当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 贪婪—Sobig和Mydoom成功原因

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 贪婪—Sobig和Mydoom成功原因


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 43 ::
收藏到网摘: n/a

现在,专家们已经开始讨论这样一些问题:MyDoom病毒之所以能够快速传播,说明阻止病毒攻击的对策是不充分的。根据在全球范围内造成的危害以及所造成的严重后果,MyDoom病毒和Sobig病毒的危害性分别位居第一位和第二位。为了防止安全专家过于将注意力集中于MyDoom病毒的组件——分布式拒绝服务攻击(DDOS),让我们不要忘记这两种病毒的攻击还是有一些共性的,尽管人们曾经要求提供商团体介入处理这些共性问题,但是到目前为止这些提供商拒绝一起处理这些共性。

要不是那些一直想寻找到一种方法来把他们的资源变成资本的电子邮件技术公司和ISP的贪婪,就不会导致这两次垃圾邮件病毒的泛滥,那么现在这么多由于Sobig和MyDoom所造成的巨大损失都可能可以避免。

哪些人或者公司将会出现在“最贪婪”列表中?首先是那些通过他们的系统来传递大量因特网电子邮件的ISP。这些群体甚至包括Yahoo!,MSN,Earthlink和AOL以及其他一些群体。在我的列表中位于第二位的是那些编制电子邮件客户端和服务器的电子邮件技术公司,其他公司使用这些技术来发送和接收电子邮件。这个群体包括IBM,微软,Novell以及Qualcomm(Eudora的生产厂家),当然这里列出的只是极小的一部分。

不幸的是,与社会责任相比较而言,与阻止兜售信息邮件相关的潜在的财政收入好像更加诱人。对于兜售信息邮件这个问题,虽然我们一般都是直接谴责犯罪者,但是上面所提到的技术公司也应该因为没有正确处理这些问题而同样受到谴责。

最后,无论如何,作为因特网用户,我们也应该受到一些谴责,因为我们在这些公司受到严重打击的时候没有为它分担相关的责任——尤其是在金钱上。

对当前攻击的分析
现在,让我们来看一看MyDoom病毒攻击是如何将电子邮件作为一个可以攻击的弱链的。也许,根据MyDoom大量的大字标题,专家们能够预测下一步可能会发生什么事情,但是我们几乎无法对其采取任何行动。对待病毒,就象我们对待在南佛罗里达州着陆的飓风Andrew一样。我们看到它来了,我们也知道它的危害,而且我们也知道它将在何处着陆,但是,我们却无法采取任何行动来阻止飓风所造成的浩劫。

MyDoom比Sobig危害更严重的一个原因是,它利用了Sobig基本的电子邮件病毒原理,并在其中增加了DDoS组件。在我以前的一篇分析报告中(在此文中,我再一次持有这种观点:我们的技术公司要对没有及时阻止病毒的传播承担责任),缺少对这种攻击的下一步可能进化的方向的描述,但是我的解释仍然留下了一个暗示。我是这样解释的,“如果Sobig使用DDoS这种攻击方式,那将更可怕,因为它代表成千上万的系统,通过因特网向网络的主干道发送大量请求,从而阻塞了网络交通。”

在注意到SCO的因特网域名被MyDoom击跨时,我认为受到DDoS攻击之后,系统将无法做任何事情。那么,究竟什么是DDoS攻击呢?所谓DDoS就是指分布在全世界的系统几乎在同时向同一个实体发送请求(这个实体可能是一个网页服务器,FTP服务器,电子邮件服务器或者是整个域等)。如果有足够多的系统来支持这种攻击,目标(或者通向这个目标的路径)将无法承受这么多的请求,包括合法请求都将无法通过这些路径或者无法得到服务,因为网络实在是太拥挤,或者系统实在是太忙。

Jeff Carlon,SCO的全球IT基础设施的主管,深知这种原理。在我对他的访谈中,Carlon解释道,随着各种攻击技术变得越来越高级,对这些攻击的检测和防范也变得越来越难。

事实上,通过MyDoon病毒发送的DDoS攻击还是有一定的签名特征的,通过利用这个特征,SCO从第一波攻击中幸存,而微软则成功的阻击了这种病毒的攻击。顺便要提及的是,微软除了说明这种病毒攻击的目标是它的网站外,几乎没有说明它采取了什么措施来阻止这些DDoS攻击的,另外,微软还说明了以下内容:在这些病毒发动攻击时,他们只是向自己发送请求,因此那些受感染的计算机参与攻击的数量也就大大减少了。

同样的,由于MyDoom只是以Sobig的一个进化版本形式出现,因此我敢保证,DDoS攻击的进化版还没有结束。例如,MyDoom DDoS攻击的一个签名元素是受感染系统向SCO的网站发送包的数量、大小以及频率。发动攻击的犯罪者一定会修改这些特征使得新的病毒更难被检测,那些认为犯罪者不会修改这些特征的人只会愚弄他们自己。

试想将自己放在这样一种环境中呆上一会儿:每个攻击系统发送包的个数不同,大小不同,而且发送的频率是随机的,那么你用什么方法来断定它是DDoS攻击呢?又怎么阻止这种数据包的发送呢?然而Carlon对此却怀有一定的自信,那就是如果在很短的时间周期内,某一个系统向SCO的网站发送包的数量超过了64,000个的话,那么这个