一、蠕蟲的基本結構和傳播過程

　　蠕蟲的基本程序結構為：

　　1、傳播模塊：負責蠕蟲的傳播，這是本文要討論的部分。

　　2、隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發現。

　　3、目的功能模塊：實現對計算機的控制、監視或破壞等功能。

　　傳播模塊由可以分為三個基本模塊：掃描模塊、攻擊模塊和復制模塊。

　　蠕蟲程序的一般傳播過程為：

　　1.掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。

　　2.攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權限（一般為管理員權限），獲得一個shell。

　　3.復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。

　　我們可以看到，傳播模塊實現的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術，沒有蠕蟲的傳播技術，也就談不上什么蠕蟲技術了。

　　想必大家對入侵的一般步驟都是比較熟悉的。我們簡單回憶一下。

　　第一步：用各種方法收集目標主機的信息，找到可利用的漏洞或弱點。

　　第二步：針對目標主機的漏洞或缺陷，采取相應的技術攻擊主機，直到獲得主機的管理員權限。

　　第三步：利用獲得的權限在主機上安裝后門、跳板、控制端、監視器等等，清除日志。

　　我們一步一步分析。

　　先看第一步，搜集信息，有很多種方法，包括技術的和非技術的。采用技術的方法包括用掃描器掃描主機，探測主機的操作系統類型、版本，主機名，用戶名，開放的端口，開放的服務，開放的服務器軟件版本等。非技術的方法包括和主機的管理員拉關系套口風，騙取信任，威逼利誘等各種少兒不宜的手段。當然是信息搜集的越全越好。搜集完信息后進入第二步。

　　第二步，對搜集來的信息進行分析，找到可以有效利用的信息。如果有現成的漏洞可以利用，上網找到該漏洞的攻擊方法，如果有攻擊代碼就直接COPY下來，然后用該代碼取得權限,OK了；如果沒有現成的漏洞可以利用，就用根據搜集的信息試探猜測用戶密碼，另一方面試探研究分析其使用的系統，爭取分析出一個可利用的漏洞。如果最后能找到一個辦法獲得該系統權限，那么就進入第三步，否則，放棄。

　　第三步，有了主機的權限，你想干什么就干什么吧。如果你不知道想干什么，那你就退出來去玩你喜歡玩的游戲吧。

　　上面說的是手動入侵的一般過程，對于自動入侵來說，在應用上有些特殊之處。

　　蠕蟲采用的自動入侵技術，由于程序大小的限制，自動入侵程序不可能有太強的智能性，所以自動入侵一般都采用某種特定的模式。我們稱這種模式為入侵模式，它是由普通入侵技術中提取出來的。目前蠕蟲使用的入侵模式只有一種，這種模式是就是我們前面提到的蠕蟲傳播過程采用的模式：掃描漏洞－攻擊并獲得shell－利用shell。這種入侵模式也就是現在蠕蟲常用的傳播模式。這里有一個問題，就是對蠕蟲概念的定義問題，目前對蠕蟲的定義把這種傳播模式作為蠕蟲的定義的一部分，實際上廣義的蠕蟲應該包括那些使用其他自動傳播模式的程序。

　　我們先看一般的傳播模式。

　　1.模式：掃描－攻擊－復制。

　　從新聞中看到關于蠕蟲的報道，報道中總是強調蠕蟲如何發送大量的數據包，造成網絡擁塞，影響網絡通信速度。實際上這不是蠕蟲程序的本意，造成網絡擁塞對蠕蟲程序的發布者沒有什么好處。如果可能的話，蠕蟲程序的發布者更希望蠕蟲隱蔽的傳播出去，因為蠕蟲傳播出去后，蠕蟲的發布者就可以獲得大量的可以利用的計算資源，這樣他獲得的利益比起造成網絡擁塞的后果來說顯然強上萬倍。但是，現有的蠕蟲采用的掃描方法不可避免的會引起大量的網絡擁塞，這是蠕蟲技術發展的一個瓶頸，如果能突破這個難關，蠕蟲技術的發展就會進入一個新的階段。

　　現在流行的蠕蟲采用的傳播技術目標一般是盡快地傳播到盡量多的電腦中，于是掃描模塊采用的掃描策略是這樣的：

　　隨機選取某一段IP地址，然后對這一地址段上的主機掃描。笨點的掃描程序可能會不斷重復上面這一過程。這樣，隨著蠕蟲的傳播，新感染的主機也開始進行這種掃描，這些掃描程序不知道那些地址已經被掃描過，它只是簡單的隨機掃描互聯網。于是蠕蟲傳播的越廣，網絡上的掃描包就越多。即使掃描程序發出的探測包很小，積少成多，大量蠕蟲程序的掃描引起的網絡擁塞就非常嚴重了。

