四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法

四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法

冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。

这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。

1.冲击波/震荡波病毒

【故障现象】

感染此类病毒的计算机和网络的共同点：

1、不断重新启动计算机或者莫名其妙的死机；

2、大量消耗系统资源，导致windows操作系统速度极慢；

3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。

造成局域网内所有人网速变慢直至无法上网。

局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，

以查找其他开放了这些端口的主机进行传播，常见的端口有：

TCP 135端口（常见）；TCP 139端口（常见）；TCP 445端口（常见）；TCP 1025端口（常见）；TCP 4444端口；TCP 5554端口；TCP 9996端口；UDP 69端口… …

【快速查找】

在WebUI上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

1、协议为TCP，外网端口为135/139/445/1025/4444/5554/9996等；

2、会话中该主机有上传包，下载包往往很小或者为0。

【解决办法】

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。

2、在安全网关上关闭该病毒向外发包的相关端口。

1） WebUI高级配置组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP 地址段指定。

2） WebUI高级配置业务管理业务策略配置，建立策略“f_445”（可以自定义名称），屏蔽目的端口为TCP 445的数据包，按照下图进行配置，保存。

3）WebUI高级配置业务管理业务策略列表中，可以查看到上一步建立的“f_445”的策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。

4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允

许”，保存。

5）重复步骤2），将其他冲击波/震荡波端口TCP 135/139/445/1025/4444/5554/9996等关闭。

6） WebUI高级配置业务管理全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置之前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，已经有工作组存在，并且在业务管理中配置了策略，必须在WebUI高级配置组管理中，将该网段所有用户分配在相关的组中，然后在WebUI高级配置业务管理中将每个组的相关端口关闭。

3）某些冲击波/震荡波病毒的变种，攻击外网固定IP地址的TCP 80端口，如果关闭此端口，将导致用户无法正常Web浏览。此时可以将其攻击的外网地址关闭。如下图，在步骤2.2）中建立策略关闭内网用户到外网地址218.1.1.1/32的访问。

4）某些冲击波/震荡波病毒的变种，随机攻击外网地址的TCP 80端口，如果关闭此端口，将导致用户无法正常Web浏览。此时可以将该主机关闭。如下图，在步骤2.2）中建立策略关闭内网中毒主机192.168.0.100对外网的访问。

2.SQL蠕虫病毒

【故障现象】

SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。

此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。

中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS 拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。

【快速查找】

在WebUI上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

1、协议为TCP，外网端口为1433；协议为UDP，外网端口为1434；

2、会话中有上传包，下载包往往很小或者为0。

【解决办法】

1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQL Server的补丁。

2、在安全网关上关闭该病毒的相关端口。

1） WebUI高级配置组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP 地址段指定。

2） WebUI高级配置业务管理业务策略配置，建立策略“f_1433”（可以自定义名称），屏蔽目的端口为TCP1433的数据包，按照下图进行配置，保存。

3）WebUI高级配置业务管理业务策略列表中，可以查看到上一步建立的“f_1433”策略（“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许”。

4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止”编辑为“允许”，保存。

5）重复步骤2），将SQL蠕虫其他的端口如：UDP 1434端口关闭。

6） WebUI高级配置业务管理全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

3、注意：

1）配置前不能有命令生成的业务管理策略存在，否则可能导致Web界面生成的业务管理策略工作异常或者不生效。

2）如果，已经有工作组存在，并且在业务管理中配置了策略，必须在WebUI高级配置组管理中，将该网段所有用户分配在相关的组中，然后在WebUI高级配置业务管理中将这些组的相关端口关闭。

3）如果内网有人确实需要使用外部的SQL服务，2.2）步骤会屏蔽内网所有向外请求的SQL 服务，此时，可以只将内网中毒主机（假设192.168.0.100/24）的向外网的TCP 1433端口关闭，2.2）步骤作如下操作：

3.伪造源地址DDoS攻击

【故障现象】伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。

【快速查找】在WebUI系统状态NAT统计NAT状态，可以看到“IP 地址”一栏里面有很多不属于该内网IP网段的用户：

在WebUI系统状态用户统计用户统计信息，可以看到安全网关接收到某用户（192.168.0.67/24）发送的海量的数据包，但是安全网关发向该用户的数据包很小，依此判断该用户可能在做伪造源地址攻击：

