（计算机应用技术专业论文）基于ssfnet的网络蠕虫仿真平台研究与实现.pdf

第1 页 兰州大学硕士学位论文共4 3 页 摘要 网络蠕虫传播特性的研究是现今网络安全研究领域的一个热点，如何对已知 的网络蠕虫和理论上的恶性蠕虫的传播特性进行研究是一个值得关注的研究课 题。在传统的小规模局域网络范围内进行的物理实验和理论计算，并依据传统经 验来研究其传播特性往往是不充分的；介于传统的物理实验和理论计算之间的网 络仿真技术，为网络蠕虫传播的特性研究提供一个更为可靠的实验手段。 本文首先对网络蠕虫的工作机制，红色代码、n i m d a 、w a r h o l 、f l a s h 等蠕虫 的传播策略，网络蠕虫仿真技术进行相关的分析，引入了网络蠕虫仿真的概念； 在对目前几种主流网络蠕虫传播模型研究的基础上，扩展了传统的k m 模型， 充分考虑各个网络间相互渗透传播的作用，使其更符合蠕虫在真实网络中的传播 特性。在s s f n e t 网络仿真平台基础上，设计并实现了网络蠕虫仿真平台。实验 结果表明，利用基于s s f n e t 的网络蠕虫仿真平台对c o d e r e d v 2 蠕虫与类f l a s h 蠕虫的传播情况进行仿真模拟实验，所得出的实验结果与官方数据的传播情况较 为一致。 关键字：网络蠕虫网络仿真蠕虫传播模型s s f n c t 第1 i 页 兰州大学硕士学位论文 共4 3 页 a b s t r a c t t h er e s e a r c ho fn e t w o r kw o r ms p r e a d i n gc h a r a c t e ri s ah o tp o i n ti nn e t w o r k s e c u r i t yf i e l d h o wt os t u d yt h ew o r m s p r e a d i n gc h a r a c t e ri sam a i n l yr e s e a r c ht o p i c i ti sn o ts u f f i c i e n tf o rs t u d y i n gw o r ms p r e a d i n gc h a r a c t e rb yt r a d i t i o n a lm e t h o d b e t w e e nas m a l l s c a l en e t w o r kf o rp h y s i c se x p e r i m e n ta n dt h e o r y c o m p u t i n g n e t w o r ks i m u l a t i o ni sat r a d i t i o n a lm e t h o db yu s i n gp h y s i c se x p e r i m e n ta n dt h e o r y c o m p u t i n g t h i sp a p e rf i r s td e s c r i b e st h er u n n i n gm e c h a n i s m ，t h es p r e a d i n gs t r a t e g yo f c o d er e d ，n i m d a , w a r h o la n df l a s h t h e nw ee x p l a i nn e t w o r kw o r n ls i m u l a t i o n t e c h n i q u ea n di t sc o n c e p t w ee x p e n dt h et r a d i t i o n a lk m m o d e lb a s e do ns t u d y i n g s o m ek i n d so fn e t w o r kw o i i ns p r e a d i n gm o d e l s i ti sf i tt os p r e a d i n gc h a r a c t e ri nt h e r e a ln e t w o r k b a s i n go ns s f n e tf r a m e w o r k ，w ed e s i g na n di m p l e m e n tan e t w o r k w o r ms i m u l a t i o np l a t f o r m t h ee x p e r i m e n tr e s u l t ss h o w st h a tu s i n gb a s e d o ns s f n e t n e t w o r kw o r ms i m u l a t i o np l a t f o r mt os i m u l a t ec o d er e dv 2a n dr e s e m b l ef l a s h w o r m s p r e a d i n g ，i t sc l o s e t ot h eo f f i c i a ls p r e a d i n gd a t a k e y w o r d ：n e t w o r kw o r m ；n e t w o r ks i m u l a t i o n ；w o r ms p r e a d i n gm o d e l i i 原创性声明 y 7 3 2 1 6 1 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立 进行研究所取得的成果。