Empêchements à la diffusion de ver


  Share  
|

Maintenant que nous avons vu les composants typiques employés pour construire un ver, laissez-nous pensent par les obstacles principaux que visage de vers comme ils écartent et les stratégies venaient à bout de tels obstacles. Bien qu'il pourrait d'abord sembler comme un exercice mauvais contemplent de telles choses, me câlinent pour une minute ou deux. Par arrangement les difficultés aux lesquelles les vers font face dans la propagation, nous pourrions pouvoir obtenir un meilleur sentir pour la façon dont les vers pourraient évoluer à l'avenir et, plus important, comment nous pourrions défendre contre certaines de ces nouvelles tendances.

Diversité d'environnement de cible

Un des plus grands empêchements à la diffusion vorace d'un ver est sa confiance dans l'environnement de la machine de victime. Bien que nous voudrions penser que des vers sont ralentis par nos défenses, le plus souvent, c'est la diversité de nos systèmes informatiques qui entrave des vers. Des n'importe quels des composants du ver pourraient se fonder sur des programmes spécifiques, des bibliothèques, ou des arrangements de configuration à être présents sur le système de victime. Si ces morceaux que le ver doit courir ne sont pas inclus sur la cible, le ver juste tout simplement ne travaillera pas. Par exemple, supposez un HTTP d'utilisations de ver pour propager à la machine cible. Elle se fondera probablement sur un navigateur installé sur le système, tel que l'Internet Explorer, le Netscape Navigator, ou même le navigateur de Lynx basé par texte. Si le navigateur n'est pas présent, le progrès du ver sera arrêté en tant que lui des flets environ, incapable de se écarter au prochain ensemble de victimes. De même, un ver qui écarte par l'intermédiaire de TFTP habituellement ne peut pas se déplacer si un client de TFTP est absent sur un système de cible.

Pour éviter de telles difficultés, les vers ont pu utiliser trois stratégies différentes. D'abord, quelques vers emballent ces éléments qu'ils exigent dans l'environnement de cible à l'intérieur du ver lui-même. Le ver agit comme un escargot, continuant son dos quelque chose qu'il pourrait avoir besoin de faire une maison confortable sur la machine de victime, y compris des programmes spécifiques, des bibliothèques, et des arrangements de configuration.

Alternativement, quelques vers sont construits pour être assez flexibles pour s'adapter aux environnements multiples. Si le ver se trouve sur une machine sans un certain élément requis pour propager, comme un navigateur, le ver pourrait utiliser un certain arrangement alternatif pour se déplacer à travers le réseau. Si le HTTP ne fonctionne pas parce que le ver manque d'un navigateur, il juste pourrait essayer le ftp ou le TFTP.

Une troisième option pas souvent vue dans le sauvage est pour que le ver analyse son environnement, et puis acquiert en temps réel les morceaux et les parties de l'Internet qu'il doit courir. Si mon ver apparaît sur votre système browserless, mon ver pourrait juste établir un rapport à son Web préféré de distribution de navigateur situer et installer son propre navigateur.

Le du côté incliné, de la perspective du ver, de chacune de ces solutions est qu'elles rendent le ver plus grand et plus complexe. S'il doit porter autour d'un groupe de code pour transformer sa cible ou pour contenir beaucoup de différentes solutions de rechange pour la propagation, le ver devient plus grand. De plus grands vers qui changent leur environnement sont également plus facilement discernables. Supposez les coupures humongous d'un cambrioleur dans votre maison et débuts réarrangeant bruyamment des meubles de sorte qu'il puisse introduire sa vieille chaise de moisi de salon dans le centre de votre pièce vivante. Vous serez beaucoup pour noter ses actions car il bat autour de votre pièce vivante que si une souris minuscule marche dedans et installait la résidence, volant un morceau occasionnel de fromage. En plus, ces de plus grands vers environnement-portants et detransformations sont plus complexes, et sont donc pour fonctionner mal sur un système de cible.

Diffusion Se brisante De Limites De Victimes

Une autre limitation sur la diffusion de ver est associée à l'impact du ver sur la machine de victime. Supposez une charge utile exprès ou faites accidentellement briser le système de cible. Avec le système de victime mort, le ver simplement ne peut pas l'employer pour écarter l'infection à d'autres systèmes. En termes biologiques, les germes et les virus qui infectent une victime et rapidement la tuent ont habituellement l'impact très limité sur la population globale. Considérez le froid commun. Vous obtenez les sniffles et un mal de tête ennuyant, mais pouvez encore pour sortir et environ, fonctionnement et jeu. Cependant, tout en allant dessus de pair avec votre vie, vous pourriez inconsciemment infecter un bon nombre de gens avec un froid. Ebola, d'autre part, fait mourir ses victimes tragiquement, habituellement avant qu'elles puissent infecter d'autres. Bien que terrifiant, Ebola est un microbe pathogène loin moins réussi en termes de son taux d'infection.

D'une mode semblable, le plus avec succès la propagation des vers sont celle qui ne détruisent pas une machine de victime immédiatement. Au lieu de cela, de tels vers se reposent furtivement sur la victime et commencent à se écarter à d'autres cibles. Ces mêmes vers pourraient, à une certaine future heure, complètement gâcher cette victime, mais cela se produit seulement après un cycle relativement plus long d'infection.

