基于多播掃描機制的雙棧蠕蟲研究

摘 要：IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡過程中將出現(xiàn)兩種網(wǎng)絡(luò)協(xié)議將共同存在。研究了一種具有分層掃描策略的蠕蟲——雙棧蠕蟲，該蠕蟲利用多播掃描策略實現(xiàn)本地IPv6子網(wǎng)內(nèi)主機的檢測，利用IPv4隨機地址掃描發(fā)現(xiàn)子網(wǎng)外的目標主機。通過在真實網(wǎng)絡(luò)中進行傳播測試和利用仿真程序模擬雙棧蠕蟲在大規(guī)模網(wǎng)絡(luò)中的傳播行為，發(fā)現(xiàn)雙棧蠕蟲可以在IPv4-IPv6雙棧網(wǎng)絡(luò)中快速傳播。

關(guān)鍵詞：蠕蟲；IPv6；雙棧；多播掃描

中圖分類號：TP309 文獻標識碼：A 文章編號：1004373X(2008)1508704

Research on Multicast Scanning Dual-stack Worm

ZHANG Huaming1，ZHOU Yiming2，ZHANG Li3，WANG Chen4，CAI Chaoxi1

(1.Hunan Tax College，Changsha，410116，China;2.Beijing Institute of Petro-chemical Technology，Beijing，102617，China;

3.Hunan Agricultural University，Changsha，410128，China;4.ZTE Xi′an RD Center，Xi′an，710065，China)

Abstract：In transition from IPv4 to the IPv6，both of them will work in the Internet.The dual-stack worm is presented in this paper，which adopts a hybrid scanning strategy.The multicast scanning is used to collect the addresses of all active hosts in the IPv6 link-local，and the IPv4 random scanning is implemented to detect the vulnerable hosts out of the link-local.The dual-stack worm is released in the real network to study how the worm detects and infects susceptible hosts.And its propagation is simulated by the simulator to study how the worm propagates in the large-scale network.The results show that the dual-stack worm is able to spread in the IPv4-IPv6 dual-stack network.

Keywords：worm;IPv6;dual-stack;multicast scanning

1 引 言

隨著近年來多起蠕蟲事件的爆發(fā)，蠕蟲已日益成為互聯(lián)網(wǎng)的主要安全隱患之一。不同于傳統(tǒng)的病毒，“計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上”。自從1988年第一個蠕蟲Morris出現(xiàn)以來，就一直以其快速的傳播速度、廣泛的危害范圍著稱。2001年Code Red蠕蟲爆發(fā)，感染超過36萬臺主機，造成的損失超過26億美元^［1］；2003年1月爆發(fā)的SQL Slammer在短短10 min內(nèi)就感染了90％的全球存在漏洞的主機，造成損失超過12億美元^［2］；同年8月11日W32.Blaster蠕蟲爆發(fā)，據(jù)ISC(Internet Storm Center)統(tǒng)計估計全球有20萬到50萬臺主機被感染^［3］。

蠕蟲的快速傳播主要依靠其高效的掃描策略，Staniford等人對主動探測蠕蟲的快速掃描策略進行了研究，并提出了Warhol 實驗蠕蟲，理論推測該蠕蟲能在30 min內(nèi)感染整個互聯(lián)網(wǎng)^［4］；Chen等人設(shè)計了一種可以自動估計潛在受害主機分布的蠕蟲，通過估計結(jié)果實現(xiàn)高效掃描從而躲避各類安全監(jiān)控設(shè)備^［5］；Ma等人研究的“self-stopping” 蠕蟲可以在感染了一定數(shù)量或者比例的受害主機后，自動停止攻擊行為，以實現(xiàn)躲避蠕蟲檢測^［6］。

IPv6網(wǎng)絡(luò)由于其128位的地址空間，使得依靠地址掃描的蠕蟲不可能有效地實現(xiàn)目標的發(fā)現(xiàn)，被人們認為對蠕蟲具有天然的抵抗力。而近年來研究人員卻提出IPv6網(wǎng)絡(luò)并不能提供完善的保護，Jing Yang在文獻［7］中對IPv6網(wǎng)絡(luò)的各種部署方式和參數(shù)配置對隨機掃描蠕蟲在IPv6中的傳播行了分析，分析結(jié)果顯示雖然通過調(diào)整IPv6網(wǎng)絡(luò)配置，隨機掃描蠕蟲可以在一定范圍內(nèi)進行傳播，但是傳播的效果無法和IPv4網(wǎng)絡(luò)中相比。Stevenm.Bellovin在文獻［8］中對IPv6網(wǎng)絡(luò)協(xié)議可能會對蠕蟲傳播提供幫助的一些特性進行了研究，并設(shè)想了幾種IPv6網(wǎng)絡(luò)下可能獲取主機地址信息從而能夠使蠕蟲進行有效傳播的策略。A.Kamra在2005年在文獻［9］中，提出了一種利用DNS服務(wù)器所存儲的IPv6地址信息進行地址掃描的蠕蟲，并根據(jù)其假設(shè)構(gòu)建除了DNS蠕蟲的傳播模型并對其進行了分析，分析結(jié)果證明這種蠕蟲在IPv6網(wǎng)絡(luò)中具有一定和IPv4網(wǎng)絡(luò)下隨機掃描蠕蟲相近的傳播能力。