　　聰明點的作者會對掃描策略進行一些改進，比如在IP地址段的選擇上，可以主要針對當前主機所在的網段掃描，對外網段則隨機選擇幾個小的IP地址段進行掃描。對掃描次數進行限制，只進行幾次掃描。把掃描分散在不同的時間段進行。掃描策略設計的原則有三點：

　　盡量減少重復的掃描，使掃描發送的數據包總量減少到最小2保證掃描覆蓋到盡量大的范圍3處理好掃描的時間分布，使得掃描不要集中在某一時間內發生。怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證。

　　掃描發送的探測包是根據不同的漏洞進行設計的。比如，針對遠程緩沖區溢出漏洞可以發送溢出代碼來探測，針對web的cgi漏洞就需要發送一個特殊的http請求來探測。當然發送探測代碼之前首先要確定相應端口是否開放，這樣可以提高掃描效率。一旦確認漏洞存在后就可以進行相應的攻擊步驟，不同的漏洞有不同的攻擊手法，只要明白了漏洞的利用方法，在程序中實現這一過程就可以了。這一部關鍵的問題是對漏洞的理解和利用。關于如何分析漏洞不是本文要討論的內容。

　　攻擊成功后，一般是獲得一個遠程主機的shell，對win2k系統來說就是cmd.exe，得到這個shell后我們就擁有了對整個系統的控制權。復制過程也有很多種方法，可以利用系統本身的程序實現，也可以用蠕蟲自代的程序實現。復制過程實際上就是一個文件傳輸的過程，實現網絡文件傳輸很簡單，這里不再討論。

　　2.模式的使用

　　既然稱之為模式，那么它就是可以復用的。也就是說，我們只要簡單地改變這個模式中各個具體環節的代碼，就可以實現一個自己的蠕蟲了。比如掃描部分和復制部分的代碼完成后，一旦有一個新的漏洞出現，我們只要把攻擊部分的代碼補充上就可以了。

　　利用模式我們甚至可以編寫一個蠕蟲制造機。當然利用模式也可以編寫一個自動入侵系統，模式化的操作用程序實現起來并不復雜。

　　除了上面介紹的傳播模式外，還可能會有別的模式出現。

　　比如，我們可以把利用郵件進行自動傳播也作為一種模式。這種模式的描述為：由郵件地址薄獲得郵件地址-群發帶有蠕蟲程序的郵件-郵件被動打開，蠕蟲程序啟動。這里面每一步都可以有不同的實現方法，而且這個模式也實現了自動傳播所以我們可以把它作為一種蠕蟲的傳播模式。

　　隨著蠕蟲技術的發展，今后還會有其他的傳播模式出現。

　　五.從安全防御的角度看蠕蟲的傳播模式

　　我們針對蠕蟲的傳播模式來分析如何防止蠕蟲的傳播思路會清晰很多。對蠕蟲傳播的一般模式來說，我們目前做的安全防護工作主要是針對其第二環即"攻擊"部分，為了防止攻擊，要采取的措施就是及早發現漏洞并打上補丁。其實更重要的是第一環節的防護，對掃描的防護現在人們常用的方法是使用防護墻來過濾掃描。使用防火墻的方法有局限性，因為很多用戶并不知道如何使用防火墻，所以當蠕蟲仍然能傳播開來，有防火墻保護的主機只能保證自己的安全，但是網絡已經被破壞了。另外一種方案是從網絡整體來考慮如何防止蠕蟲的傳播。

　　從網絡整體來防止蠕蟲傳播是一個安全專題，需要進一步研究。這里簡單提一下。從一般模式的過程來看，大規模掃描是蠕蟲傳播的重要步驟，如果能防止或限制掃描的進行，那么就可以防止蠕蟲的傳播了。可能的方法是在網關或者路由器上加一個過濾器，當檢測到某個地址發送掃描包就過濾掉該包。具體實現時可能要考慮到如何識別掃描包與正常包的問題，這有待進一步研究。

　　了解了蠕蟲的傳播模式，可以很容易實現針對蠕蟲的入侵檢測系統。蠕蟲的掃描會有一定的模式，掃描包有一定的特征串，這些都可以作為入侵檢測的入侵特征。了解了這些特征就可以針對其制定入侵檢測規則。

　　本文使用了入侵模式的概念，有人對入侵模式有不同的解釋，這里不討論入侵模式到底應該指什么，只是想利用這個概念來分析現在的蠕蟲傳播技術，不妥之處，請指正。