学位论文中凡引用他人已经发表或未发 表的成果、数据、观点等，均已明确注明出处。除文中已经注明 引用的内容外，不包含任何其他个人或集体已经发表或撰写过的科研 成果。对本文的研究成果做出重要贡献的个人和集体，均已在文中以 明确方式标明。 本声明的法律责任由本人承担。 论文作者签名：日期： 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产 权归属兰州大学。本人完全了解兰州大学有关保存、使用学位论 文的规定，同意学校保存或向国家有关部门或机构送交论文的纸 质版和电子版，允许论文被查阅和借阅；本人授权兰州大学可以 将本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用任何复制手段保存和汇编本学位论文。本人离校后发表、使 用学位论文或与该论文直接相关的学术论文或成果时，第一署名 单位仍然为兰州大学。 保密论文在解密后应遵守此规定。 论文作者签名：导师签名：臼期： 苎! 蔓 兰型查兰望主兰竺丝苎一 一羔兰! 型 1 1 研究背景 第一章前言 随着互联网的广泛普及应用，网络安全问题也突显重要。在诸多安全问题中 网络蠕虫所造成的危害占所有安全问题造成的危害的近一半，2 0 0 1 年c o d er e d 蠕虫的爆发造成世界近4 0 万主机瘫痪1 1 1 ；之后n i m d a 蠕虫的爆发所造成的经济 损失数以亿计 2 1 ；2 0 0 3 年在世界广泛爆发的冲击波造损害的p c 数目也远大于8 0 0 ) - i 3 1 。在美国，每年因为网络安全造成的经济损失要超过1 7 0 亿美元，对于我国 近年来网络蠕虫给我国经济的损失也有上百亿元人民币，所以，加强网络安全力 度对于我国的信息化建设、电子商务、电子政务、网络金融等行业的稳定发展有 着重要的意义。 网络带宽的不断提高，网络蠕虫对互连网络的破坏也随之增长：其主要表现 有蠕虫的传播速度更快，发生的频率更高，潜伏性更强，覆盖面更广；蠕虫的传 播和发展呈现多样化趋势f 4 】。世界相关的科研院所也开始对蠕虫的网络传播特征 进行研究。 1 2 网络蠕虫研究现状 在国内，目前对网络蠕虫的研究较少，多为防病毒软件开发公司在实际应用 中做的研究工作，例如：江民，金山，瑞星，趋势，n o r t o n 等等都在其网站上发 布自己对于最新蠕虫的查杀专题。对网络蠕虫的研究尚浅，有些院校发表过专门 针对某几种蠕虫传播的研究报告和相关论文，如：中国科学院研究生院信息安全 国家重点实验室的友晓栋和戴英侠曾就叭年3 月爆发的“狮子”蠕虫做了较全 面的分析和相关讨论【5 】。提出蠕虫是与应用软件b i n d ( 一种u n i x l i n u x 下用于 d n s 域名解析的应用软件) 系统漏洞息息相关的，与所感染的主机操作系统 ( l i n u x ) 内核并无关系；韶关大学的肖捷也在9 9 年就n o v e l l n e t w a r e 网络系统 中，防止蠕虫入侵做了一些研究工作。哈工大计算机安全国家重点实验室丁睿和 云晓春博士1 6 1 7 1 设计出主动式网络病毒防治模型。还有其他科研单位也发表了一 第2 页 兰州大学硕士学位论文 些关于特定蠕虫的介绍分析，但都局限于具体应用层次，并没有提出较为深刻的 蠕虫内部机理及结构。值得一提的是南开大学控制系的郑辉博士在文献【8 】中， 对网络蠕虫提出了一个完整的定义，对已经爆发的典型蠕虫进行行为分析，归纳 出统一的结构模型，即：基本功能模块，扩展功能模块。给出了敏感时刻蠕虫传 播模型的性质，并进行了蠕虫的仿真研究。但是由于他研究的领域是针对以i p 地址为节点的完全连接网络，并没有考虑网络结构的一般复杂性。不过在对蠕虫 的研究还是起到意义深远的作用的。 在国外，对网络蠕虫的研究很多，取得了大量的科研成果并发表大量相关的 论文。c l i f f c h a n g c h u nz o u ( p h d c a n d i d a t eo f u r t i v m a s s a c h u s e t t s ) g l l l o 】通过对红 色代码蠕虫的研究，讨论了s i r ( 易感一感染一免疫的传播模型) 的扩展研究。 n i c h o l a sw e a v e r 1 ( p h dc a n d i d a t eo f u c b e r k e l e y ) 给出了几种著名蠕虫，如红色 代码i ，红色代码i i ，n i m d a 病毒的快速传播策略，预测半小时内感染接个i n t e m e t 的蠕虫将要出现，后来出现的s l a m m e r 蠕虫证实了他的预言。他还对蠕虫的传 播策略进行了分类，如随机地址攻击，外部目标列表，生成目标列表，内部目标 列表，被动攻击等等。