一、蠕虫的定义
随着互联网络的迅速发展,网络带宽的不断加大,蠕虫病毒带来的危害日益严重,从最初的“funlove”、“红色代码”到今天的“冲击波”、“震荡波”,企业用户网络形势日益严峻。那么究竟什么是蠕虫呢?蠕虫这个名词的由来是在1982年,Shock和Hupp根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”(Worm)程序的思想。蠕虫的定义是: 蠕虫(Worm)是病毒的一种,它的传播通常不需要人为的激活。它通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。一旦它进入一台电脑,就会迅速的吞噬大量的内存和大量的带宽从而造成机器停止响应。
二、蠕虫的基本结构和传播过程
蠕虫的基本结构可以分为以下三个模块:
1、 传播模块:这个模块主要负责蠕虫的传播。
2、 隐藏模块:这个模块主要是在蠕虫侵入主机后,隐藏自己,避免被用户发现。
3、 目的功能模块:在蠕虫成功侵入主机后,实现对该主机的控制、监视和破坏等。
一般来说,蠕虫的传播模块又可以根据它传播的过程,分成三个部分:扫描、攻击和复制。蠕虫的一般传播过程可分成三步走:
1、 扫描:由蠕虫的扫描功能模块探测网络中存在漏洞的主机,当该程序成功地探测到存在漏洞的主机,并且收到反馈信息后,就得到了一台可传播的主机。
2、 攻击:攻击模块按照漏洞攻击步骤,自动攻击扫描得到的存在漏洞的主机,取得该主机的权限,并且在该主机上打开一个进程。
3、 复制:复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机上,并启动。
三、企业蠕虫病毒防护解决方案
了解了蠕虫病毒的传播模式,我们可以比较清楚地考虑如何预防、阻挡、控制和消灭企业网络中的蠕虫病毒。
首先,我们来看一下预防,蠕虫在传播的过程中,首先是探测网络中存在漏洞的主机,因此及早更新操作系统补丁,能够有效地预防蠕虫病毒的感染。
但是,随着互联网络的迅速发展,不仅仅是病毒传播不再存在明显的地域性,而且世界各地的程序员获得操作系统漏洞信息的速度也越来越快,最糟糕的现象,是所谓的“零日攻击”(病毒或蠕虫利用软件某个未知和未修补的漏洞发起攻击)威胁也即将出现。基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络,并使管理人员对网络保护束手无策。
因此,单纯依靠网络管理员不断的为系统升级补丁程序,甚至防病毒程序,并不能完全有效地阻挡蠕虫病毒的攻击,比如说不依靠有效的阻断工具,我们就无法防止公网上其他主机对本网络的蠕虫扫描攻击。
这时我们可以考虑从“扫描”这个步骤来阻断蠕虫病毒的传播。在企业网络关口的位置架设防火墙,对进出网络的数据包进行过滤,封禁除web、mail、ftp等对外必须提供服务外的其他网络应用,如137、138、139、445等端口,防止蠕虫病毒通过这些局域网应用服务,从公网窜入内网。
目前的蠕虫病毒,多结合了蠕虫、病毒、黑客后门程序于一体,并非通过单一途径传播,因此仍然存在内网某台机器感染蠕虫病毒,并对内部网络发起大量扫描,传播病毒,并导致网络阻塞的现象,如常见的“冲击波”病毒。而蠕虫病毒的传播特点,又导致了网络中机器的反复感染,单纯依靠杀毒软件,已经很难取得很好的效果,这时如何在内部网络快速定位病毒传播源,阻止病毒在局网中的传播,通知管理员快速查杀病毒,将成为重点。
速通防火墙和路由器产品中,都包含了独有的蠕虫阻断和报警功能,通过匹配不同蠕虫病毒中扫描包的特征字,可以快速地定位网络中正在传播蠕虫病毒的主机,并且阻断该主机继续传播病毒,通知管理员,快速地查杀病毒。这就使得蠕虫病毒在局域网中无法大规模地爆发,导致网络速度下降,甚至中断,也不需要像传统的蠕虫病毒查杀方法那样,整个网络进行断网杀毒。
同时,速通产品中还内置了入侵检测、网页过滤、带宽管理等功能,也可以帮助管理员更好地管理网络,阻挡来自网络中的黑客攻击,减少因访问不良站点带来的各种安全威胁等。