教育区域网中网络蠕虫的防治刘逸坚Summary:随着互联网的发展,网络蠕虫成为网络系统安全的重要威胁。发生在教育区域网中的网络蠕虫扫描和攻击行为,往往导致网络链路拥挤、服务质量下降、网络主机崩溃等后果,严重影响各项教育信息化工作的正常开展。本文在详细分析了网络蠕虫工作原理和传播机制的基础上,提出了教育区域网中有效防治网络蠕虫的安全策略与措施。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---Keys:网络蠕虫;教育区域网;蠕虫防治中图分类号:TP309:A:1673-8454(2009)22-0073-03近年来,随着教育信息化工作的大力推进,教育区域网中各种应用系统不断增加,成为支撑各项工作正常开展的基础。在互联网中泛滥的网络蠕虫开始渗入教育网中,严重影响了基础网络平台的正常运作。本文从网络蠕虫的定义出发,深入分析了蠕虫的工作原理和传播机制,并针对教育区域网的特点提出了行之有效的防治策略和措施。一、网络蠕虫的定义网络蠕虫可定义为独立存在或植入其他文件中的、通过网络传播的恶意代码。[1]根据传播机制可将蠕虫分为三类:*依赖于客户应用程序的蠕虫*Windows文件共享蠕虫*传统蠕虫第一类中的典型代表是E-mail蠕虫和IM(InstantMessenger,即时通信软件)蠕虫,它们依赖于本地系统中的E-mail或IM功能来传播,主要途径是欺骗用户运行不可信的文件使其受感染。文件共享蠕虫利用微软Windows系统的端对端(Peer-to-Peer)服务传播,而传统蠕虫则是直接发起网络连接对其他存在操作系统或应用程序漏洞的网络主机进行攻击,这两类属于完全无需用户干预的自动传播蠕虫。网络蠕虫的功能结构一般可分为主体功能和辅助功能。[2]主体功能模块完成关键的自我传播过程,包括信息搜集、扫描探测、攻击渗透、自我繁殖等功能;辅助功能模块主要为了增强蠕虫的破坏力和生存能力,包括实体隐藏、宿主破坏、信息通信、远程控制、自动升级等功能。二、网络蠕虫的传播1.蠕虫的生存周期---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---从宏观角度看,一个蠕虫的生存周期包括四个阶段[3]:潜伏期、繁殖期、衰退期以及持续期。如图1所示。潜伏期是指从一个漏洞被发现,到针对该漏洞的蠕虫在实际网络中出现之间的时期;繁殖期是指蠕虫进行大范围扩散的时期,该期间蠕虫使用各种潜在目标发现技术来感染尽可能多的存在漏洞的网络主机;蠕虫大范围繁殖之后开始进入衰退期,该期间网络管理员通过部署针对性策略抑制蠕虫的继续发展,受感染的主机被打上补丁或者移离网络,蠕虫的影响被逐渐减小;最后,大多非毁灭性的蠕虫会进入持续期,仍然潜伏在为数不多的未被发现的受感染主机之中,在某些情况下可能会重新发作。从微观角度看,蠕虫的传播主要发生在繁殖期,该过程可以细分为初始化、网络传播和负载激活等三个阶段。[4]蠕虫感染一台主机后首先进行初始化,包括安装必要的软件、获取本地主机的配置信息、设置全局变量等;完成初始化后将进入网络传播阶段,此时受感染主机通过网络侦察、扫描探测等各种技术发现潜在的易感染目标,然后对这些目标发起攻击并使其受感染。负载激活阶段可以发生在蠕虫初始化后的任何时间,该阶段与另外两个阶段在逻辑上相对独立,意图是让大量受感染主机执行负载中的代码实现某种功能,这是蠕虫传播的最终目的。例如CodeRedI蠕虫[5]设定在每月20日至29日激活,对白宫网站发起DoS(DenialofService,拒绝服务)攻击。2.蠕虫的传播机制网络蠕虫的传播主要包括攻击目标的发现以及对目标主机的攻击与感染。(1)攻击目标的发现。大多蠕虫采用主动目标发现机制:对于E-mail蠕虫和IM蠕虫等依赖于客户应用程序的蠕虫,其攻击对象一般来源自受感染的本地主机客户端中的联系人列表,例如E-mail客户端软件的通信录或QQ、MSN等即时通信软件的好友列表;而对于传统蠕虫,一般是使用扫描和脆弱目标列表来发现攻击目标,在下面将对这些技术进行详细讨论。少数蠕虫采用被动目标发现机制:它---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---们只将与受感染主机有正常E-mail、IM通信或者正常网络连接关系的主机作为攻击目标。相对于主动机制,被动机制较为隐...