d a r t m o u t h 大学的安全技术研究协会的m i c h a e l l i l j e n s t a m ，d a v i dm n i c o l ，v i n c e n th b e r k ，r o b e r ts g r a y 1 2 1 共同研究，并模拟了针 对设计和验证蠕虫警报系统的实时网络蠕虫。他们的研究，都对蠕虫的网络传播 的深入研究起了积极推动作用，尤其是m i c h a e ll i l j e n s t a m 等人的仿真模拟，给 蠕虫传播与网络结构之间的关系建立提供了一个有效的方法。但是以上他们在网 络结构具体的相关性研究没有作进一步讨论。另外，他们的研究也都是集中在特 定的蠕虫研究分析上，也没有提出与网络结构相关的一般的功能性规律。 目前，蠕虫网络传播方面的研究存在以下方露的不足： ( 1 ) 目前蠕虫研究的热点集中在蠕虫自身传播机理上，只是从蠕虫自身的 角度来研究蠕虫的传播，而没有从作为蠕虫传播的媒介网络的角度来作为 研究对象讨论蠕虫的传播问题。 ( 2 ) 蠕虫与网络关系的研究刚刚起步，还处于知识的积累阶段。 ( 3 ) 目前对蠕虫的科学研究还存在一些局限：例如网络仿真模型的局限 网络本身地址空间的局限等等。 2 第3 页兰州大学硕+ 学位论文共4 3 页 1 3 本论文的研究内容和主要工作 本论文主要对当前网络蠕虫的传播策略，网络蠕虫的仿真技术进行研究；重 点研究了目前典型的几种网络蠕虫传播模型，并作比较分析。根据现有的技术手 段和己知的研究方法，将传统的k m 传播模型加以扩展，使其能较好的反映蠕虫 传播的真实特性。在网络仿真框架s s f n e t 的基础上，建立并实现了网络蠕虫仿 真平台。为了验证网络蠕虫仿真平台的有效性，我们搭建了实验环境并对2 种典 型蠕虫进行仿真实验。因此。本论文做了以下几方面的工作。 1 在研究网络蠕虫传播策略的基础上，分析比较了3 种典型的蠕虫传播模 型，建立了可用于网络蠕虫仿真平台的仿真数学模型。 2 设计并实现了一个网络蠕虫仿真平台，编写仿真程序。通过在仿真平台 进行仿真实验，可以模拟网络蠕虫在大规模网络爆发时的传播情况，进而研究我 们所关注的网络蠕虫传播特性。 3 在网络蠕虫仿真平台上对流行一时的c o d er e dv 2 蠕虫和具有理论f l a s h 蠕虫传播策略的类f l a s h 蠕虫进行仿真；对仿真实验数据加以统计分析，得出结 论并对实验结果进行理论验证。 1 4 文章的组织结构 本文主要围绕网络蠕虫的网络结构，研究在目前的仿真数学模型下，蠕虫传 播的主要情形， 第一章，前言。主要介绍论文的研究背景和目前在网络蠕虫方面的国内外研 究现状，以及本文的主要工作。 第二章，网络蠕虫。本章介绍有网络蠕虫的基本概念，蠕虫的分类及其传播 特点，并列举了几种典型的网络蠕虫，简要说明其具体传播特性，为下面的内容 作出铺垫。 第三章，网络蠕虫仿真技术。网络仿真是进行网络蠕虫研究的一个主要手段， 本章主要介绍网络仿真的概念，相关技术特点；研究并分析了当前主要的几种蠕 虫传播模型。根据仿真平台的设计需要，扩展了传统的k m 模型，以提高平台的 第4 页兰州大学硕士学位论文 共4 3 页 仿真效率。 第四章，网络蠕虫仿真平台的设计。本文使用网络仿真软件s s f n e t 及其w o r m 包建立了网络蠕虫仿真平台，并加入了扩展的i ( m 模型，以便有效的进行蠕虫传 播的研究。 第五章，网络蠕虫仿真平台的实验。在建立的仿真平台上，对c o d er e dv 2 蠕虫和类f l a s h 蠕虫进行仿真模拟，并分析仿真结果。 第六章，结论。对本文的工作进行总结，并对今后的工作进行展望。 釜! 蔓 兰型奎兰堡主兰竺笙皇主生! ! 生 2 1 网络蠕虫的概念 第二章网络蠕虫 蠕虫这个生物学名词在1 9 8 2 年由x e r o xp a r e 的j o h nf s h o c h 等人最早 引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机 移动到另一台计算机”和“可以自我复制”；最早设计出的蠕虫程序用于分布式 计算。 1 9 8 8 年m o r r i s 蠕虫爆发后“，e u g e n eh s p a f f o r d 为了区分蠕虫和病毒， 给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个 包含所有功能的版本传播到另外的计算机上”。 清华大学网络中心的郑辉博士，通过对蠕虫传播特点的研究，与传统病毒的 概念相对比，给出了网络蠕虫的完整定义：网络蠕虫是无须计算机使用者干预即 可运行的独立程序，他通过不停的获得网络中存在漏洞的计算机上部分或全部控 制权来进行传播。 2 2 网络蠕虫与病毒 近年来，业界习惯于把网络蠕虫与病毒统一定义，但实际上，网络蠕虫与 病毒在具体特点上是有区别的。如表1 所示： 表l 网络蠕虫与病毒的区别 病毒蠕虫 存在形式寄生独立个体 复制机制插入到宿主程序( 文件) 中自身的拷贝 传染机髑宿主程序运行系统存在漏洞( v u l n e r b b i l i t y ) 搜索机制( 传染目标)针对本地文件针对网络上的其它计算机 触发传染计算机使用者程序自身 影响熏点文件系统网络佳能、系统性能 计算机使用者角色病毒传播中的关键环节无关 防治措施从宿主文件中摘除为系统打补丁( p a t c h ) 对抗主体计算机使用者、反病毒厂商系统提供商、网络管理人员 第6 页兰州大学硕士学位论文 共4 3 页 由于网络蠕虫所针对的是有系统漏洞的主机，所以它的传播主要面向网络 上的主机，同时它的传播具有独立性和自发性。