本文提出了一種能夠快速獲取IPv6本地鏈路主機地址的蠕蟲掃描策略——多播掃描策略，以該策略作為IPv6網(wǎng)絡(luò)本地掃描策略，以隨機地址掃描作為跨網(wǎng)掃描策略，設(shè)計了一種可以在IPv4-IPv6雙棧網(wǎng)絡(luò)環(huán)境下快速傳播的蠕蟲實體，通過實驗網(wǎng)絡(luò)測試和仿真平臺模擬，證明雙棧蠕蟲相對隨機掃描蠕蟲擁有更快的傳播速度。

2 雙棧蠕蟲的傳播方式

2.1 IPv4-IPv6雙棧網(wǎng)絡(luò)

IPv6協(xié)議作為下一代網(wǎng)絡(luò)的核心已逐步被人們所認可，核心問題是如何從IPv4過渡到IPv6。然而，一種新的協(xié)議從誕生到全面應(yīng)用于互聯(lián)網(wǎng)是有很長的路要走的，尤其是對于由IPv4很好地支撐著的互聯(lián)網(wǎng)而言，不可能要求所有節(jié)點立即演進到新的IPv6協(xié)議。對此，IPv6提供許多過渡技術(shù)來實現(xiàn)這個演進過程。一般來說在IPv6部署初期，互聯(lián)網(wǎng)將由IPv4“海洋”和一個個新建的IPv6“小島”組成。隨著IPv6發(fā)展，這些小島將逐漸擴大。而在相當一段時間內(nèi)，互聯(lián)網(wǎng)的特征將是IPv6和IPv4共同存在、共同運行。雙協(xié)議棧技術(shù)是當前當前使用最廣泛的過渡技術(shù)，該技術(shù)同時支持IPv4協(xié)議棧和IPv6協(xié)議棧，雙棧節(jié)點同時支持與IPv4和IPv6節(jié)點的通信，當和IPv4節(jié)點通信時需要采用IPv4協(xié)議棧，當和IPv6節(jié)點通信時需要采用IPv6協(xié)議棧，其結(jié)構(gòu)如圖1所示。

2.2 基于多播方式的IPv6本地鏈路掃描

在IPv6的地址有3種類型：單播地址(Unicast)、多播地址(Multicast)和泛播地址(Anycast)。其中多播地址用于標識0個或者多個接口，并特別定義了一些特定范圍的地址，如FF02::01被用來表示本地鏈路范圍所有節(jié)點的多播地址，向該地址發(fā)送的報文將被本地鏈路內(nèi)所有的主機接受^［10］。如圖2所示，通過向FF02::01發(fā)送一個ICMPv6的回送請求(Echo request)報文，在0.001 s內(nèi)可以獲得本地鏈路內(nèi)所有IPv6主機的本地鏈路地址(Link-Local Addresses)。每個IPv6子網(wǎng)擁有64位的地址空間，通過對地址空間的掃描幾乎不可能在有限時間內(nèi)發(fā)現(xiàn)其他主機，而基于多博掃描的策略則可以有效的在IPv6子網(wǎng)中發(fā)現(xiàn)目標主機，在研究中雙棧蠕蟲利用該方法作為本地鏈路的掃描策略。

2.3 雙棧蠕蟲

雙棧蠕蟲具有雙層掃描機制，在IPv6網(wǎng)絡(luò)中利用多博掃描機制發(fā)現(xiàn)IPv6本地鏈路內(nèi)所有運行的主機，之后利用隨機掃描發(fā)現(xiàn)本地鏈路之外使用IPv4協(xié)議的主機。向目標主機DCOM RPC服務(wù)的135端口發(fā)送“BIND”信息以連接期望的接口，并利用Microsoft Windows的DCOM RPC接口緩沖區(qū)溢出漏洞(MS03-26)，攻擊目標主機。一旦目標主機存在該漏洞，將會主動利用tftp(簡單文件傳輸協(xié)議)到感染主機下載蠕蟲代碼到本地主機Windows根目錄下的system32目錄中。感染主機將通過cmd shell讓目標主機執(zhí)行下載到雙棧蠕蟲程序，目標主機將成為新的感染源。

