找到发动攻击行为的黑客提供有力的数据。从上面的分析不难看出，防火墙的远程日志审计服务器对于用户网络的安全同样是十分重要的。另外，用户在选择防火墙产品的时候，关注厂商在日志服务器上面所作的工作（防火墙日志服务器的功能）是十分重要的。如果某一防火墙产品只使用本地硬盘作为日志存储器，那么对于用户的网络安全性的保护将是不全面的。所以，即便用户选择使用本地硬盘存储日志的防火墙产品，也要选择同时提供远程日志服务器的防火墙产品，以便安装远程的日志服务器来对防火墙的监控日志进行备份。
　　
　　另外，防火墙是网络设备，为了不影响其性能，故防火墙本地的日志查询都做得比较简单，处理的数据量也不是很大，而使用单独的日志服务器，日志查询和审计的功能就可以做得非常强大和细致，处理的数据量也大。
　　
　　联想网御2000防火墙为用户提供了基于Windows平台的功能强大的远程日志服务器，日志类型全面，审计内容丰富。该日志审计服务器可以辅助管理人员监控网络应用的各种情况，并提供多种辅助功能，包括管理员分级、日志信息导入导出、面向对象的安全策略执行状况审计以及日志数据库管理等功能，还有在磁盘空间耗尽时的行之有效的处理策略。网络管理员可以根据日志审计服务器提供的日志信息实时地监控网络的运行状况并处理异常情况，能够以强大的日志审计服务功能确保防火墙安全策略的准确执行和适时调整。

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

防止网络蠕虫病毒的技巧和策略

业界热点: