網(wǎng)絡(luò)蠕蟲的掃描方法分析

【摘要】對網(wǎng)絡(luò)上計算機系統(tǒng)的掃描是網(wǎng)絡(luò)蠕蟲傳播的第一步，網(wǎng)絡(luò)蠕蟲掃描算法是研究蠕蟲傳播特性的一個基礎(chǔ)環(huán)節(jié)。通過對常見的網(wǎng)絡(luò)蠕蟲掃描算法的研究，將其進行了分類，并對每一種掃描方法的基本原理及特點進行了分析。

【關(guān)鍵詞】網(wǎng)絡(luò)蠕蟲;掃描;傳播

隨著網(wǎng)絡(luò)的普及化程度越來越高，網(wǎng)絡(luò)安全問題也受到了廣泛的關(guān)注。網(wǎng)絡(luò)蠕蟲是影響網(wǎng)絡(luò)安全的一個重要因素，掃描主機漏洞是蠕蟲傳播的前提，影響蠕蟲傳播的主要因素是如何能快速找到新的目標(biāo)主機，所以掃描方法的性能直接決定著蠕蟲傳播的速度。假設(shè)計算機系統(tǒng)在整個地址空間均勻分布，按照蠕蟲對目標(biāo)地址空間的選擇方式進行分類，網(wǎng)絡(luò)蠕蟲的掃描算法可以分為隨機掃描法、基于目標(biāo)列表的掃描法、路由掃描法、分而治之掃描法以及被動掃描法等。

1.隨機掃描法

隨機掃描法是指網(wǎng)絡(luò)蠕蟲在尋找攻擊目標(biāo)時事先不知道網(wǎng)絡(luò)上哪些計算機系統(tǒng)有漏洞，隨機地在網(wǎng)絡(luò)上選擇計算機進行掃描并尋找漏洞。CodeRed蠕蟲[1]和Slammer蠕蟲[2]都是采用隨機掃描的方法，一般情況下，隨機掃描由于掃描地址空間大，傳播速度較慢。

2.基于目標(biāo)列表的掃描法

基于目標(biāo)列表的掃描法是指網(wǎng)絡(luò)蠕蟲在傳播之前事先將網(wǎng)絡(luò)上存在漏洞的計算機系統(tǒng)搜索出來組成目標(biāo)列表，在傳播時先將網(wǎng)絡(luò)蠕蟲傳播至目標(biāo)列表中的計算機系統(tǒng)，然后目標(biāo)列表中的計算機再利用隨機掃描法掃描網(wǎng)絡(luò)上的其他計算機。由于已經(jīng)有了傳播目標(biāo)列表，采用該掃描方法要比采用隨機掃描的蠕蟲傳播的速度快得多。Staniford等人在文獻[3]中介紹了一種基于目標(biāo)列表的掃描算法，理想化蠕蟲 Falsh[4]就是一種基于 IPV4 地址空間列表的快速掃描蠕蟲。

3.路由掃描法

Zou等人在文獻[5]中介紹了一種“路由蠕蟲”，它采用BGP路由表中的地址來減小要掃描的地址空間。若采用路由掃描法，其探測地址空間將比隨機掃描減小，會極大地提高蠕蟲的傳播速度。路由掃描法的不足是網(wǎng)絡(luò)蠕蟲傳播時必須攜帶一個路由IP地址庫，從而導(dǎo)致蠕蟲代碼量大。

4.分而治之掃描法

所謂分而治之掃描法是指在釋放網(wǎng)絡(luò)蠕蟲之前，首先收集部分存在漏洞且網(wǎng)絡(luò)連接良好的計算機系統(tǒng)構(gòu)成目標(biāo)列表，在將蠕蟲傳播給列表中的部分主機后，蠕蟲給每個受害主機發(fā)送目標(biāo)列表的一部分，然后每臺受害主機再按照子目標(biāo)列表進行掃描。

該掃描法通過逐漸分解地址列表，可以使得掃描造成的流量越來越小，更不容易檢測。文獻[3]中提出了一種對目標(biāo)列表進行分而治之掃描的策略。

5.被動式掃描法

被動式掃描法是指蠕蟲并不進行主動掃描，而是等待潛在的易感染主機來主動接觸它們，或者依賴已感染主機的活動去發(fā)現(xiàn)新的攻擊目標(biāo)。采用該掃描方法的蠕蟲需要用戶觸發(fā)，傳播速度很慢，但具有更強的隱蔽性。文獻[6]中的CRClean蠕蟲采用的就是被動式掃描法，當(dāng)它探測到一個主機企圖接觸被感染主機時，就發(fā)起一個反攻來回應(yīng)，如果反攻成功，就會將自己安裝到相應(yīng)主機上。

6.結(jié)束語

本文對網(wǎng)絡(luò)蠕蟲的幾種掃描方法做了簡單的介紹，其中路由掃描法的傳播速度最快，基于目標(biāo)列表的掃描法在網(wǎng)絡(luò)蠕蟲的初始階段傳播速度較快，被動式掃描算法性能最差，速度最慢。網(wǎng)絡(luò)蠕蟲掃描算法是研究蠕蟲傳播特性研究的基礎(chǔ)環(huán)節(jié)，可為有效抑制網(wǎng)絡(luò)蠕蟲打下堅實的基礎(chǔ)。

參考文獻

[1]David Moore，Code-Red：A case study on the spread and victims of an Internet worm[C].Proc.of the 2nd ACM SIGCOMM Workshop on Internet Measurement， Marseille，2002.

[2]Moore D，Paxson V，Savage S，et al.Inside the slammer worm[J].IEEE Magazine of Security and Privacy，2003， 1（4）：33-39.

[3]Staniford S，Paxson V，Weaver N.How to Own the Internet in Your Spare Time[C].Proc.of the 11th Usenix Security Symposium，San Francisco，2002.

[4]Moore D，Shannon C，Voelker G，et al.Internet quarantine：requirements for containing self-propagating code[C].Proc.of the 2003 IEEE Infocom Conf.San Francisco，2003.

[5]Zou C C，Towsley D，et al.RoutingWorm：A Fast，Selective Attack Worm Based on IP Address Information[R].University Massachusetts Technical Report TRCSE203206， 2003.

[6]Kern M.Codegreen beta release，2001http：//online.securityfocus.com/archive/82/2114b2.

作者簡介：張宏琳（1982—），女，陜西咸陽人，碩士，工程師，現(xiàn)供職于中國人民銀行西安分行營管部，主要研究方向：信息系統(tǒng)安全。