也就是说它的传播不受人为控制， 可以通过自身在适宜的环境下感染网络。而对于病毒来讲，它主要针对主机的文 件系统，通常是某种类型的文件：如e x e 文件，w o r d 文档，批处理文件等等。 传播时也与计算机的操作者有关，通过文件的拷贝进行传播。 2 3 网络蠕虫的特征 主动攻击，针对存在相关系统漏洞的主机进行攻击，并取得系统控制权。 行踪隐蔽，通常蠕虫在进行传播的过程中，利用后门技术，有时也进行报 文加密，因此不会被主机使用者发觉。 利用系统、网络应用服务漏洞。网络蠕虫传播主要就是利用操作系统的漏 洞，使用较多的是主机的溢出漏洞，可以取得主机系统的控制权，对主机进 行破坏。 造成网络拥塞，网络蠕虫在进行传播的时候，网络中会存在其传播过程的 特征包，当局域网络中多台主机受到感染，那么网络中的传播特征包的数量 就会成几何级数增长，因此对网络带宽的占用很大，造成网络拥塞。 降低系统性能，多数网络蠕虫在感染一台主机的时候，都会利用主机资源 产生多线程来感染更多的网络主机，而这个过程就需要利用主机的系统资源， 它将耗费大量的c p u 使用率和系统内存，使系统的性能降低。 产生安全隐患，当蠕虫感染了主机，如果它取得了主机的系统控制权，就 会按照蠕虫编写者的意愿执行非法操作。因系统管理员权限较大，所以所产 生的安全隐患也是很可怕的。 反复性，一台主机受蠕虫感染通常是反复的，如果蠕虫所针对的系统补丁 不能及时修补，那么主机会多次感染同一种蠕虫。另外，也可能这种反复感 染不一定是指一种蠕虫，可能是很多种蠕虫。因为系统的漏洞每天都会被发 现，而作为计算机使用者的用户本身不一定马上会对最近的系统漏洞进行更 新修补，因此主机的系统漏洞是时刻存在的，所谓的经常更新系统补丁的安 全也只是相对而言。毕竟系统的漏洞是无法预料的。 破坏性，蠕虫得到了主机的控制权之后，就, - i p a 破坏主机的系统。 6 第7 页 兰州大学硕上学位论文 共4 3 页 2 4 蠕虫的工作机制 蠕虫在网络上进行传播的过程中，通常要有以下四个过程：采集信息、主机 探测、攻击主机和自我繁殖“。 一台已经感染了蠕虫的主机要感染网络中的其他易感主机，首先要收集网络 中的主机信息，了解网络中的主机哪些是存在漏洞的主机，哪些不是。通常采用 试探相关系统漏洞服务的端口，与之进行通信连按的方式来进行探测，并将主机 的网络地址返回给感染主机；然后利用漏洞取得该主机的系统控制权，进而控制 感染该主机，再利用这台新感染的主机重新进行其他主机的感染传播，把蠕虫自 我繁殖到网络中。如图1 所示： 2 5 蠕虫的功能结构 图l 网络蠕虫的工作机制 蠕虫的功能结构通常分为2 个大部分：主体功能模块，附属功能模块。主 体功能模块通常集成有蠕虫传播的主要功能，如我们之前所描述的蠕虫工作机制 中的信息采集，探测扫描，渗透攻击和自我繁殖。而对于附属功能模块来讲，是 对主体功能模块以外的其他模块的归纳或预测，其中主要包括；通信，实体隐藏， 攻击破坏，远程控制，自动升级等功能模块。如图2 所示： 第8 页 兰州火学硕士学位论文 共4 3 页 图2 蠕虫的功能结构 信息搜集模块：采用相应的搜索算法，将本地或者目标网络的主机信息进 行收集。收集到的信息往往包括主机的系统信息，用户信息，邮件信息，主 机地址参数，该主机拥有访问授权的其他主机，所处网络的拓扑结构，路由 信息等等。 扫描探测模块：探测主机的漏洞，决定使用何种漏洞攻击方式进行攻击渗 透。 攻击渗透模块：根据所收集到的主机信息，采用相应的攻击方法，获得系 统的控制权，并建立传播途径。 自我繁殖模块：在感染主机本身生成各种蠕虫副本，在不同的网络主机间 进行副本的复制传播繁殖。 对于附属功能模块的各项功能都是针对蠕虫的其他附加功能的。 通信模块：主要是主机被蠕虫感染后，如果蠕虫制造者想要控制主机来进 行其想要的操作，那么通信模块就必不可少。较好的通信可以保证其主机控 制的完整性，其中用到报文传输，协议加密等技术，保证其建立的通信稳定 可靠。 隐藏模块：蠕虫感染了主机，为了能不被发觉，那么就要加入相关的隐藏 一一一一一一一一一 厂ill、l厂iiil，lll 厂llli，。、lll 第9 页兰州大学硕士学位论文 共4 3 页 技术，通常是对蠕虫的各个组成部分进行隐藏、加密并将起应用迸程加以隐 藏，提高其存活能力。 破坏模块：如果蠕虫要破坏主机的相关服务操作，那么这个模块就会去完 成这个功能。可以说蠕虫的破坏能力主要取决于这个模块的强弱。 远程控制模块：蠕虫可以给感染主机留下后门，以供蠕虫制造者将来用作 恶意用途。这个模块将按照其相关的目的操作，在本机执行内核命令。 自动升级模块：如果蠕虫本身的功能需要不时的更新完善，那么这个模块 就使得其功能具有最新同步性。 进而，我们可以分析。对于一个蠕虫，如果它只具有主体功能模块，可以实 现其独立运行性，并且传播过程不需要人为干预，但是它并不具备破坏性。而当 蠕虫加入了附属功能模块中的破坏模块的时候，它就有了恶意破坏性。所以，一 个蠕虫是良性的还是恶性的，主要看其是否具有附属功能模块中的破坏模块。通 过对模块的分析，我们就可以更进一步的理解蠕虫的概念，蠕虫本身并不都具有 破坏性，没有破坏性的不定不是蠕虫，只不过由于它本身没有造成太大的破坏 而没有引起大家的足够重视罢了。 2 6 蠕虫的扫描传播策略 网络蠕虫要感染网络中的主机，就必须要有高效的扫描策略“”“”，以便其在 更短的时间内，感染更多数目的易感主机。蠕虫利用系统漏洞传播进行主机探测 往往利用i c m p 包和t c ps y n ，f i n ，r s t 和a c k 包，尝试与目的主机建立通信连接， 达到扫描探测的目的。按照蠕虫对目标地址空间的选择方式，可以把蠕虫的扫描 传播策略分为以下几种：随机扫描策略、顺序扫描策略、攻击列表扫描策略、序 列扫描镱略、拓扑扫描策略、分治扫描策略和被动扫描策略。 2 6 1 随机扫描 随机扫描言外之意就是把所掌握的地址空问按照随机的方法进行探测扫描， 在这里随机扫描通常分两种：全局随机扫描和局部随机扫描。 全局随机扫描，就是把整个2 3 2 的全局i p v 4 地址作为扫描对象进行扫描探 测。但是这种扫描方式带来时间上的大量耗费，而且它扫描了许多不存在的 9 第1 0 页 兰州大学硕士学位论文 共4 3 页 目标地址，如i p v 4 的保留地址，所以扫描效率并不是很高。 局部随机扫描，也叫选择随机扫描。通常针对感染主机所处的局部c 类， b 类甚至是a 类地址作为扫描对象进行扫描。这样的扫描相对全局随机扫描 来讲更加有所针对，扫描的将是最可能存在漏洞主机地址集作为扫描的地址 空间，而互联网地址中空间没有分配的或者保留地址都不在此列；如果与本 地优先原则相结合，那么它就会取得较好的传播效果。这样它的扫描的效率 更高，并且更加准确。但是这种方法比较容易引起网络阻塞，使网络蠕虫在 爆发之前容易被发现，其隐蔽性较差。 随机扫描的探测效率通常不太高。但是这种方法实现起来比较简单，也是目 前蠕虫传播比较常见的策略。历史上的许多著名蠕虫如：红色代码，s l a m m e r ， w i t t y 蠕虫等等都采用随机扫描的方式。 2 6 2 顺序扫描 顺序扫描通常指一台被感染的主机上，蠕虫会随机选择一个c 类地址进行传 播，在相应的本地网络里，所生成的下一个目标传播地址为当前地址递增加l 或者递减1 的方式获得的。例如：如果当前本地网络中感染蠕虫的一台主机地址 为a d d r ，那么它所传播的下一个目标主机地址将为a d d r + l 或者a d d r - 1 。如果在 某一本地局域网络内部存在数量较多的存在系统漏洞的主机时，那么这种扫描策 略就会取得比较好的传播效果。但是，当传播的情况达到一定程度的时候，就会 造成局域网内部多个主机同时进行顺序扫描，重复扫描的情况就会越来越多，进 而网络中无用的扫描特征包便会充斥整个局域网络，将会引起网络拥塞。著名的 冲击波蠕虫的扫描策略就是按照这种顺序扫描策略来进行传播的。 2 6 ，3 攻击列表( h i t l is t ) 扫描 攻击列表扫描方法，是将要传播的目标地址编写为一个攻击列表数据库，存 放到蠕虫的代码里，蠕虫在进行初始传播的时候，将会按照攻击列表中的地址一 一进行对应传播。我们可以想象，如果攻击列表中的对应地址是些主干网络， 或者是高带宽，高性能主机的网络，那么对于该蠕虫的初始传播速度来讲是非常 可怕的。为了减少蠕虫传播时的感染时间，蠕虫代码的编写者可能会选择一些比 较主要的攻击地址作为攻击列表内容放到代码中，这样蠕虫在进行传播的时候就 1 0 第1 i 页 兰州大学硕士学位论文 共4 3 页 会比较快的进行传播复制。蠕虫也可以把整个全局地址的一些有所针对的i p 地 址作为攻击列表内容，但是这样所带来的就是列表内容过大，蠕虫本身的大小庞 大，在较小带宽条件下，蠕虫的复制传播速度将会受到影响；所以，蠕虫的攻击 列表扫描方式常常带有拓扑扫描的特点，有所针对的进行扫描；它也常常与序列 扫描和分治扫描策略相结合以提高自身的传播速度。攻击列表的生成除了由编写 者加入到代码内之外，也可以通过蠕虫的采集信息过程，按照某种方式自动生成。 通过小规模的扫描或者互联网的共享信息产生目标列表；也可以通过分布式扫描 生成较全面的列表数据库。可以说攻击列表扫描方式汇集了计算机传统理论中的 诸多技术，诸多先进的技术相互结合并且伴随着较先进的数据结构将会成为未来 蠕虫传播策略算法的趋势。 2 6 4 序列扫描( p e r m u t a t i o ns c a n ) 在序列扫描方法中，主要的关键就在于蠕虫的编写者按照某种算法，会自动 按照对应的i p v 4 地址生成一种唯一的校验序列码。当一个蠕虫感染了一台主机 的时候，那么就会在这台已经感染的主机上面自动生成个校验序列码，这个序 列码是和这台主机所对应的网络地址相对应的，可以说是按照网络地址通过蠕虫 自身的相应算法计算出来的。它会把这个生成的校验序列留在主机上。当蠕虫在 进行主机探测的过程中，发现这台主机上存在由自身计算生成的校验序列，那么 它就认为这台主机已经被感染，那么它就不会再继续进行之后的渗透攻击和攻击 后的自我繁殖过程；如果它发现这台主机上不存在对应该网络地址的校验序列， 那么它就会在进行渗透攻击后在该主机上按照自身算法计算出校验序列并留在 主机上，然后进行之后的自我繁殖传播过程。