摘要:曾几何时,咱们坚信防火墙是对付攻打最好的利器,但是3月底出现的一个蠕虫病毒彻底击碎了咱们的理念,防火墙与黑客的奋斗就好似一个亡羊补牢的游戏,如今这个专门替他人修补破绽的利器居然遗记修补自己的千疮百孔,网络安保技术顾问托尼·布德瑞博士说,如今简直一切的
网络安保技术顾问托尼·布德瑞博士说:“如今简直一切的软件都存在安保隐患或破绽,假设你想最大或许地防止病毒及黑客攻打,就请不要衔接互联网,更不要齐全置信你的防火墙……”
城门失守
2004年3月20日,一个星期六的早晨,重庆电信IDC机房的很多主机突然出现意外状况,主机仿佛遭到了溢出攻打,系统运转缓慢,而愈加重大的疑问是很多服务重视新启动后堕入了彻底的瘫痪形态,无法从新疏导和修复。
与此同时,环球网络在短短的半个小时之内,曾经有30000多台主机和团体电脑遭到了未知病毒的攻打而堕入瘫痪形态。
而且此次攻打的指标仿佛很有针对性,这些被攻打的机器都有一个相反的特色:装置有ISS公司的网络安保产品。
攻打事情的罪魁很快被查明,结果令群众十分吃惊,形成此次环球泛滥主机瘫痪的竟是一个名为Witty的蠕虫病毒,而Witty应用的正是ISS安保系列产品的一个破绽发起针对性攻打的。
Witty蠕虫的流传方式同冲击波十分相似,它不须要诈骗用户关上任何文件,它在感化一台主机后会迅速地将该主机变成一个病毒流传源,经过随机生成的IP地址尝试将病毒流传到新的PC机或主机上(图1)。WWw.ITCOMpUter.coM.cN
受攻打时的流量图
由于遭到攻打的指标少数为网络主机,因此Witty感化的速度也惊人地快。
崩塌的安保支柱
“Witty的流传速度真实令咱们吃惊,在短短半个小时内它就感化了多达32000台机器,这或许是历史上速度最快的恶意攻打了。”ISS公司X-Force研发部门副总裁克里斯·劳兰德显然对Witty的来到没有做好充沛的预备,“Witty每秒都会随机发生20000个IP地址启动攻打,然后经过ISS产品的破绽向主机硬盘中的关键分区写入渣滓数据,笼罩原有的关键系统数据。它捣毁了整个系统的稳固性,这些破坏最终会造成少数系统在从新启动时‘蓝屏死机’。”
ISS这次破绽的出现关键是由于ISS安保产品的入侵检测配置都依赖于一个名为 “iss-pam1.dll”的模块(图2),该模块中蕴含了协定剖析、攻打特色形容等外容。而iss-pam1.dll在解析驰名的通信软件ICQ地下的ICQ v5通信协定时对某些字段没有解决好,因此造成了缓冲区溢出破绽。
致破绽的iss-pam1.dll文件
不过由于这是RealSecure、BlackICE等安保产品对系统接纳到的数据包解析环节中出现的疑问,所以黑客或病毒要触发该破绽时,被攻打者的系统上并不须要运转ICQ。
iDefense的计算机安保专家肯·邓哈姆示意,在大少数用户系统中经常使用的反病毒软件很难发现Witty蠕虫,由于它并不将自己复制到硬盘上,也不修正注册表,而是常驻内存。互联网病毒、蠕虫以及其余恶意软件往往在遭到攻打的PC上装置软件或是关上后门让黑客控制PC,从而了解用户的团体消息或是应用受感化的电脑发送渣滓邮件。但Witty蠕虫却并非如此,Witty蠕虫自身并不以文件方式存在,它仅是一段UDP代码,这种情景相似于CodeRed和SQL Slamer蠕虫。而且大少数被感化的计算机将不得不从新装置整个系统,除非用户选择买新的电脑。他说:“这种病毒的破坏目的十分明白,那就是以Raw>普通来说,防火墙的目的是防止无法预测的、破坏性的入侵和袭击。防火墙经过监测、限度和更改超过它的数据流,以便尽或许对外屏蔽网络外部消息、网络的结构和运转的状况,保证网络的安保。但是如今的防火墙还不能有效地防范病毒的入侵。在网络上行输二进制的编码方式太多了,无法能查找一切的病毒。对病毒十分忧愁的机构应当在整个机构范畴内采取控制措施。不要试图将病毒挡在防火墙之外,而是保证每个软弱的桌面系统都装置上病毒扫描软件,只需一疏导计算机就智能对病毒启动扫描。应用病毒扫描软件来防护系统。From:
