遍歷性掃描沒有明確的針對性,在一個大致的範圍內對所有的主機作同樣的掃描,以試圖發現可能的攻擊目標。遍歷性掃描可以有以下幾種做法。
①順序掃描
從頭開始按順序選擇目標網絡內的IP地址進行掃描。若當前掃描的目標IP地址為A,則掃描的下一個IP地址為A+1或者A-1。這種掃描方式的實現最為簡單,但是對同一網段的重複掃描會引起該網段的流量異常,甚至引起網絡擁塞,因此也最容易被發現。Code Red II和Blaster是典型的使用順序掃描的蠕蟲。
②選擇性隨機掃描
在一個網絡中掃描的目標地址按一定的算法隨機生成,互聯網地址空間中未分配的或者保留的地址塊不在掃描之列。例如CodeRed蠕蟲使用的選擇性隨機算法為1/8的概率完全隨機選擇,1/2的概率選擇在同一個Class A,3/8的概率選擇在同一個Class B。Slapper蠕蟲的選擇算法為1/2的概率完全隨機,1/4的概率選擇在同一個Class A,1/4的概率選擇在同一個Class B。而Slammer蠕蟲則是完全隨機地選擇掃描目標。選擇性隨機掃描算法簡單,容易實現,但仍然容易引起網絡阻塞,使得網絡蠕蟲在爆發之前易被發現,隱蔽性差。
③拓撲掃描
拓撲掃描方法具有深度優先遍歷的含義,即利用被感染主機上的信息發現新的攻擊目標,並進行遍歷掃描。主機中可供遍歷的信息包括主機上訪問網頁上的鏈接地址,/etc/hosts中存放的信息,主機上的郵件地址簿,P2P應用系統保存的該主機連接到其他主機的信息等等。
分享到:
閱讀更多 每日微評 的文章