可以看出，通过序列扫描的方式可 以避免一台主机的重复扫描感染，大大提高了蠕虫的传播速度。序列扫描往往同 攻击列表扫描方法相结合，按照攻击列表中的目的地址攻击到对应的目标，然后 按照自身生成的序列，保证今后的扫描不会出现重复的扫描情况，由此所等到的 扫描效果是非常好的。这其中用到的序列生成器可以是常见的一些加密算法如： d e c ，m d 5 等等，也可以为了节省计算生成时间，采用哈希函数，散列函数等等 方式方法生成，以保证其生成序列的可靠性。而且生成的序列文件较小，也不会 引起计算机使用者的发觉，更好的隐藏了蠕虫自身，增加了蠕虫传播的隐蔽性和 高效性。 第1 2 页 兰州大学硕十学位论文 共4 3 页 2 6 5 拓扑扫描技术( 基于d n s 的扫描，路由扫描，搜索引擎) 拓扑扫描技术，就是把蠕虫的传播地址加入了真实网络的拓扑特性，我们知 道真实复杂网络是符合幂率分布( p o w e r - - l a w ) 的，那么当蠕虫针对的扫描地址 更真实的体现真实网络的拓扑结构，那么蠕虫扫描的准确性可以说会有质的飞 跃，而且对于主干网络主机的攻击将会增加，网络的抗攻击性将会越来越弱。目 前，基于拓扑扫描的技术通常有：基于d n s 的扫描、路由扫描，基于搜索引擎的 扫描等。 基于d n s 的扫描，就是蠕虫的攻击信息从d n s 列表中获得，由此建立目标 地址库，因为d n s 中的主机信息，往往都是对应于网络服务器的主机地址， 因此其攻击更加具有针对性和可用性。但是，由于目前很难等到d n s 记录的 地址的完整列表；而且蠕虫代码携带如此之大的地址库，复制传播繁殖速度 会减慢。 路由扫描，路由扫描就是蠕虫根据网络中的路由信息，对i p 地址空间进 行选择性扫描的一种方法。我们知道，如果网络蠕虫能够知道哪些地址是可 以路由达到的，那么它就能更快的到达目标地址；同时也避免了随机扫描方 式扫描许多不可路由的保留或者不存在的网络地址所带来的时间耗费。网络 蠕虫的编写者会利用b g p 路由表公开的路由信息，获得可路由的互联网地址 前缀，然后验证b g p 信息的可用性。如果以路由扫描方式作为传播方式，那 么c o d e r e d 的扫描蠕虫感染率将会比随机扫描的感染率高3 5 倍。同时，蠕 虫在传播的时候，仍然需要携带一个庞大的路由表库，因此其代码量仍然很 大。 利用搜索引擎技术，2 0 0 1 年硅卫公司在其年度技术报告中提出，网络蠕 虫可能会通过搜索引擎技术来收集互联网络中的目标地址信息，因为通过互 联网搜索引擎技术可以快速的收集到主机的地址信息，而且，其自身不必携 带大量的目标地址，减少了蠕虫自身的代码大小。2 0 0 4 年1 2 月份，在全球 广泛爆发的s a n t y 蠕虫就是利用g o o g l e 搜索引擎来搜索其传播需要的特征文 本，寻找存在漏洞的主机，进而按照搜索得到的主机域名进行攻击，在短短 的几天内，全球就有几万个装有p h p b b 论坛软件的主机受到攻击；并且该蠕 虫在几天里已经生成了2 4 代，蠕虫的感染速度越来越快。 第1 3 页兰州大学硕士学位论文 共4 3 页 2 6 6 分治扫描 分治扫描，体现网络蠕虫之间的相互协作，较快的搜索易感主机的一种策略。 这种方法往往结合攻击列表的扫描方式加快蠕虫的传播感染速度。一个蠕虫初始 情况下自身携带有攻击列表，当它感染了下一个主机b 的时候，那么它就将自身 的攻击列表的一半复制给下一个主机b ，这样两台主机同时拥有攻击列表的各自 一半，接下来他们按照自身所拥有的一半攻击列表进行攻击，当再次感染到下一 个主机的时候，再将自身的一半复制给新的一台主机，依此类推。我们可以看到， 每感染一次，那么攻击列表的大小就会减小一半，随着感染主机数目的增加，攻 击类表的大小将会由越来越多的主机来分担，蠕虫传播速度的提高是不言而喻 的。 但是分治扫描也存在不足，当蠕虫进行传播的时候，其中的一台主机突然坏 掉，那么它自身所分担的那一部分攻击列表就会丢失；而且这样的情况发现的越 早，蠕虫的攻击列表丢失的就会越多。有人提出了改进的方案，就是效仿t c p i p 协议中的报文传输机制，利用报文重传的机制，分配给对应主机相应的序列号或 者计数器生成的计数码，来解决这个不足；不过这样也同样带来代码复杂性和其 他附加的一些问题，这里就不过多叙述了。 2 6 7 被动扫描 对于被动扫描，通常可以认为是一种防范蠕虫攻击的一种技术。采用这种扫 描技术的蠕虫通常是不具有破坏性的对抗蠕虫，当一台主机上存在拥有该对抗 机制的蠕虫程序时，蠕虫攻击这台主机的行为，便会触发对抗蠕虫的对抗作用， 与对应蠕虫进行对抗。 2 7 典型蠕虫 2 7 1m o r t i s 蠕虫 m o r r i s 蠕虫是计算机历史上第一个蠕虫。1 9 8 8 年的1 1 月2 日，由美国青 年r o b e r tt a p p a nm o r r i s 编写的“m o r r i s 蠕虫”导致了包括5 个计算机中心和 1 在毽跫墨世! ，采旦这种镱略的程序可能会加入认为干预的因素，因此从严格意义上说，还不能算是蠕 粤：墨尊芝辱程序。但是未来可能会出现采用这种技术的不受认为干预来进行传播的蠕虫程序，瞳批本王 仍然叫他蠕虫。 