Nuwar的（网络）流量分析

network

Nuwar的（网络）流量分析Nuwar，也被称作Storm Worm，在今年的反病毒业中,是一种很流行的威胁。因为它的高水平，以及作者花费大量精力维护的这个强大的僵尸网络，使得这种威胁引起了广泛关注。操作Nuwar botnet的botherder，使用基于电驴点对点网络协议的分布式网络，来控制被感染的PC。很少有恶意软件使用这样的网络结构，因为它比我们熟悉的常用的IRC协议，或者近来的超文本传输协议（HTTP）复杂得多。使用点对点的方式增加了网络的可靠性，因为没有可以切断的中心点，也就是说，不会有单点故障（SPoF）。尽管如此，这种可靠性也是有成本的：它会显著消耗网络带宽。

下面的这张图展示了被Nuwar感染后的计算机发送（蓝色区域）和接收（红色区域）通讯包的情况。X轴表示被感染后的分钟数，Y轴表示发出数据包的数量。从图中我们可以看到，感染后的最初20分钟被用来与其他被感染的系统进行连接，并加入到这个分布式网络中。尝试连接的过程产生了很大的流量。一 旦被感染的节点加入网络，它就只做小时性的网络维护：尝试找出新加入的节点，删除已失去连接的节点。这种受控制的数据包，在图中分别对应在80分钟和140 分钟出现的峰值。

一个节点加入Nuwar网络时出现的显著柱状流量，以及以后每个小时出现的用于控制的流量，都是有警惕性的网络管理员值得关注的对象。看起来，这个 恶意软件的作者，更多的考虑了可靠性，而非秘密性。（计算机）安全业需要关注攻击者的入侵。这些付出能找出设计中的薄弱环节，帮助我们保护自己的基础设 施。
观察员
Pierre-Marc Bureau

词汇
Nuwar：一种蠕虫
Botnet：僵尸网络
botherder：傀儡牧人
SPoF：single point of failure，单点故障