博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2236|回复: 0

Nuwar的(网络)流量分析

[复制链接]
发表于 2007-11-14 08:43:41 | 显示全部楼层 |阅读模式
Nuwar的(网络)流量分析Nuwar,也被称作Storm Worm,在今年的反病毒业中,是一种很流行的威胁。因为它的高水平,以及作者花费大量精力维护的这个强大的僵尸网络,使得这种威胁引起了广泛关注。操作Nuwar botnet的botherder,使用基于电驴点对点网络协议的分布式网络,来控制被感染的PC。很少有恶意软件使用这样的网络结构,因为它比我们熟悉的常用的IRC协议,或者近来的超文本传输协议(HTTP)复杂得多。使用点对点的方式增加了网络的可靠性,因为没有可以切断的中心点,也就是说,不会有单点故障(SPoF)。尽管如此,这种可靠性也是有成本的:它会显著消耗网络带宽。

下面的这张图展示了被Nuwar感染后的计算机发送(蓝色区域)和接收(红色区域)通讯包的情况。X轴表示被感染后的分钟数,Y轴表示发出数据包的数量。从图中我们可以看到,感染后的最初20分钟被用来与其他被感染的系统进行连接,并加入到这个分布式网络中。尝试连接的过程产生了很大的流量。一 旦被感染的节点加入网络,它就只做小时性的网络维护:尝试找出新加入的节点,删除已失去连接的节点。这种受控制的数据包,在图中分别对应在80分钟和140 分钟出现的峰值。

一个节点加入Nuwar网络时出现的显著柱状流量,以及以后每个小时出现的用于控制的流量,都是有警惕性的网络管理员值得关注的对象。看起来,这个 恶意软件的作者,更多的考虑了可靠性,而非秘密性。(计算机)安全业需要关注攻击者的入侵。这些付出能找出设计中的薄弱环节,帮助我们保护自己的基础设 施。
观察员
Pierre-Marc Bureau

词汇
Nuwar:一种蠕虫
Botnet:僵尸网络
botherder:傀儡牧人
SPoF:single point of failure,单点故障
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 12:03 , Processed in 0.085185 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表