计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛伊木马有效,还是仅对病毒有效?
恶意软件的特征:负载形式
负载
一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为"负载"的操作,负载可以采用许多形式。在本部分中识别的某些常见负载类型包括:
• 后门。这种类型的负载允许对计算机进行未经授权的访问。它可能提供完全访问权限,但也可能仅限于某些访问权限,例如,通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet,黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。正如前面所述,后门有时也称为"远程访问特洛伊"。
• 数据损坏或删除。一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码,它可以使用户计算机上的信息变得无用。此处恶意软件编写者具有两个选项:第一个选项是将负载设计为快速执行。尽管对于它所感染的计算机而言极具潜在破坏性,但是此恶意软件的设计会导致其很快被发现,从而减少了其复制操作不被发现的可能性。另一个选项是将负载在本地系统上(以特洛伊木马的形式)保留一段时间(有关其示例的信息,请参阅本章后面的"触发机制"部分),这样会使恶意软件在尝试传递负载之前进行传播,从而使用户警觉到它的存在。
• 信息窃取。一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载。如果负载会损害宿主计算机的安全,则它可能会提供一种将信息传回恶意软件作恶者的机制。这种情况可以多种形式发生;例如,传输可以自动进行,从而使恶意软件可以很容易地获取本地文件或信息,例如,用户所按的键(以便获取用户名和密码)。另一种机制是在本地宿主上提供一种环境,使攻击者可以远程控制该宿主,或直接获取对系统上文件的访问权限。
• 拒绝服务 (DoS)。可以传递的一种最简单的负载类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击,它使网络服务超负荷或停止网络服务,如 Web 服务器或文件服务器。DoS 攻击的唯一目的是使特定服务在一段时间内不可用。
• 分布式拒绝服务 (DDoS)。这种类型的攻击一般使用已感染的客户端,而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击,其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生的语义根据攻击的不同而不尽相同,但是它们通常都涉及将大量数据发送到特定的宿主或网站,使其停止对合法通信的响应(或者无法响应)。这样会完全占用受害站点的可用带宽,并且会有效地使此站点脱机。
这种类型的攻击极难进行防护,因为应为此类攻击负责的宿主实际上其自身已成为不知情的受害者。DDoS 攻击通常由 bots(执行重复任务的程序)执行(例如,Internet 中继聊天 (IRC) Eggdrop bots),黑客可以使用 bots 通过 RC 通道来控制"受害"计算机。一旦这些计算机处于黑客的控制之中,它们就会成为"僵尸进程",并会在接到攻击者的命令之后影响目标,而计算机的所有者对此不会有任何察觉。
DoS 和 DDoS 方法都涉及到了许多不同的攻击技术,包括:
• 系统关闭。如果恶意软件可以关闭宿主系统或使其崩溃,则它可以成功地中断一项或多项服务。攻击宿主系统需要恶意软件找到应用程序的漏洞,或可以导致系统关闭的操作系统。
• 带宽充满。提供给 Internet 的大多数服务都通过带宽有限的网络连接进行链接,而网络又将它们连接到客户端。如果恶意软件编写者传递的负载使用虚假的网络通信填满带宽,则仅通过阻止客户端使其无法直接连接到服务即可生成 DoS。
• 网络 DoS。这种类型的负载试图使本地宿主可用的资源超负载。诸如微处理器和内存能力的资源因 SYN 洪水攻击而溢出;在此类攻击中,攻击者使用某个程序发送大量的 TCP SYN 请求,以填满服务器上挂起的连接队列,并拒绝来自宿主的合法网络通信和到宿主的合法网络通信。电子邮件炸弹攻击也通过填满存储资源来创建 DoS 攻击;在这种攻击中,过分庞大的电子邮件数据会发送到电子邮件地址,并试图中断电子邮件程序或使接收者无法再收到合法的信息。
• 服务中断。这种类型的负载也会导致 DoS。例如,如果域名系统 (DNS) 服务器上的攻击禁用了 DNS 服务,则此 DoS 攻击技术已经实现。但是,系统上的所有其他服务可能仍保持未感染状态。
网友评论