【解决办法】

1、将中病毒的主机从内网断开，杀毒。

2、在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的TCP连接：

1） WebUI高级配置组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP1--192.168.0.254）。

注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP 地址段指定。

2） WebUI高级配置业务管理业务策略配置，建立策略“pemit”（可以自定义名称），允许“all工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照下图进行配置，保存。

3） WebUI高级配置业务管理全局配置中，取消“允许其他用户”的选中，选中“启用业务管理

蠕虫病毒有什么危害如何杀

蠕虫病毒有什么危害如何杀 时间:2013-01-15 19:26来源:https://www.docsj.com/doc/a55598096.html,作者:xp系统下载点击:170次电脑的蠕虫病毒是什么，会给电脑系统造成什么危害呢？“2003蠕虫王”（https://www.docsj.com/doc/a55598096.html,Killer2003）感染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力，目前在亚洲、美洲、澳大利亚等地迅速传播，已经造成了全球性的网络灾害。由于1月25日正值周末，其造成的恶果首先表现为公用互联网络的瘫痪，预计在今后几天继续呈迅速蔓延之势。 小编建议您使用360免费杀毒进行查杀，然后再根据查杀情况进行相应措施。 蠕虫病毒传播过程 2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，详细传播过程如下： 该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口（Microsoft SQL Server开放端口），该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255 台可能存在机器。易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。病毒体内存在字符串 “h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。 蠕虫病毒的特征 该蠕虫攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码。1434/udp 端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机 会在被攻击机器上运行进一步传播。 该蠕虫入侵MS SQL Server系统，运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间，而MS SQL Server 2000拥有最高级别System 权限，因而该蠕虫也获得System级别权限。受攻击系统：未安装MS SQL

几种常见的局域网拓扑结构

几种常见的局域网拓扑结构 (03/27/2000) 如今，许多单位都建成了自己的局域网。随着发展的需要，局域网的延伸和连接也成为人们关注的焦点。本文主要就局域网间的连接设备、介质展开讨论来说明局域网的互连。 中继器、网桥、路由器、网关等产品可以延伸网络和进行分段。中继器可以连接两局域网的电缆，重新定时并再生电缆上的数字信号，然后发送出去，这些功能是ISO模型中第一层——物理层的典型功能。中继器的作用是增加局域网的覆盖区域，例如，以太网标准规定单段信号传输电缆的最大长度为500米，但利用中继器连接4段电缆后，以太网中信号传输电缆最长可达2000米。有些品牌的中继器可以连接不同物理介质的电缆段，如细同轴电缆和光缆。中继器只将任何电缆段上的数据发送到另一段电缆上，并不管数据中是否有错误数据或不适于网段的数据。如同中继器一样，网桥可以在不同类型的介质电缆间发送数据，但不同于中继器的是网桥能将数据从一个电缆系统转发到另一个电缆系统上的指定地址。网桥的工作是读网络数据包的目的地址，确定该地址是否在源站同一网络电缆段上，如果不存在，网桥就要顺序地将数据包发送给另一段电缆。网桥功能是与数据链路层内第二层介质访问控制子层相关，例如网桥可以读令牌环网数据帧的站地址，以确定信息目的地址，但是网桥不能读数据帧内的TCP/IP地址。当多段电缆通过网桥连接时可以通过三种结构连接：级连网桥拓扑结构、主干网桥拓扑结构、星型拓扑结构。星型拓扑结构使用一个多端口网桥去连接多条电缆，一般用于通信负载较小的场合，其优势是有很强工作生命力，即使有一个站与集线器之间的一根电缆断开或形成一个不良的连接，网络其它部分仍能工作。级连网桥拓扑与主干网桥拓扑结构相比，前者需要的网桥和连接设备少，但当C段局域网要连到A段局域网中时，必须经过B段局域网；后者可减少总的信息传送负载，因为它可以鉴别送向不同段的信息传输类型。 网桥和中继器对相连局域网要求不同。中继器要求相连两网的介质控制协议与局域网适配器相同，与它们使用的电缆类型无关；网桥可以连接完全不同的局域网适配器和介质访问控制协议的局域网段，只要它们使用相同的通信协议就可以，如：IPX对IPX。网桥是中继器的功能改进，而路由器是网桥功能的改进。路由器读数据包更复杂的网络寻址信息，可能还增添一些信息，使数据包通过网络。根据路由器的功能，它对应于数据链路ISO模型中的网络层(第三层)工作。由于路由器只接受来自源站或另一个路由器的数据，因而，可以用作各网络段之间安全隔离设备，坏数据和“广播风暴”不可能通过路由器。路由器允许管理员将一个网络分成多个子网络，这种体系结构可以适应多种不同的拓扑结构。这里仅举一个由光缆构成的高可靠性环路局域网。 如果要连接差别非常大的三种网络(以太网、IBM令牌环网、ARCRNET网)，则可选用网关。网关具有对不兼容的高层协议进行转换的功能，它不像路由器只增加地址信息，不修改信息内容，网关往往要修改信息格式，使之符合接受端的要求。用网关连接两个局域网的主要优点是可以使用任何互连线路而不管任何基础协议。 若各局域网段在物理上靠得较近，那么网桥、路由器就可以用来延伸粗缆，并且控制局域网信息传输，但是很多单位需要几千米以上的距离连接局域网段，在这种情况下，粗缆不

