【摘要】對(duì)網(wǎng)絡(luò)上計(jì)算機(jī)系統(tǒng)的掃描是網(wǎng)絡(luò)蠕蟲傳播的第一步，網(wǎng)絡(luò)蠕蟲掃描算法是研究蠕蟲傳播特性的一個(gè)基礎(chǔ)環(huán)節(jié)。通過對(duì)常見的網(wǎng)絡(luò)蠕蟲掃描算法的研究，將其進(jìn)行了分類，并對(duì)每一種掃描方法的基本原理及特點(diǎn)進(jìn)行了分析。

【關(guān)鍵詞】網(wǎng)絡(luò)蠕蟲;掃描;傳播

隨著網(wǎng)絡(luò)的普及化程度越來越高，網(wǎng)絡(luò)安全問題也受到了廣泛的關(guān)注。網(wǎng)絡(luò)蠕蟲是影響網(wǎng)絡(luò)安全的一個(gè)重要因素，掃描主機(jī)漏洞是蠕蟲傳播的前提，影響蠕蟲傳播的主要因素是如何能快速找到新的目標(biāo)主機(jī)，所以掃描方法的性能直接決定著蠕蟲傳播的速度。假設(shè)計(jì)算機(jī)系統(tǒng)在整個(gè)地址空間均勻分布，按照蠕蟲對(duì)目標(biāo)地址空間的選擇方式進(jìn)行分類，網(wǎng)絡(luò)蠕蟲的掃描算法可以分為隨機(jī)掃描法、基于目標(biāo)列表的掃描法、路由掃描法、分而治之掃描法以及被動(dòng)掃描法等。

1.隨機(jī)掃描法

隨機(jī)掃描法是指網(wǎng)絡(luò)蠕蟲在尋找攻擊目標(biāo)時(shí)事先不知道網(wǎng)絡(luò)上哪些計(jì)算機(jī)系統(tǒng)有漏洞，隨機(jī)地在網(wǎng)絡(luò)上選擇計(jì)算機(jī)進(jìn)行掃描并尋找漏洞。CodeRed蠕蟲[1]和Slammer蠕蟲[2]都是采用隨機(jī)掃描的方法，一般情況下，隨機(jī)掃描由于掃描地址空間大，傳播速度較慢。

2.基于目標(biāo)列表的掃描法

基于目標(biāo)列表的掃描法是指網(wǎng)絡(luò)蠕蟲在傳播之前事先將網(wǎng)絡(luò)上存在漏洞的計(jì)算機(jī)系統(tǒng)搜索出來組成目標(biāo)列表，在傳播時(shí)先將網(wǎng)絡(luò)蠕蟲傳播至目標(biāo)列表中的計(jì)算機(jī)系統(tǒng)，然后目標(biāo)列表中的計(jì)算機(jī)再利用隨機(jī)掃描法掃描網(wǎng)絡(luò)上的其他計(jì)算機(jī)。由于已經(jīng)有了傳播目標(biāo)列表，采用該掃描方法要比采用隨機(jī)掃描的蠕蟲傳播的速度快得多。Staniford等人在文獻(xiàn)[3]中介紹了一種基于目標(biāo)列表的掃描算法，理想化蠕蟲 Falsh[4]就是一種基于 IPV4 地址空間列表的快速掃描蠕蟲。

3.路由掃描法

Zou等人在文獻(xiàn)[5]中介紹了一種“路由蠕蟲”，它采用BGP路由表中的地址來減小要掃描的地址空間。若采用路由掃描法，其探測(cè)地址空間將比隨機(jī)掃描減小，會(huì)極大地提高蠕蟲的傳播速度。路由掃描法的不足是網(wǎng)絡(luò)蠕蟲傳播時(shí)必須攜帶一個(gè)路由IP地址庫，從而導(dǎo)致蠕蟲代碼量大。

4.分而治之掃描法

所謂分而治之掃描法是指在釋放網(wǎng)絡(luò)蠕蟲之前，首先收集部分存在漏洞且網(wǎng)絡(luò)連接良好的計(jì)算機(jī)系統(tǒng)構(gòu)成目標(biāo)列表，在將蠕蟲傳播給列表中的部分主機(jī)后，蠕蟲給每個(gè)受害主機(jī)發(fā)送目標(biāo)列表的一部分，然后每臺(tái)受害主機(jī)再按照子目標(biāo)列表進(jìn)行掃描。

該掃描法通過逐漸分解地址列表，可以使得掃描造成的流量越來越小，更不容易檢測(cè)。文獻(xiàn)[3]中提出了一種對(duì)目標(biāo)列表進(jìn)行分而治之掃描的策略。

5.被動(dòng)式掃描法

被動(dòng)式掃描法是指蠕蟲并不進(jìn)行主動(dòng)掃描，而是等待潛在的易感染主機(jī)來主動(dòng)接觸它們，或者依賴已感染主機(jī)的活動(dòng)去發(fā)現(xiàn)新的攻擊目標(biāo)。采用該掃描方法的蠕蟲需要用戶觸發(fā)，傳播速度很慢，但具有更強(qiáng)的隱蔽性。文獻(xiàn)[6]中的CRClean蠕蟲采用的就是被動(dòng)式掃描法，當(dāng)它探測(cè)到一個(gè)主機(jī)企圖接觸被感染主機(jī)時(shí)，就發(fā)起一個(gè)反攻來回應(yīng)，如果反攻成功，就會(huì)將自己安裝到相應(yīng)主機(jī)上。

6.結(jié)束語

本文對(duì)網(wǎng)絡(luò)蠕蟲的幾種掃描方法做了簡(jiǎn)單的介紹，其中路由掃描法的傳播速度最快，基于目標(biāo)列表的掃描法在網(wǎng)絡(luò)蠕蟲的初始階段傳播速度較快，被動(dòng)式掃描算法性能最差，速度最慢。網(wǎng)絡(luò)蠕蟲掃描算法是研究蠕蟲傳播特性研究的基礎(chǔ)環(huán)節(jié)，可為有效抑制網(wǎng)絡(luò)蠕蟲打下堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1]David Moore，Code-Red：A case study on the spread and victims of an Internet worm[C].Proc.of the 2nd ACM SIGCOMM Workshop on Internet Measurement， Marseille，2002.

[2]Moore D，Paxson V，Savage S，et al.Inside the slammer worm[J].IEEE Magazine of Security and Privacy，2003， 1（4）：33-39.

[3]Staniford S，Paxson V，Weaver N.How to Own the Internet in Your Spare Time[C].Proc.of the 11th Usenix Security Symposium，San Francisco，2002.

[4]Moore D，Shannon C，Voelker G，et al.Internet quarantine：requirements for containing self-propagating code[C].Proc.of the 2003 IEEE Infocom Conf.San Francisco，2003.

[5]Zou C C，Towsley D，et al.RoutingWorm：A Fast，Selective Attack Worm Based on IP Address Information[R].University Massachusetts Technical Report TRCSE203206， 2003.

[6]Kern M.Codegreen beta release，2001http：//online.securityfocus.com/archive/82/2114b2.

作者簡(jiǎn)介：張宏琳（1982—），女，陜西咸陽人，碩士，工程師，現(xiàn)供職于中國(guó)人民銀行西安分行營(yíng)管部，主要研究方向：信息系統(tǒng)安全。