如何防護(hù)蠕蟲腦病毒
如何防護(hù)蠕蟲腦病毒
目前蠕蟲爆發(fā)的頻率越來越快,尤其是近兩年來,越來越多的蠕蟲(如沖擊波、振蕩波等)出現(xiàn)。那么我們該如何防護(hù)蠕蟲病毒保護(hù)電腦呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的防護(hù)蠕蟲病毒保護(hù)電腦介紹!希望對你有幫助!
防護(hù)蠕蟲病毒保護(hù)電腦介紹:
什么是蠕蟲
Internet 蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序,它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。
蠕蟲與病毒的最大不同在于它不需要人為干預(yù),且能夠自主不斷地復(fù)制和傳播。蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個(gè)階段。蠕蟲程序掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后,將蠕蟲主體遷移到目標(biāo)主機(jī)。然后,蠕蟲程序進(jìn)入被感染的系統(tǒng),對目標(biāo)主機(jī)進(jìn)行現(xiàn)場處理?,F(xiàn)場處理部分的工作包括:隱藏、信息搜集等。不同的蠕蟲采取的IP生成策略可能并不相同,甚至隨機(jī)生成。各個(gè)步驟的繁簡程度也不同,有的十分復(fù)雜,有的則非常簡單。
蠕蟲的行為特征包括:
·自我繁殖:
·利用軟件漏洞:
·造成網(wǎng)絡(luò)擁塞:
·消耗系統(tǒng)資源:
·留下安全隱患:
蠕蟲的工作方式歸納如下:隨機(jī)產(chǎn)生一個(gè)IP 地址;判斷對應(yīng)此IP 地址的機(jī)器是否可被感染;如果可被感染,則感染之;重復(fù)1~3 共m 次,m 為蠕蟲產(chǎn)生的繁殖副本數(shù)量。
如何檢測蠕蟲
由以上的分析可知,盡早地發(fā)現(xiàn)蠕蟲并對感染蠕蟲的主機(jī)進(jìn)行隔離和恢復(fù),是防止蠕蟲泛濫、造成重大損失的關(guān)鍵。
目前國內(nèi)并沒有專門的蠕蟲檢測和防御系統(tǒng),傳統(tǒng)的主機(jī)防病毒系統(tǒng)并不能對未知的蠕蟲進(jìn)行檢測,只能被動(dòng)地對已發(fā)現(xiàn)的特征的蠕蟲進(jìn)行檢測。而且目前市場上的入侵檢測產(chǎn)品,對蠕蟲的檢測也多半是基于特征,所以我們利用ids提供的異常檢測功能,通過發(fā)現(xiàn)網(wǎng)絡(luò)中的異常,來對蠕蟲的傳染進(jìn)行控制。雖然有些事后諸葛的嫌疑,但只要發(fā)現(xiàn)及時(shí),還是能大大減少蠕蟲造成的損失。
在對未知蠕蟲的檢測方面,入侵檢測在對流量異常的統(tǒng)計(jì)分析和對tcp連接異常的分析基礎(chǔ)上,又使用了對ICMP數(shù)據(jù)異常分析的方法,可以更全面地檢測網(wǎng)絡(luò)中的未知蠕蟲。這種網(wǎng)絡(luò)蠕蟲的檢測技術(shù)是Bob Gray,具體實(shí)現(xiàn)過程是:當(dāng)一臺(tái)主機(jī)向一個(gè)不存在的主機(jī)發(fā)起連接時(shí),中間的路由器會(huì)產(chǎn)生一個(gè)ICMP-T3(目標(biāo)不可達(dá))包返回給蠕蟲主機(jī)。
這種方法可以檢測出具有高速、大規(guī)模傳染模型的網(wǎng)絡(luò)蠕蟲。(很難檢測針對某個(gè)網(wǎng)絡(luò)傳播的特定的蠕蟲和慢速傳播的蠕蟲。這兩種蠕蟲,可以認(rèn)為對整個(gè)網(wǎng)絡(luò)來說,它們的危害比較小)。
全方位的蠕蟲防治策略
當(dāng)蠕蟲被發(fā)現(xiàn)時(shí),要在盡量短的時(shí)間內(nèi)對其進(jìn)行響應(yīng)。首先產(chǎn)生報(bào)警,通知管理員,并通過防火墻、路由器、或者HIDS的互動(dòng)將感染了蠕蟲的主機(jī)隔離;然后對蠕蟲進(jìn)行分析,進(jìn)一步制定檢測策略,盡早對整個(gè)系統(tǒng)存在的不安全隱患進(jìn)行修補(bǔ),防止蠕蟲再次傳染,并對感染了蠕蟲的主機(jī)進(jìn)行蠕蟲的刪除工作。
對于感染了蠕蟲的主機(jī)時(shí),其防治策略是這樣的:
1.與防火墻互動(dòng):通過控制防火墻的策略,對感染主機(jī)的對外訪問數(shù)據(jù)進(jìn)行控制,防止蠕蟲對外網(wǎng)的主機(jī)進(jìn)行感染。
2.交換機(jī)聯(lián)動(dòng):通過SNMP協(xié)議進(jìn)行聯(lián)動(dòng),當(dāng)發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)被蠕蟲感染時(shí),可以切斷感染主機(jī)同內(nèi)網(wǎng)的其他主機(jī)的通訊,防止感染主機(jī)在內(nèi)網(wǎng)的大肆傳播。
3.通知HIDS(基于主機(jī)的入侵監(jiān)測):裝有HIDS的服務(wù)器接收到監(jiān)測系統(tǒng)傳來的信息,可以對可疑主機(jī)的訪問進(jìn)行阻斷,這樣可以阻止受感染的主機(jī)訪問服務(wù)器,使服務(wù)器上的重要資源免受損壞。
4.報(bào)警:產(chǎn)生報(bào)警,通知網(wǎng)絡(luò)管理員,對蠕蟲進(jìn)行分析后,可以通過配置Scaner來對網(wǎng)絡(luò)進(jìn)行漏洞掃描,通知存在漏洞的主機(jī)到Patch服務(wù)器下載補(bǔ)丁進(jìn)行漏洞修復(fù),防治蠕蟲進(jìn)一步傳播。
看了“如何防護(hù)蠕蟲腦病毒”文章的還看了:
2.如何減少郵件蠕蟲
4.蠕蟲電腦病毒介紹