計算機蠕蟲病毒小知識
蠕蟲是網路病毒,所以它離不開網路。下面是小編跟大家分享的是,歡迎大家來閱讀學習~
自1988年出現第一個蠕蟲病毒以來,計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網路世界帶來災害。特別是網路的迅速發展令蠕蟲造成的危害日益嚴重,造成一個談毒色變的的網路世界。不同於一般的病毒,蠕蟲病毒以計算機為載體,複製自身在網際網路環境下進行傳播,蠕蟲病毒的傳染目標是網路上所有計算機――區域網條件下的共享資料夾、***E-mail、網路中的惡意網頁、大量存在著漏洞的伺服器等都成為蠕蟲傳播的良好途徑。
步驟/方法
首先,掃描:由蠕蟲的掃描功能模組負責探測存在漏洞的主機。隨機選取某一段IP地址,然後對這一地址段上的主機掃描,掃描程式可能會不斷重複上面這一過程。這樣,隨著蠕蟲的傳播,新感染的主機也開始進行這種掃描,這些掃描程式不知道哪些地址已經被掃描過,它只是簡單的隨機掃描網際網路。於是蠕蟲傳播的越廣,網路上的掃描包就越多。即使掃描程式發出的探測包很小,積少成多,大量蠕蟲程式的掃描引起的網路擁塞就非常嚴重了。
其次,攻擊:當蠕蟲掃描到網路中存在的主機後,就開始利用自身的破壞功能獲取主機的管理員許可權。 最後,利用原主機和新主機的互動將蠕蟲程式複製到新主機並啟動。由此可見,蠕蟲的危害有兩個方面:一、蠕蟲大量而快速的複製使得網路上的掃描包迅速增多,造成網路擁塞,佔用大量頻寬,從而使得網路癱瘓。二、網路上存在漏洞的主機被掃描到以後,會被迅速感染,使得管理員許可權被竊取。方便黑客的攻擊。魔高一尺,道高一丈,隨著蠕蟲的快速演變,解毒的的高手也不斷湧現,Tamin盛世網安安全閘道器就以簡單的“檢測――遮蔽”兩個步驟解決了以上“蟲毒”問題。
使用Tamin盛世網安進行網路檢測:這一步驟需要手工來操作。由於網路中的蠕蟲病毒不斷向外界計算機發出掃描包,這些掃描包是有顯而易見的特點的。例如,被感染的計算機中的蠕蟲病毒會向網路中的某段IP地址傳送掃描包,這時蠕蟲病毒需要對外建立大量的會話連線數,所以可以從主機對外建立的會話數來判斷感染蠕蟲病毒的主機。Tamin盛世網安安全閘道器對於網路所來往傳送接收的包都會進行動態檢測與記錄,通過Tamin盛世網安安全閘道器的WEB管理介面進入防火牆->會話列表,可察看到當前盛世網安安全閘道器所記錄下來的當前前十名會話數,即當前會話數最多的前10臺主機。
4 主機正常狀態下的平均會話數一般不超出100左右水平,但在受到蠕蟲病毒攻擊時則會數量猛增,Tamin盛世網安安全閘道器即時地偵測到了這一反常網路特徵---被感染的主機的NAT會話數陡然大量增加,由此判定該主機已經被蠕蟲病毒感染。如下圖的19.168.1.50,很可能就是已經被感染蠕蟲病毒。因為P2P軟體下載時產生的特徵很類似,網管員需要檢視該機器是否在用P2P軟體進行下載,如果沒有任何的P2P軟體下載則就是感染了蠕蟲病毒或者類似蠕蟲的病毒。
5 這種情況下,就要進入第二步,對網路中的主機實施遮蔽。遮蔽的方法是:利用Tamin盛世網安安全閘道器的訪問規則功能,建立相應的策略,關閉病毒向外發包的埠。如下圖,進入Tamin OS管理介面->防火牆->訪問規則->新增,增加規則對主機19.168.1.50實行遮蔽。遮蔽主機之後,採取防毒措施或者安裝相應的補丁程式。這樣,就輕鬆消滅了蠕蟲病毒。
電腦病毒具體工作流程