第1 4 页 兰州人学硕士学位论文 共4 3 页 1 2 个地区节点，连接着政府，大学，研究所和拥有政府合同的6 0 0 0 台电脑瘫痪 在当时这6 0 0 0 台电脑占了接入互联网电脑总数的十分之一，造成1 5 0 0 万美 元的损失。m o r r i s 被判有罪并处以3 年缓刑、1 万美元罚金和4 0 0 小时的社区义 务劳动，事后，m o r r i s 承认这只是为了炫耀自己的花招，并对自己的行为感到 遗憾，而m o r r i s 的父亲老m o r r i s 则是美国国安局( n s a ) 从事电脑安全事务的 专家。r o b e r tt a p p a nm o r r i s 现在是马萨诸塞科技学院的助理教授。这个程序 是他为攻击u n i x 系统中用来发送电子邮件的一个程序漏洞而设计的，能够进入 网络系统，占用大量系统资源。 m o r r i s 蠕虫的出现，使c e r t ( 紧急事件相应组) 组织诞生。 2 7 2 红色代码( c o d er e d ) c o d er e dv l “：利用2 0 0 1 年6 月1 8 日，微软官方网站公布的i i si n d e x i n g s e r v i c e ( 索引服务) 的系统漏洞进行并行感染。未加限制的i n d e xs e r v e r i s a p ie x t e n s i o n 缓冲区过滤器无法检查h t t p 请求数据长度，由此产生溢出 使w e b 服务器变得不安全。2 0 0 1 年7 月1 2 日爆发，蠕虫代码改写被感主机 的主页内容为“w e l c o m e t o h t t p ：删w o r m c o m ! h a c k e db y c h i n e s e ! ”，被感染的主机产生1 0 0 个新线程，其感染能力取决于被感主 机的并行能力以及线程数。 由于编码的错误，使得每一台易感主机所生成的攻击主机的地址是恒定的甚 至是随机的，因此大大影响了红色代码的传播速度。 c o d er e dv 2 ：它对c o d er e dv 1 的一些不足进行了修改，仍然利用原有 漏洞进行攻击；每月的2 0 一2 7 日，所有易感主机向特定i p 地址 1 9 8 1 3 7 2 4 0 9 1 ( w 删w h i t e h o u s e g o v ) 发动d d o s 攻击；c o d er e dv 2 会将例 英文站点改写为“h e l l o ! w e l c o m et om w o r m c o m ! h a c k e db v c h i n e s e ! ”：2 0 0 1 年7 月1 9 日，在1 4 个小时内，攻击3 5 9 ，0 0 0 台主机， 达到峰值的时候每分钟感染2 ，0 0 0 台主机。 c o d er e d i i ：利用以上相同的系统漏洞进行传播啪1 ；当它感染主机后休 眠1 2 天，之后重新启动计算机，并激活3 0 0 个新线程同时扫描其它主机； 所生成的地址中：1 8 地址为随机的全局i p v 4 地址，5 0 为感染主机所在的 同一网络对应的a 类地址，3 8 为感染主机所在的网络所对应的b 类地址， 可见它采用选择性随机扫描策略；扫描时产生大量的网络流量，造成4 0 0 ， 1 4 第1 5 页 兰州大学硕上学位论文 共4 3 页 0 0 0 台系统瘫痪并引起网络的拥塞。 2 7 ，3n i m d a 它是一种既具备蠕虫特征又具备病毒特征的混合型病毒程序。1 。在某些情况 上它体现蠕虫的特点，某些情况上又体现病毒的特点。其传播途径主要有： 1 、通过微软i i sc v e 一2 0 0 0 - 0 8 8 4 漏洞感染w e b 服务器。 2 、利用已感染主机发送大量垃圾邮件。 3 、通过网络共享，找到允许所有人添加文件的共享文件夹，并复制自身。 4 、将病毒代码放到网页上，通过网页浏览进行传播。 5 、通过c rh 留下的后门程序进行传播。2 0 0 1 年9 月1 8 日爆发，造成大量 的网络拥塞。造成的损失评估数据从5 亿美元攀升到2 6 亿美元后，继续攀升， 到现在已无法估计。 2 7 4 理论蠕虫 w a r h o l ：本身具有攻击列表，序列扫描，分治扫描的策略。分治策略采 用折半复制自身的攻击列表的办法，配合序列扫描的策略，使得它在网络中 传播的时候，不会产生重复传播的现象。在理想的网络条件下，它可以在半 个小时内攻击整个互联网络。 f l a s h “”啪1 ：同w a r h o l 蠕虫相似，集成了攻击列表扫描，序列扫描，分 治扫描策略；但是分治策略中，把攻击列表的大小分为n 块。这样，每次传 播都会使得攻击列表变为原先大小的l n ；加入攻击列表中的目标地址有3 ， 0 0 0 ，0 0 0 个，n 如果取1 0 ，那么它只要传播7 次就可以复制传播完毕。传播 速度是相当惊人的。在理论的网络环境下，它可以在数十秒钟内感染整个互 联网络。 2 。7 。5 其他蠕虫 w i t t y 蠕虫是2 0 0 4 年3 月在全球爆发的蠕虫，它在4 5 分钟内就感染了 全球具有i s s 主机漏洞的易感主机1 2 ，0 0 0 台，并且它是在官方网站公布漏 洞补丁4 8 小时内爆发的，可见蠕虫的爆发越来越快；会在用户来不及打系统 补丁的时候被攻击。 s l a m m e r 蠕虫，2 0 0 3 年爆发的时候，在短短半个小时的时间里，就感染了 7 5 ，0 0 0 台主机。 第1 6 页 兰州大学硕士学位论文 共4 3 负 3 1 网络蠕虫仿真 第三章网络蠕虫仿真技术 3 1 1 网络仿真 随着网络技术的高度发展“，网络数据日趋庞大；对于网络进行更好的规划 和开发的研究变得越来越困难。如何对庞大的数据量进行分析，如何在较低的成 本耗费的情况下作出相对客观的技术统计；种种的这些问题促使人们去刻画网络 的各种行为，进而加以分析进行研究。 过去，人们通过固有的经验、试验及计算等传统方法进行网络中的数据规划 和设计；这种方法简便易行，但是效果却带有较多的主观因素，往往影响着最后 的规划结果。因此，在网络规划设计及网络特性试验研究的过程中，越来越需要 一种能够提高网络试验的可靠性，降低网络试验建设的成本，更好的描绘真实网 络特性的试验技术出现；网络仿真技术就在这样的大环境里应运而生了。 3 1 2 网络蠕虫仿真 在网络技术发展得过程中，网络中存在的各种问题相继出现，在所出现的各 种问题中，网络蠕虫的大面积流行对网络资源和主机造成的损失日趋扩大，已经 成为业界要面对的突出问题。但要解决这个突出问题就要研究并了解问题的所 在，因此需要一个比较合适的研究环境来研究蠕虫传播相关问题的现象和特点， 并有所针对的提出解决方案；网络蠕虫仿真技术嘶儿筠1 就是在这样的背景需要之下 产生的。 网络蠕虫仿真的定义：通过现有的计算机、操作系统、软件环境，利用相应 的数学抽象模型，建立仿真环境，模拟网络蠕虫传播行为，进而对网络蠕虫进行 研究。 3 1 3 网络蠕虫仿真的意义 网络蠕虫仿真的实际意义体现在如下几方面： 蠕虫病毒传播过程的研究，即研究蠕虫病毒通过仿真软件模拟出网络环境 并进行蠕虫传播的研究实验。通过实验得出的数据进行分析处理，研究得出相关 结论。 第1 7 页兰州大学硕士学位论文 共4 3 页 蠕虫传播研究实验的安全性，即由于网络蠕虫的特有的破坏性使得蠕虫传 播的数据研究不能在真实的网络中进行实际传播实验，而通过蠕虫传播策略及相 关算法的描述，利用仿真软件来模拟蠕虫的传播过程是一个很好的解决手段，保 证了试验环境的安全性。 对于网络拓扑结构的研究，由于网络蠕虫的传播模拟需要在一定的网络协 议及相关结构上进行仿真运行，所以在网络蠕虫仿真实验上也可以讨论网络拓扑 结构与网络蠕虫传播的相关特点，对于揭示其传播的动力学机理和提高网络的鲁 棒性也具有很好的研究意义。 通过网络仿真来模拟蠕虫的传播过程，能够较好的保证蠕虫传播研究实验的 安全性；试验具有较高的性能和较低的成本损耗。 3 2 扩展的硼模型研究 网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过获得网络中 存在漏洞的计算机上部分或全部控制权来进行传播。蠕虫的爆发主要是针对操作 系统或者应用软件的漏洞来进行攻击的，而要建立一个完全安全的系统是不可能 的，m i l l e r 3 0 曾在其给出的一份关于当今流行的操作系统和应用程序的研究报告 中指出，软件不可能没有缺陷；网络蠕虫的特有破坏性使得蠕虫传播的数据研究 不能在真实的网络中进行实际传播实验，而需要通过蠕虫的传播模型，来模拟蠕 虫的仿真传播过程，这是一个很好的解决手段，保证了试验环境的安全性；目前 研究蠕虫在大规模网络中的传播特征，仅仅通过现有的数据和工具进行分析是不 够的，更多的要利用到计算机网络，计算数学，统计学，物理学等学科的理论知 识，以便从理论角度出发，提出更好的解决蠕虫传播的方案；蠕虫在网络中爆发， 有着它自身的传播动力学机理，反映出其数学上的一般特性，而这些机理必须要 用数学仿真模型加以研究和实现。因此，进行蠕虫传搔模型的研究是非常必要的。 3 2 1 简单的传染病模型 简单传染病模型( s i m p l ee p i d e m i cm o d e l ) 的概念【2 0 j 【3 1 1 提出，是从生物学和 病毒传播学中的传染病概念中提出来的，它利用传染病在生物中的传播特征来提 出网络中蠕虫的传播模型。简单的传染病模型也叫s i 模型，即：在模型中只定 义了两种状态，容易受感染状态( s u s c e p t i b l e ) 和传染状态( i n f e c t i o u s ) ：在此 模型中，假定易受感染的主机一旦感染了蠕虫，就永远具有传染能力，并处于感 j 7 第1 8 页 兰州大学硕士学位论文 共4 3 贞 染状态。因此状态只能由s 转变为i 。我们定义i ( t ) 为t 时刻已经感染的主机数； n 为网络中的主机总数；p 为表征的主机感染率。这样可以把网络蠕虫的传播情 况写为以下的微分方程： 了d m ) = f 1 1 ( ) 【一f ( f ) 】 ( 3 1 ) 对于公式( 3 一1 ) 我们可以令感染百分比口( f ) = 等，可得 _ d a f t ) = k a ( f ) 【1 一a ( f ) 】，其中k = 芦 ( 3 2 ) 口 它的图形曲线如下图3 所示： 图3 简单传染病模型传播曲线 由上图可以看出：曲线在感染传播的初期上升的比较快，说明s i 模型拟合 感染