蠕虫与邮件病毒不同
随着网络资源的共享,电子邮件系统的广泛应用,利用电子邮件作为主要传播载体的病毒越来越多,并且造成了极大的危害。孙子兵法曰:知己知彼,百战不殆,了解敌手是克敌制胜的重要先决条件。随着蠕虫和病毒的危害趋于加剧,我们有必要将二者区分开来,按照各自的特点进行各个击破。
目前公众乃至业界对蠕虫和病毒的理解不统一,一般都将两者统称为病毒。从广义上定义,凡能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒,所以从这个意义上说,蠕虫也是一种病毒,但是蠕虫病毒和一般的病毒有着很大的区别。一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。如Morris, Codered, Nimda, SQL Slammer, MSBlaster之类的蠕虫。而根据RFC以及Eugene Spafford的定义,蠕虫的特点是:可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。而计算机病毒则是一段代码,能把自身加到其它程序包括操作系统上,不能独立运行,需要由它的宿主程序运行来激活它。
而邮件病毒其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”。但是邮件病毒具有感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等特点。一般的邮件病毒就如:Mellisa, Loveletter, Sircam, Sobig, Mydoom
蠕虫和邮件病毒具备的相同之处就是具有极强的传染性。设置后门程序、发动拒绝服务攻击等也往往成为二者的重要行为特征。由此我们可以看到,控制蠕虫和邮件病毒的有力手段是控制网络传播途径,包括邮件传播、漏洞入侵传播、共享传播等;而控制普通计算机病毒的重要手段则是分布全网所有计算机终端的集中网络防病毒系统。
分而治之
虽然蠕虫和邮件病毒就像电影《黑客帝国》中,特工Smith在进攻中不断将他人复制为自身,借以倍增其攻击力,不断地传播和复制进行进攻能力的积聚。蠕虫通常利用系统存在的安全漏洞进行入侵传播,而邮件病毒则利用电子邮件系统的便捷性以及用户安全意识的薄弱作为突破口进行传播。明确这一点后,控制蠕虫和邮件病毒的传播是非常重要的,制定防御策略是相当关键的。
分而制之是控制蠕虫和邮件病毒传播的主要方针。冠群金辰安全专家建议采用基于单元的防御策略(Cell-Based defense policy)。其基本原理是在整个网络中进行安全单元(Cell)划分,对容易感染的单元、重点防范单元进行蠕虫隔离。比如将远程访问网段、具有Internet访问能力的网段等和业务网段隔离,避免这些网段感染的蠕虫和邮件病毒进一步渗透到业务网段中来。同时,在一些关键网段如核心业务网段前,也有必要进行蠕虫隔离,避免突发事件造成严重破坏。经过周密规划和部署后,即使一些员工的计算机不慎感染了蠕虫或病毒,其影响也会被严格控制在该计算机所在的单元(Cell)之内,而不会通过网络扩散到其它单元,造成事态的恶化。
总体上讲,对于类似于Mydoom这样的邮件病毒或其它具有高传播能力的蠕虫,我们可以采用传染病学原理进行控制。控制传染病有三要素:控制传染源,切断传播途径,保护易感人群。对应于蠕虫和邮件病毒的防范,这三个要素就是:利用网络监控系统(如干将/莫邪IDS)快速发现感染计算机并实施控制措施;利用蠕虫和病毒隔离措施(如赤霄邮件过滤网关)进行蠕虫和病毒的传播途径阻断;对关键服务器进行安全加固(打补丁、安全配置或利用专用产品如龙渊服务器核心防护),对客户端计算机进行补丁程序的集中升级和管理。
联系方式:QQ:6084884 email:agwcn@126.com
粤ICP备05055782号
本网站中发布的文章只代表发表人的个人观点,不代表安迪教程网网站的立场
copyright© 2000-2004 安迪教程网 All rights reserved agwcn.com