3 雙棧蠕蟲的傳播實驗

3.1 真實網(wǎng)絡(luò)傳播實驗

實驗中為了實現(xiàn)對蠕蟲攻擊傳播過程的監(jiān)控和控制，雙棧蠕蟲中加入了一個信息上報和控制模塊，所有感染雙棧蠕蟲的主機將把該主機次成功的感染事件發(fā)送到數(shù)據(jù)采集服務(wù)器。為了驗證雙棧蠕蟲的傳播性能，6臺存在漏洞的受害主機分布在兩個運行雙棧協(xié)議的子網(wǎng)中，其中子網(wǎng)192.168.1.0中擁有21臺主機，子網(wǎng)192.168.2.0中擁有25臺主機，他們之間通過IPv4連接。為了控制蠕蟲的傳播范圍，實驗中的雙棧蠕蟲在進行IPv4地址隨機掃描時范圍被控制在192.168.1.1到192.168.15.255之間，同時為了保證蠕蟲代碼可以被順利下載到被攻擊主機，當利用IPv6多播掃描策略時蠕蟲的攻擊速度為每秒1臺，當利用IPv4地址隨機掃描策略時蠕蟲的攻擊速度為每秒4臺(IPv6多播掃描策略發(fā)現(xiàn)的目標均為正在運行的主機，每次攻擊的成功率約為10%，而IPv4地址隨機掃描的目標空間為15 360，成功率不足0.1%)。

在10次傳播實驗中，雙棧蠕蟲從主機192.168.1.204釋放開始，可以在20 s內(nèi)(最快7.2 s，最慢17.2 s)感染本地子網(wǎng)內(nèi)所有存在漏洞的主機，而當192.168.2.0子網(wǎng)中出現(xiàn)被感染主機后，該子網(wǎng)內(nèi)所有主機也將在隨后20 s被全部感染(最快8.4 s，最慢19.4 s)，傳播過程以樹型結(jié)構(gòu)顯示如圖3所示。通過統(tǒng)計10次實驗的結(jié)果發(fā)現(xiàn)，雙棧蠕蟲感染第一臺主機平均需要10.7 s，感染第五主機平局需要48.1 s。為了對比隨機掃描蠕蟲，研究中還進行了10次隨機掃描蠕蟲的傳播實驗，如圖4所示，統(tǒng)計結(jié)果顯示雙棧蠕蟲的傳播速度遠遠快于隨機掃描蠕蟲。

3.2 仿真?zhèn)鞑嶒?/p>

為了驗證在大規(guī)模網(wǎng)絡(luò)中雙棧蠕蟲的傳播特性，研究中將連續(xù)時間分割為若干個離散時間點，模擬每個離散時間段內(nèi)蠕蟲的傳播行為，并設(shè)計了不同的模式來仿真雙棧蠕蟲在利用不同掃描策略時的行為。當使用IPv6多播掃描時，由于蠕蟲可以快速感染整個子網(wǎng)，所以假設(shè)任意子網(wǎng)一旦出現(xiàn)一個被感染主機，整個子網(wǎng)將在m個離散時間間隔后完全感染；當使用IPv4隨機地址掃描時，利用兩次生成隨機數(shù)來模擬蠕蟲的攻擊行為，第1次生成的隨機數(shù)r1用于模擬蠕蟲的某次掃描是否命中存在漏洞的主機，第2次生成的隨機數(shù)r2用于模擬對存在漏洞主機的掃描是否有效(包括對象是否已感染和攻擊是否成功)。

在仿真實驗中進行如下假設(shè)^［11］：網(wǎng)絡(luò)中存在漏洞的主機總數(shù)N=360 000，漏洞主機占所有運行主機的2%；蠕蟲的掃描空間Ω=232；仿真的時間間隔為0.25 min；主機利用IPv6多播掃描時攻擊速度為60次/min，利用IPv4隨機地址掃描時的攻擊速度為k(次/min)服從正態(tài)分布N(240，1002)；在t=0時刻，已感主機總數(shù)I(0)=1。本研究中假設(shè)雙棧網(wǎng)絡(luò)有以下構(gòu)成形式：

