Nuwar的(网络)流量分析
Nuwar,也被称作Storm Worm,在今年的反病毒业中,是一种很流行的威胁。因为它的高水平,以及作者花费大量精力维护的这个强大的僵尸网络,使得这种威胁引起了广泛关注。操作Nuwar botnet的botherder,使用基于电驴点对点网络协议的分布式网络,来控制被感染的PC。很少有恶意软件使用这样的网络结构,因为它比我们熟悉的常用的IRC协议,或者近来的超文本传输协议(HTTP)复杂得多。使用点对点的方式增加了网络的可靠性,因为没有可以切断的中心点,也就是说,不会有单点故障(SPoF)。尽管如此,这种可靠性也是有成本的:它会显著消耗网络带宽。下面的这张图展示了被Nuwar感染后的计算机发送(蓝色区域)和接收(红色区域)通讯包的情况。X轴表示被感染后的分钟数,Y轴表示发出数据包的数量。从图中我们可以看到,感染后的最初20分钟被用来与其他被感染的系统进行连接,并加入到这个分布式网络中。尝试连接的过程产生了很大的流量。一 旦被感染的节点加入网络,它就只做小时性的网络维护:尝试找出新加入的节点,删除已失去连接的节点。这种受控制的数据包,在图中分别对应在80分钟和140 分钟出现的峰值。
[align=center][attach]6627[/attach][/align]
一个节点加入Nuwar网络时出现的显著柱状流量,以及以后每个小时出现的用于控制的流量,都是有警惕性的网络管理员值得关注的对象。看起来,这个 恶意软件的作者,更多的考虑了可靠性,而非秘密性。(计算机)安全业需要关注攻击者的入侵。这些付出能找出设计中的薄弱环节,帮助我们保护自己的基础设 施。
观察员
Pierre-Marc Bureau
词汇
Nuwar:一种蠕虫
Botnet:僵尸网络
botherder:傀儡牧人
SPoF:single point of failure,单点故障
botherder:傀儡牧人
SPoF:single point of failure,单点故障
[[i] 本帖最后由 dual 于 2007-11-19 17:01 编辑 [/i]] 嘿嘿,僵尸搞过,后来就没什么时间弄 好强啊,学习了支持楼主! 代理CCNA MCSE等国际IT认证考试
ITRENZHENG成立于2003年10月,是直接依附于PROMETRIC与VUE两家国际考试中心的认证考试
代理服务提供商,
所代理的IT认证考试包括CCNA 、CCDA、CCNP、CCDP、CCIE、MCSE、MCSE2003、MCSD、MCSA
、CIW、ORACLE、SCJP等三十余种。
现在已经在全国5大城市及台湾都拥 有了联盟的PROMETRIC与VUE考试中心 。
ITRENZHENG拥有多位培训中心的在职讲师,他们拥有丰富的教学经验,长期身临考场第一
线,随时把 握考试动态,为我们100%一次通过的承诺提供了最有力的保障。在我们这里参
加考试,既能够快速的通过考试,又可以避免了许多不必要的麻烦.
详情请登录:[url]http://www.pass1000.com[/url]
论坛:[url]http://www.pass1000.net[/url]
QQ:692282
MSN:it_renzheng@hotmail.com
页:
[1]