為什么蠕蟲病毒再次橫行�?
2003年1月25日,就在用戶正為過去一年中沒有大規(guī)模爆發(fā)計算機(jī)病毒而暗自慶幸的時候����,一種名為SQL Slammer(又稱為強(qiáng)風(fēng)、SQL監(jiān)獄、SQL殺手)的病毒橫掃全球�,造成多個國家和地區(qū)的骨干網(wǎng)絡(luò)陷入癱瘓狀態(tài)。該蠕蟲病毒是一種新的Internet蠕蟲���,該病毒利用了微軟MSSQL2000的緩沖區(qū)溢出漏洞����,主要攻擊各種版本的Windows操作系統(tǒng)中運(yùn)行的SQL Server 2000 服務(wù)器和Microsoft Desktop Engine 2000�����。
SQL的UDP的1434端口主要用于客戶端查詢可用的連接方式��,但由于程序上的漏洞��,當(dāng)客戶端發(fā)送超長數(shù)據(jù)包時��,將導(dǎo)致緩沖區(qū)溢出���,惡意黑客便利用此漏洞在遠(yuǎn)程機(jī)器上執(zhí)行自己準(zhǔn)備好的惡意代碼�����,將病毒放逐到Internet上���。感染病毒的機(jī)器將不斷向外發(fā)送這種UDP數(shù)據(jù)包造成網(wǎng)絡(luò)堵塞�����。
看到這種蠕蟲的原理后���,我們發(fā)現(xiàn)SQL與分別在2001年7月和9月爆發(fā)的紅色代碼II���、尼姆達(dá)病毒有著驚人的相似之處:
同樣利用已知的操作系統(tǒng)或應(yīng)用系統(tǒng)的安全漏洞進(jìn)行感染�����;
同樣利用感染后的計算機(jī)進(jìn)行風(fēng)暴式的再傳播�����;
同樣造成網(wǎng)絡(luò)或主機(jī)的拒絕服務(wù)攻擊�;
同樣可能留下以后攻擊用的安全后門���。
微軟公司早在2002年7月24日就在微軟的安全公告MS02-039中頒布了SQL Slammer利用的這個漏洞���,并且在同年7月25日,明確了MSDE2000同樣存在此漏洞。這又同紅色代碼和尼姆達(dá)病毒一樣�,病毒傳播利用的安全漏洞是數(shù)月之前就已經(jīng)被明確發(fā)布的。也就是說�����,如果事先注意到這種安全漏洞的存在�����,并且及時打上補(bǔ)丁���、做出其它相應(yīng)的預(yù)防措施的話���,這些病毒就不會對需要保護(hù)的計算機(jī)和網(wǎng)絡(luò)造成危害。
蠕蟲病毒爆發(fā)后�,我們應(yīng)該如何應(yīng)對?
SQL Slammer蠕蟲病毒爆發(fā)后�����,各防病毒軟件廠商�����、安全廠商都進(jìn)行了快速的反應(yīng),廣大媒體也給予了高度的重視和報道����。這說明了信息安全防護(hù)的概念正在深入人心,是一種好的現(xiàn)象����。但是透過現(xiàn)象看本質(zhì),我們應(yīng)該不僅僅針對這一種病毒談?wù)撊绾吻宄头雷o(hù)���,而應(yīng)該進(jìn)一步去考慮,如何應(yīng)對這種攻擊形式的威脅?
實(shí)際上就SQL Slammer蠕蟲病毒而言�,清除和防范是相對比較簡單的,因?yàn)榇瞬《静粫衿渌《灸菢痈腥疚募?��、安裝后門程序以及向外發(fā)送電子郵件����,它只是通過含有漏洞的系統(tǒng)�����,進(jìn)入內(nèi)存運(yùn)行����,所以僅僅重新啟動計算機(jī)就可以將內(nèi)存中的病毒清除�;安裝微軟公司提供的SQL的補(bǔ)丁程序(http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602)或者M(jìn)icrosoft SQL Server 2000 SP3 (http://www.microsoft.com/sql/downloads/2000/sp3.asp )就可以避免被同樣的病毒感染��。
那么�,如何應(yīng)對其他類似攻擊形式的威脅呢?我們需要首先分析一下���,用戶屢屢受蠕蟲病毒困擾的原因���。
[Page]
為什么用戶再次成為蠕蟲病毒的受害者?
2001年的紅色代碼II與尼姆達(dá)病毒大規(guī)模的爆發(fā)的影響力不可謂不大�����,給用戶造成的危害損失也絕不是小數(shù)目����。可為什么在經(jīng)歷過如此慘痛的教訓(xùn)后�����,我們的用戶還會再次成為蠕蟲病毒的受害者����?
冷靜回顧一下最近爆發(fā)的幾種危害較大的蠕蟲病毒的處理過程����,我們就可以發(fā)現(xiàn)這樣一個循環(huán):
簡單分析一下這個10步之多的循環(huán)過程���,我們不難發(fā)現(xiàn)��,病毒能夠傳播的重要環(huán)節(jié)在于第3步���,即用戶沒有及時安裝補(bǔ)丁程序,而目前我們對此種病毒的關(guān)鍵防范環(huán)節(jié)在于第9步���,即用戶安裝補(bǔ)丁程序。這兩個步驟的主體都是用戶�����,而客體都是補(bǔ)丁程序���。
但是�����,顯然目前按照這種方式的結(jié)果不是令人滿意的�����。因?yàn)橐呀?jīng)有相當(dāng)多的服務(wù)器遭受感染���,無數(shù)的網(wǎng)絡(luò)被攻擊���。其原因在于,作為企業(yè)級的用戶�,信息安全的負(fù)責(zé)人員往往是網(wǎng)絡(luò)管理人員兼任,或者是非常少的幾個專職人員�,往往需要同時維護(hù)大量、復(fù)雜的系統(tǒng)和網(wǎng)絡(luò)�。由于精力和專業(yè)知識所限,極少有可能緊跟所有網(wǎng)絡(luò)和系統(tǒng)廠商發(fā)布的各種各樣的漏洞公告和補(bǔ)丁發(fā)布消息����。
而且,進(jìn)一步說�,如果僅僅依賴于補(bǔ)丁程序來抵御這種攻擊的話,也同樣存在相當(dāng)大的風(fēng)險�����,就是從安全漏洞被發(fā)現(xiàn)到廠商發(fā)布補(bǔ)丁程序中間這段時間可能被惡意攻擊者所利用。
所以����,目前用戶所采用的蠕蟲病毒的防御方式是極其被動的,受到很多種外在因素的制約��,很難起到有效的預(yù)防作用���,往往是事故發(fā)生后再去彌補(bǔ)��。這時���,面對剛剛從停頓中恢復(fù)的網(wǎng)絡(luò)、服務(wù)器�����,以及由此造成的損失��,再看著各個反病毒和信息安全廠商大同小異的分析和解決措施����,用戶心里會作何感想呢��?
1.(廠商或其他人員)發(fā)現(xiàn)(新的)安全漏洞
↓
2.(廠商)發(fā)布補(bǔ)丁程序
↓
3.(用戶)沒有及時安裝補(bǔ)丁程序
↓
4.(測試人員或者惡意攻擊者)利用漏洞編寫攻擊程序
↓
5.(蠕蟲病毒制造者)利用該攻擊程序編寫能夠自我傳播和復(fù)制的蠕蟲病毒
↓
6.(蠕蟲病毒傳播者)選擇合適時機(jī)和手段將病毒擴(kuò)散到公共網(wǎng)絡(luò),如internet上
↓
7.(用戶)發(fā)現(xiàn)被感染并且報警
↓
8.(信息安全廠商和反病毒專業(yè)機(jī)構(gòu))研究病毒并且給予解決措施
↓
9.(用戶)安裝補(bǔ)丁程序
↓
10. (這種病毒)得到控制
桂公網(wǎng)安備45010502000253號
電子營業(yè)執(zhí)照