招警考试行测言语理解练习题及详解

招警考试行测言语理解练习题及详解 【例题】在西斯廷礼拜堂的天花板上，文艺复兴时期的艺术巨匠米开朗基罗把他笔下的人物描绘得如此雄壮、有力。在意大利，每当我们看到这些魁伟强劲、丰满秀美的人体艺术作品时，就会深深地感到人类征服自然、改造自然的勇气和力量，使我们对文艺复兴运动与现代体育的渊缘有了更深刻的理解。 这段文字是在谈文艺复兴运动与（）。 A．意大利 B．现代体育 C．人体艺术 D．米开朗基罗 【例题】近日，有能源专家指出，目前全国不少城市搞“光彩工程”，在当前国内普遍缺电的形势下这是不适宜的。按照上海电力部门的测算，上海的灯光工程全部开启后，耗电量将达到20万千瓦时，占整个城市总发电量的2%，相当于三峡电厂目前对上海的供电容量。 这段文字的主旨是（）。 A．搞光彩工程对国家和人民无益 B．现在不宜在各地推广光彩工程 C．上海整个城市的总发电量不高 D．上海的灯光工程耗电量惊人 【例题】现代心理学研究认为，当一个人感到烦恼、苦闷、焦虑的时候，他身体的血压和氧化作用就会降低，而当他心情愉快时整个

新陈代谢就会改善。 根据这段文字我们知道（）。 A．人们可以通过调节心情来调节血压 B．心情好坏与人的身体健康存在密切关系 C．血压和氧化作用降低说明该人心情不好 D．只要心情愉快就可以改善整个新陈代谢 【例题】俄罗斯防病毒软件供应商——卡斯佩尔斯基实验室于6月15日宣布，一个名为29a的国际病毒编写小组日前制造出了世界上首例可在手机之间传播的病毒。卡斯佩尔斯基实验室说，29a小组于15日将这个名叫“卡比尔”的蠕虫病毒的代码发给了一些反病毒厂商，后者确认该病毒具备在手机之间传播的功能。 该段文字作为一则报纸上的新闻，最适合做该段文字题目的是（）。 A．“卡比尔”蠕虫病毒在俄诞生 B．29a的国际病毒编写小组的新贡献 C．世界首例在手机之间传播的病毒诞生 D．反病毒厂商确认手机之间可传播病毒 【例题】有一种很流行的观点，即认为中国古典美学注重美与善的统一。言下之意则是中国古典美学不那么重视美与真的统一。笔者认为，中国古典美学比西方美学更看重美与真的统一。它给美既赋予善的品格，又赋予真的品格，而且真的品格大大高于善的品格。概而言之，中国古典美学在对美的认识上，是以善为灵魂而以真为境界的。

蠕虫病毒的症状

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型：蠕虫病毒 攻击对象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等传播途径：“冲击波”是一种利用Windows系统的RPC(远程过程调用，是一种通信协议，程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键，在“Windows 任务管理器”中选择“进程”选项卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，选中它，然后，点击下方的“结束进程”按钮。 提示：如不能运行“Windows 任务管理器”，可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口，输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”，选择“所有文件和文件夹”选项，输入关键词“msblast.exe”，将查找目标定在操作系统所在分区。搜索完毕后，在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法，查找并删除“teekids.exe“和“penis32.exe”文件。 提示：在Windows XP系统中，应首先禁用“系统还原”功能，方法是：右击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”选项卡，勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”，可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口，输入以下命令： “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”，输入“regedit”打开“注册表编辑器”，依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”，删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后，“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 2010年9月27日21时 首次发布 2010年9月30日14时 最新修订 安天实验室 安全研究与应急处理中心 Antiy CERT

目 录 第1章 事件背景 (3) 第2章 样本典型行为分析 (4) 2.1 运行环境 (4) 2.2 本地行为 (4) 2.3 传播方式 (6) 2.4 攻击行为 (9) 2.5 样本文件的衍生关系 (10) 第3章 解决方案与安全建议 (12) 3.1 抵御本次攻击 (12) 3.2 安全建议 (12) 第4章 攻击事件的特点 (14) 4.1 专门攻击工业系统 (14) 4.2 利用多个零日漏洞 (14) 4.3 使用有效的数字签名 (14) 4.4 明确的攻击目标 (15) 第5章 综合评价 (16) 5.1 工业系统安全将面临严峻挑战 (16) 5.2 展望和思考 (17) 附录 (19) 安天应急响应时间表 (19) 相关链接 (19)

第1章事件背景 近日，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫（俗称“震网”、“双子”）在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；为衍生的驱动程序使用有效的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

常见的局域网的拓扑结构

常见的网络拓扑结构 常见的分为星型网，环形网，总线网，以及他们的混合型 1总线拓扑结构 总线拓扑结构是将网络中的所有设备通过相应的硬件接口直接连接到公共总线上，结点之间按广播方式通信，一个结点发出的信息，总线上的其它结点均可“收听”到。 优点：结构简单、布线容易、可靠性较高，易于扩充，节点的故障不会殃及系统，是局域网常采用的拓扑结构。 缺点：所有的数据都需经过总线传送，总线成为整个网络的瓶颈；出现故障诊断较为困难。另外，由于信道共享，连接的节点不宜过多，总线自身的故障可以导致系统的崩溃。最著名的总线拓扑结构是以太网（Ethernet）。 2. 星型拓扑结构是一种以中央节点为中心，把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网，特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路。 优点：结构简单、容易实现、便于管理，通常以集线器（Hub）作为中央节点，便于维护和管理。 缺点：中心结点是全网络的可靠瓶颈，中心结点出现故障会导致网络的瘫痪。 3. 环形拓扑结构各结点通过通信线路组成闭合回路，环中数据只能单向传输，信息在每台设备上的延时时间是固定的。特别适合实时控制的局域网系统。 优点：结构简单，适合使用光纤，传输距离远，传输延迟确定。 缺点：环网中的每个结点均成为网络可靠性的瓶颈，任意结点出现故障都会造成网络瘫痪，另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网（Token Ring） 4. 树型拓扑结构是一种层次结构，结点按层次连结，信息交换主要在上下结点之间进行，相邻结点或同层结点之间一般不进行数据交换。 优点：连结简单，维护方便，适用于汇集信息的应用要求。 缺点：资源共享能力较低，可靠性不高，任何一个工作站或链路的故障都会影响整个网络的运行。 5. 网状拓扑结构又称作无规则结构，结点之间的联结是任意的，没有规律。 优点：系统可靠性高，比较容易扩展，但是结构复杂，每一结点都与多点进行连结，因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫，病毒特征，病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体，单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞，消耗系统资源; (5)制作技术与传统的病毒不同，与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在;

蠕虫的行为特征描述和工作原理分析

蠕虫的行为特征描述和工作原理分析* 郑辉＊＊　李冠一　涂菶生　 （南开大学 20-333# ，天津，300071） E-mail: zhenghui@https://www.docsj.com/doc/a55598096.html, https://www.docsj.com/doc/a55598096.html,/students/doctor/spark/zhenghui.htm 摘要：本文详细讨论了计算机蠕虫和计算机病毒的异同，指出它们除了在复制和传染方面具有相似性之外，还有很多不同点，如蠕虫主要以计算机为攻击目标，病毒主 要以文件系统为攻击目标；蠕虫具有主动攻击特性，而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征，确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史，从中可以看到，蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成， 提出了蠕虫的统一功能结构模型，并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势，指出计算机蠕虫本质上 是黑客入侵行为的自动化，更多的黑客技术将被用到蠕虫编写当中来，由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词：蠕虫，计算机病毒，计算机网络安全，蠕虫定义，蠕虫历史，行为特征，功能模型 一、　引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害，给人们留下了深刻的印象。同时给人们一种误解，认为危害计算机的程序就是病毒。从而不加区分把计算机病毒（Virus）、计算机蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中，而且体现在病毒技术研究人员的文章[1][2]中，反病毒厂商对产品的介绍说明中，甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施，也为整体的计算机安全防护带来了一定困难。另外，同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似，尤其容易造成人们的误解。导致误解的原因有很多，一方面由于反病毒技术人员自身知识的限制，无法对这两种程序进行清楚细致的区分；另一方面虽然病毒的命名有一定的规范[4][5]，但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范，利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字，这也给人们带来一些误导。为了照顾这种病毒的命名，曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征，而且容易产生误导，所以有的文献采用了含义更广泛的称谓“恶意软件”（malware）[7]来统一称呼它们。从蠕虫产生开始，十几年来，很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题（编号：2000005516）。 **作者简介：郑辉（1972～），男，吉林伊通人，博士研究生，主要研究领域为网络与信息安全。李冠一（1978～），女，辽宁鞍山人，硕士研究生，主要研究领域为模式识别，计算机视觉与图像处理等。涂奉生（1937～），江西南昌人，博士生导师，主要研究领域为CIMS， DEDS理论，制造系统及通讯理论。

常见的局域网的拓扑结构

常见的分为星型网，环形网，总线网，以及他们的混合型 总线拓扑结构是将网络中的所有设备通过相应的硬件接口直接连接到公共总线上，结点之间按广播方式通信，一个结点发出的信息，总线上的其它结点均可“收听”到。 优点：结构简单、布线容易、可靠性较高，易于扩充，节点的故障不会殃及系统，是局域网常采用的拓扑结构。 缺点：所有的数据都需经过总线传送，总线成为整个网络的瓶颈；出现故障诊断较为困难。另外，由于信道共享，连接的节点不宜过多，总线自身的故障可以导致系统的崩溃。最著名的总线拓扑结构是以太网（Ethernet）。 2. 星型拓扑结构是一种以中央节点为中心，把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网，特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路。 优点：结构简单、容易实现、便于管理，通常以集线器（Hub）作为中央节点，便于维护和管理。 缺点：中心结点是全网络的可靠瓶颈，中心结点出现故障会导致网络的瘫痪。 3. 环形拓扑结构各结点通过通信线路组成闭合回路，环中数据只能单向传输，信息在每台设备上的延时时间是固定的。特别适合实时控制的局域网系统。 优点：结构简单，适合使用光纤，传输距离远，传输延迟确定。 缺点：环网中的每个结点均成为网络可靠性的瓶颈，任意结点出现故障都会造成网络瘫痪，另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网（Token Ring） 4. 树型拓扑结构是一种层次结构，结点按层次连结，信息交换主要在上下结点之间进行，相邻结点或同层结点之间一般不进行数据交换。 优点：连结简单，维护方便，适用于汇集信息的应用要求。 缺点：资源共享能力较低，可靠性不高，任何一个工作站或链路的故障都会影响整个网络的运行。 5. 网状拓扑结构又称作无规则结构，结点之间的联结是任意的，没有规律。 优点：系统可靠性高，比较容易扩展，但是结构复杂，每一结点都与多点进行连结，因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。 6.混合型拓扑结构就是两种或两种以上的拓扑结构同时使用。

蠕虫和普通病毒的区别 及防范措施

蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题，很多人都存在以上的疑问和误区。针对近年来，病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展，笔者这篇文章就以这两个祸害开刀，和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展，蠕虫病毒引起的危害开始快速的显现！蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），快速的自身复制并通过网络感染，以及和黑客技术相结合等等！在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播，目标是互联网内的所有计算机。这样一来局域网内的共享文件夹，电子邮件，网络中的恶意网页，大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径，使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种：软件的和人为的。 软件上的缺陷，如系统漏洞，微软IE和outlook的自动执行漏洞等等，需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷，主要是指的是计算机用

户的疏忽。例如，当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的，从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析，我们了解蠕虫的特点和传播的途径，因此防范需要注意以下几点： 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控！国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错，相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势，同时消耗系统资源也比较少，大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪，病毒每天都层出不穷，再加上如今的网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片，软件等等。必须经过对方的确认（因为一旦对方中毒后他的QQ会自动向好友发送病毒，他自己根本不知道，这个时候只要问一问他本人就真相大白！），或者此人是你绝对可以相信的人！另外对于收发电子邮件，笔者强烈建议大家通过WEB方式（就是登陆邮箱网页）打开邮箱收发邮件（这样比使用Outlook和foxmail更安全）。虽然杀毒软件可以实时监控但是那样不仅耗费内存，也会影响网络速度！ 4、必要的安全设置 运行IE时，点击“工具→Internet选项→安全”，把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是：在IE窗口中点击“工具”→“Internet 选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕，但是细心的朋友注意蠕虫攻击系统的途径可以看出：最主要的方式就是利用系统漏洞，因此微软的安全部门已经加大了系统补丁的推出频率，大家一定要养成好习惯，经常的去微软网站更新系统补丁，消除漏洞（通过点击开始上端的“windows Update”）

蠕虫病毒

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒。蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】：蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

渗透SCADA工控系统过程解析

渗透SCADA工控系统过程解析 背景资料 Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC 监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径：该病毒主要通过U盘和局域网进行传播。历史“贡献”：曾造成伊朗核电站推迟发电。 2010-09-25，进入中国。 一直以来，2010年发生的Stuxnet案件被安全专家认为是一场有目的性的网络战争，攻击者使用一个精心设计的恶意软件打击在伊朗核工厂内SCADA系统。 尽管在多数情况下，SCADA工控系统扮演着相当重要的角色，但是在黑客眼中他们并不安全。 渗透过程 下面这个SCADA系统是我在互联网上找到的：iLON100 echelon SCADA system. 要进行目标识别，各研究必须被限制在一个特定的IP范围内，在此范围内进行扫描;要辨识出该范围，黑客需要一个ISP实例;

通过分析服务器响应，我们发现有些响应包头中包含WindRiver-WebServer，并且在 WWW-Authentication使用Basic realm-”i.LON”，我们从而选择这些目标。 选中的目标运行echelon Smart server 2.0，这个版本服务器包含一系列0day漏洞并且在一段时间以前刚刚公布了一个。

在一些研究之后，黑客发现了WindRiver防火墙源代码WindRiver firewalls，地址为WindRiver-Firewall-Source. 接下来攻击者就需要对最终目标执行exploit 在公开的报告中我们可以看到，SCADA中许多设备admin控制台被攻击者控制

计算机病毒种类和杀毒软件分析

计算机病毒种类和杀毒软件分析 摘要：随着经济的发展，人民物质文化水平的提高，计算机逐渐融入到人们的生活和工作中，其应用范围遍及各个领域。人们享受这计算机给我们带来生活的各种便利，我们感叹于它的先进、便利、迅速。但是，一个事物的存在总有其不利的一面，技术的发展也促使计算机病毒的异军突起，越来越多的人备受计算机病毒的困扰，新病毒的更新日益加快，如何防范和控制计算机病毒越来越受到重视，许多软件公司也推出了不同类型的杀毒软件。 关键字：计算机、病毒、杀毒软件 计算机病毒一直是计算机用户和安全专家的心腹大患，虽然计算机反病毒技术不断更新和发展，但是仍然不能改变被动滞后的局面，计算机用户必须不断应付计算机新病毒的出现。互联网的普及，更加剧了计算机病毒的泛滥。那么，计算机病毒究竟是什么呢？能让如此多的人备受困扰，下面，我想探讨一下计算机病毒 计算机病毒，是指一种认为编制能够对计算机正常程序的执行或数据文件造成破坏，并能自我复制的一组计算机指令或者程序代码。病毒之所以令如此多的额人惧怕，是因为它具有传染性、隐蔽性、潜伏性、寄生性、破坏性、不可预见性等特征。病毒具有把自身复制到其他程序中的能力，以它或者自我传播或者将感染的文件作为传染源，并借助文件的交换、复制再传播，传染性是计算机病毒的最大特征。病毒一般附着于程序中，当运行该程序时，病毒就乘机执行程序。许多计算机病毒在感染时不会立刻执行病毒程序，它会等一段时间后，等满足相关条件后，才执行病毒程序，所以很多人在感染病毒后都是不知情的，当病毒执行时为时已晚。寄生性是指计算机病毒必须依附于所感染的文件系统中，不能独立存在，它是随着文件系统运行而传染给其他文件系统。任何病毒程序，入侵文件系统后对计算机都会产生不同程度的影响，一些微弱，一些严重。计算机病毒还具有不可预见性，随着技术的提高，计算机病毒也在不断发展，病毒种类千差万别，数量繁多，谁也不会知道下一个虐遍天下的病毒是什么。 尽管计算机病毒种类繁多，按照其大方向还是可以对计算机病毒进行分门别类。 按计算机病毒的链接方式分类可分为： 1)源码型病毒。该病毒主要攻击高级语言编写的程序，这种病毒并不常见，它不是感染可 执行的文件，而是感染源代码，使源代码在编译后具有一定的破坏/传播或者其他能力。 2)嵌入型病毒。该类病毒是将自身嵌入现有程序当中，把计算机病毒的主体程序与其攻击 的对象以插入的方式链接。一旦被这种病毒入侵，程序体就难以消除它了。 3)外壳型病毒。它是将自身包围在程序周围，对原来的程序不作修改。这种病毒最为常见， 最易编写，也最易发现，一般测试文件的大小即可。 4)操作系统病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块， 破坏力极强，可致系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒 按计算机病毒的破坏性分类 1)良性计算机病毒。良性与恶性是相对而言的，良性并不意味着无害。而良性病毒为了表 现其存在，不停地进行扩散，从一台计算机转移到另一台，并不破坏计算机内部程序，但若其取得控制权后，会导致整个系统运行效率减低，系统可用内存减少，某些程序不能运行。 2)恶性计算机病毒。是指在其代码中含有损伤和破坏计算机系统的操作，在其传染或发作 时会对系统产生直接的破坏作用，这类病毒很多，如米开朗基罗病毒。 按寄生方式和传染途径分类： 1)引导型病毒。指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒会去改写磁盘 上的一些引导扇区的内容，软盘和硬盘都有可能感染病毒，再不然就改写硬盘上的分区

蠕虫病毒与普通病毒的区别

蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！根据使用者情况将蠕虫病毒分为两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。在这两类蠕虫中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下，偷偷运行的程序。 木马与病毒有两点本质的不同： 1、木马不会自动传染，病毒一定会自动传染； 2、木马是窃取资料的，病毒是破坏文件的 简单的木马只能盗取帐号、密码，很多木马可以窃取对方计算机上的全部资料，以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播，目的是攻击服务器或子网，形成DDos攻击（拒绝服务）。蠕虫会开启多个线程大面积传播，在传播过程中占用宽带资源，从而达到攻击的目的，其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染，所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。

三种常见的局域网通信协议

三种常见的局域网通信协议 各种网络协议都有所依赖的操作系统和工作环境，同样的通信协议在不同网络上运行的效果不一定相同。所以，组建网络时通信协议的选择尤为重要。无论是Windows 95/98对等网，还是规模较大的Windows NT、Novell或Unix/Xenix局域网，组建者都遇到过如何选择和配置网络通信协议的问题。我们在选择通信协议时应遵循3个原则：所选协议要与网络结构和功能相一致；尽量只选择一种通信协议；注意协议不同的版本具有不尽相同的功能。 局域网中常用的3种通信协议 NetBEUI协议：这是一种体积小、效率高、速度快的通信协议。在微软公司的主流产品中，如Windows 95/98和Windows NT，NetBEUI已成为固有的缺省协议。NetBEUI是专门为几台到百余台电脑所组成的单网段小型局域网而设计的，不具有跨网段工作的功能，即NetBEUI不具备路由功能。如果一个服务器上安装多块网卡，或采用路由器等设备进行两个局域网的互联时，不能使用NetBEUI协议。否则，在不同网卡（每一块网卡连接一个网段）相连的设备之间，以及不同的局域网之间将无法进行通信。虽然NetBEUI存在许多不尽人意的地方，但它也具有其他协议所不具备的优点。在3种常用的通信协议中，NetBEUI占用内存最少，在网络中基本不需要任何配置。 NetBEUI中包含一个网络接口标准NetBIOS，是IBM公司在1983年开发的一套用于实现电脑间相互通信的标准。其后，IBM公司发现NetBIOS存在着许多缺陷，于1985年对其进行了改进，推出了NetBEUI通信协议。随即，微软公司将NetBEUI作为其客户机/服务器网络系统的基本通信协议，并进一步进行了扩充和完善。最有代表性的是在NetBEUI中增加了叫做SMB（服务器消息块）的组成部分。因此，NetBEUI协议也被人们称为SMB协议。 IPX/SPX及其兼容协议：这是Novell公司的通信协议集。与NetBEUI的明显区别是：IPX/SPX比较庞大，在复杂环境下有很强的适应性。因为IPX/SPX在开始就考虑了多网段的问题，具有强大的路由功能，适合大型网络使用。当用户端接入NetWare服务器时，IPX/SPX 及其兼容协议是最好的选择。但在非Novell网络环境中，一般不使用IPX/SPX。尤其在Windows NT网络和由Windows 95/98组成的对等网中，无法使用IPX/SPX协议。 IPX/SPX及其兼容协议不需要任何配置，它可通过网络地址来识别自己的身份。Novell 网络中的网络地址由两部分组成：标明物理网段的网络ID和标明特殊设备的节点ID。其中网络ID集中在NetWare服务器或路由器中，节点ID即为每个网卡的ID号（网卡卡号）。所有的网络ID和节点ID都是一个独一无二的内部IPX地址，正是由于网络地址的惟一性，才使IPX/SPX具有较强的路由功能。 在IPX/SPX协议中，IPX是NetWare最底层的协议，它只负责数据在网络中的移动，并不保证数据是否传输成功，也不提供纠错服务。IPX在负责数据传送时，如果接收节点在同一网段内，就直接按该节点的ID将数据传给它；如果接收节点是远程的，数据将交给NetWare服务器或路由器中的网络ID，继续数据的下一步传输。SPX在整个协议中负责对所传输的数据进行无差错处理，所以IPX/SPX也叫做Novell的协议集。 Windows NT中提供了两个IPX/SPX的兼容协议，NWLink SPX/SPX兼容协议和NWLink NetBIOS，两者统称为NWLink通信协议。NWLink协议是Novell公司IPX/SPX协议在微软公司网络中的实现，它在继承IPX/SPX协议优点的同时，更加适应微软公司的操作系统和

震网_深度分析

震网病毒——设计思路的深度分析 震网病毒，英文名称是Stuxnet，第一个针对工业控制系统的蠕虫病毒，第一个被发 现的网络攻击武器。 2010年6月首次被白俄罗斯安全公司VirusBlokAda发现，其名称是从代码中的关键字 得来，这是第一次发现震网病毒，实际上这还是震网病毒的第二个版本。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码，后来被证实是震网病毒的第一个版本，至少是我们已知的第一个。对于第一个震网病毒变种，后来大家基于震网病毒的第二个版本的了解基础上，才意识到这是震网病毒。 震网病毒的攻击目标是伊朗核设施。 据全球最大网络安全公司赛门铁克（Symantec）和微软（Microsoft）公司的研究，近60%的感染发生在伊朗，其次为印尼（约20%）和印度（约10%），阿塞拜疆、美国与巴基斯坦等地亦有小量个案。 2011年1月，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造 成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986年发生的切尔诺贝利核电站事故。 我们这次分析的案例是纳坦兹核设施。纳坦兹核基地对于伊朗的核计划非常重要，它是伊朗能否顺利完成利用核能发电的关键。纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀（UF6），灌入安装在这里的离心机，提炼浓缩铀，为布什尔核电站发电提供核燃料。 进一步分析 它是如何攻击纳坦兹核设施并隐藏自己的？ 它是如何渗透纳坦兹核设施内部网络的？ 它是如何违背开发者的期望并扩散到纳坦兹之外的？ IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计，70 年代初被窃取。全金属设计的IR-1是可以稳定的运行的，前提是其零件的制造具有一定精度，但是伊朗人其零件加工工艺不达标。因此他们不得不降级离心机的运行压力。但是较小的工作压力意味着较少的产出，因而效率较低。 虽然低效，但对于伊朗来说有一个显而易见的优点，伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率，他们能够接受在运行过程中一定数量的离心机损坏，因为他们制造离心机的速度比离心机损坏的速度要快多了。 图为2008年至2010年Natanz工厂的离心机库存数据，伊朗始终保存着至少50%的备 用离心机。 离心处理操作是一个严苛的工业流程，在流程运行过程中，它不可以存在任何的问题。伊朗建立了一套级联保护系统，它用来保证离心流程持续进行。在离心机层，级联保护系统的每个离心机在出故障时都可以被隔离出来。隔离后的离心机可以停机并被维护工程师替换，而工艺流程仍然正常运行。 可问题是他们的离心机太脆弱，会出现多个都坏了的情况。如果同一个组中的离心机都停机了，运行压力将会升高，从而导致各种各样的问题。