(1) 存在180 000個子網(wǎng)，每個子網(wǎng)中有2個存在漏洞的主機，仿真時m=4(2個存在漏洞的主機分布在100臺主機中，根據(jù)簡單傳染病模型分析，1 min內(nèi)蠕蟲可以感染所有主機)，需要6個時間間隔完成本地子網(wǎng)攻擊進入IPv4隨機攻擊方式；

(2) 存在72 000個子網(wǎng)，每個子網(wǎng)中有5個存在漏洞的主機，仿真時m=5，需要17個時間間隔進入IPv4隨機攻擊方式；

(3) 存在36 000個子網(wǎng)，每個子網(wǎng)中有10個存在漏洞的主機，仿真時m=6，需要33個時間間隔進入IPv4隨機攻擊方式。

在本文研究中對于每種網(wǎng)路構(gòu)成形式進行了100次的仿真實驗，并統(tǒng)計仿真結(jié)果，各種網(wǎng)絡(luò)構(gòu)成形式下蠕蟲傳播的均值與僅使用IPv4地址掃描策略的蠕蟲對比如圖5所示。顯然雙棧蠕蟲的傳播速度遠遠超過了一般的蠕蟲，而且隨著其傳播還會隨著子網(wǎng)數(shù)量的減少而加快。

4 結(jié) 語

本文通過分析雙棧蠕蟲的傳播策略，并在真實網(wǎng)絡(luò)中進行蠕蟲傳播實驗，證明雙棧蠕蟲可以在IPv4-IPv6雙棧網(wǎng)絡(luò)中快速傳播。通過仿真雙棧蠕蟲在大規(guī)模網(wǎng)絡(luò)中的傳播行為，發(fā)現(xiàn)IPv6網(wǎng)絡(luò)可以加速雙棧蠕蟲的傳播，其速度遠遠快于基于IPv4地址隨機掃描的蠕蟲。研究表明在從IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡階段，蠕蟲可以利用新的掃描策略實現(xiàn)快速傳播，這對于蠕蟲的防御和控制方法將提出新的挑戰(zhàn)，也為網(wǎng)絡(luò)的安全運行帶來新的潛在威脅。

參 考 文 獻

［1］王平，方濱興，云曉春，等.基于用戶習慣的蠕蟲的早期發(fā)現(xiàn)［J］.通信學報，2006，27(2):56-65.

［2］Dubendorfer T，Wagner A，Hossmann T，et al.Flow-Level Traffic Analysis of the Blaster and Sobig Worm Outbreaks in an Internet Backbone［J］.Proceedings of DIMVA 2005，Austria，2005:103-122.

［3］The Spread of the Sapphire/Slammer Worm.http://www.silicondefense.com/research/worms /slammer.php，F(xiàn)ebruary 2003.

［4］Staniford S，Paxson V，Weaver N.How to Own the Internet in Your Spare Time［C］.Proceeding of the 11th Usenix Security Symp.San Francisco，2002:149-167.

［5］Chen Z，Ji C.A Self-learning Worm Using Importance Scanning.Proc.ACM CCS 3rd Workshop on Rapid Malcode (WORM′05)，2005.

［6］Ma J，Voelker G M，Savage S.SelfStopping Worms.Proc.ACM CCS 3nd Workshop on Rapid Malcode，2005.

［7］Jing Y.Fast Worm Propagation In IPv6 Networks［EB/OL］.Malware Seminar Spring，2004.http://www.cs.virginia.edu/-jy8y/FinalProjectReport.pdf.

［8］Bellovin S M，Cheswick B，Keromytis A D.Worm Propagation Strategies in an IPv6 Internet［EB］.Login:Magazine.2006，31(1):70-76.

［9］Kamra A，F(xiàn)eng HH，Misra V，et al.The Effect of DNS Delays on Worm Propagation in an IPv6 Internet［C］.Proceedings of the IEEE INFOCOM 2005.Miami: INFOCOM，2005:2405-2414.

［10］Hinden R，Deering S.Internet Protocol Version 6 (IPv6) Addressing Architecture.RFC 3513，Internet Engineering Task Force，2003.

［11］Zou C C，Gong W B，Towsley D，et al.The Monitoring and Early Detection of Internet Worms［J］.IEEE/ACM Transactions on Networking，2005，13(5):961-974.

作者簡介 張化民 男，高級工程師。研究方向為計算機應(yīng)用。

周義明 男，講師。研究方向為信號處理。

張 莉 女，碩士。研究方向為計算機應(yīng)用。

王 晨 男，助理工程師。研究方向為軟件工程與管理方向。

蔡朝曦 男，講師。研究方向為計算機應(yīng)用。