La Diffusion D'Overexuberant A pu Encombrer Des Réseaux

Se briser des victimes n'est pas la seule manière que un ver pourrait par distraction empêcher sa propre efficacité. Si la diffusion d'un ver utilise les quantités colossales de largeur de bande sur la victime ont usiné des réseaux, le ver pourraient obstruer le réseau avec des copies de lui-même. La congestion de réseau provoquée par le ver a pu obstruer outre de la propre propagation du ver. Parlez de se tirer en pied.

Nous avons vu ce frottement inhérent de propagation de art de l'auto-portrait-created dans le sauvage avec le ver de SQL Slammer. Pendant qu'une vue d'ensemble, en janvier 2003, SQL Slammer écartait rapidement d'une certaine source anonyme dans tous des Internet Service Provider (ISPs) en Corée Du sud. Après établissement dans l'ensemble de la Corée Du sud, le ver a produit tellement du trafic essayant d'écarter ailleurs que sa propagation a été sévèrement entravée. Des réseaux dans l'ensemble de la Corée Du sud ont été claqués, incapable d'accéder au reste du monde. Heureusement pour le reste du monde, bien que, dû à cette consommation de la largeur de bande en Corée Du sud, SQL Slammer ait été moins préjudiciable lointain qu'il autrement pourrait avoir été. Un ver bien plus méchant aurait étranglé sa propre consommation de largeur de bande pour aider à assurer son succès dans la propagation.

Ne faites pas un pas sur vous-même !

Une autre limitation dans la propagation de ver a très étroitement lié aux issues que nous avons discutées jusqu'ici implique le ver faisant un pas sur lui-même. Supposez les diffusions de ver avec succès à une machine cible. Les mécanismes de propagation d'ogive et de ver fonctionnent flawlessly pour le compromis de cette victime. Juste comme le ver commence à courir sa charge utile et moteur d'optimisation, WHAM ! Un autre segment de l'exact le même ver saute dedans du réseau et recouvre l'installation précédente. En tant que celui l'exemple nouvellement installé du ver est prêt pour courir sa charge utile, il pourrait obtenir le coup encore, quand un autre exemple de l'exact le même ver entre du réseau. De tels vers sont si virulents dans leurs attaques qu'ils ne peuvent obtenir aucun vrai travail effectué sur un système de cible. De charge utile les courses jamais, comme ver a lieu si occupé re-infectant les cibles déjà conquises. Pour éviter ce problème, quelques ogives de ver vérifient pour voir si le ver est déjà installé sur un système de cible avant l'infection. De cette façon, elles n'annihileront pas un premier segment du même ver déjà sur la cible.

N'obtenez pas fait un pas dessus par quelqu'un d'autre

Un empêchement final à la diffusion de ver implique la possibilité que deux vers lancés par différents ensembles d'attaquants pourraient utiliser la même ogive pour réaliser un but différent. Le premier ver pour conquérir le système de cible a installé le magasin et commence à courir sa charge utile et à balayer le moteur. Après, un ver complètement différent attaque la machine de victime, recouvrant le premier ver. Tandis que le deuxième ver fonctionne, le premier ver pourrait essayer encore de frapper la cible. La machine cernée de victime est attrapée dans une guerre de gazon de ver.

"sûrement, de telles choses ne se produisent pas dans le sauvage," vous pourraient penser. Bien, en fait elles . Le projet de Honeynet a fait face juste à un tel cas vers la fin de 2000. Si vous n'avez pas entendu, le projet de Honeynet est un groupe de 30 geeks de sécurité, mené par Lance Spitzner, de qui établit des systèmes et les met sur l'Internet ainsi ils peuvent obtenir entaillés. Basé sur les observations du projet de Honeynet de la façon dont les attaquants fonctionnent leur magie, la communauté entière de sécurité peut apprendre plus au sujet jusqu'derrière de ce que les mauvais types sont. J'ai été un membre fier du projet de Honeynet pendant plus de trois années maintenant, et nous avons le tout eu quelques aventures mêmes d'amusement. Dans le livre blanc intitulé "connaissez votre ennemi : Les vers à la guerre, "le projet de Honeynet décrit comment plusieurs vers ont combattu plus d'une de nos boîtes de Windows 98 sur une période de quatre jours.

Basé sur du trafic soupçonneux que nous avions détecté sur l'Internet, nous a construit une boîte de Windows 98, relie lui à l'Internet, et partagé : de C \ conduisez pour voir ce qui se produirait. Presque immédiatement un ver a assuré le système par l'intermédiaire de la part ouverte de dossier et a commencé à courir une charge utile qui a essayé de fendre une clef de chiffrage. Dans un jour, un ver complètement différent a succédé la même boîte, neutralise le premier ver, et alors réglé au sujet de fendre une autre clef de chiffrage. Ne pas être surpassé, encore un autre ver a envahi sous peu ensuite. Il était tout à fait comique pour voir ces bêtes méchantes défaire chaque autres travail dur en enlevant la charge utile du ver précédent et en effaçant n'importe quelle partie de son progrès. Une version plus futée de n'importe lequel de ces vers aurait neutralisé le dossier partageant de sorte que des autres les ogives vers et les moteurs de propagation n'aient pas pu accéder à la machine cible. De cette façon, chaque ver aurait été plus réussi bien s'il avait fixé la vulnérabilité qu'il écrivait le système en premier lieu.

c'est un article supplémentaire par Sean Kazen


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions