网络攻击技术研究

网络攻击技术研究.txt你看得见我打在屏幕上的字，却看不到我掉在键盘上的泪！自己选择45°仰视别人，就休怪他人135°俯视着看你。网络攻击技术研究网络攻击技术研究
李德全

中科院，软件所
信息安全国家重点实验室

认识黑客Hacker
Hacker起源
Hack:(1) cut roughly or clumsily, chop(砍辟）(2) horse may be hired(3) person paid to do hard and uninteresting work as a writer；引伸义：干了一件漂亮的事；Hacker: 也指恶作剧；Hacker differs from Cracker

黑客守则

1) 不恶意破坏系统
2) 不修改系统文档
3) 不在bbs上谈论入侵事项
4) 不把要侵入的站点告诉不信任的朋友
5) 在post文章时不用真名
6) 入侵时不随意离开用户主机
7) 不入侵政府机关系统
8) 不在电话中谈入侵事项
9) 将笔记保管好
10) 要成功就要实践
11) 不删除或涂改已入侵主机的帐号
12) 不与朋友分享已破解的帐号


网络攻击的分类

1、特权提升攻击
2、拒绝服务攻击
3、病毒蠕虫的攻击（恶意代码
攻击）


1、特权提升攻击
1.1 口令攻击
1.2 窃听
1.3 扫描
1.4 木马攻击
1.5 缓冲区溢出攻击
1.6 社交工程


1.1 口令攻击

恢复或重现存入系统的口令
强力破解
破解加密的口令文件
击键记录
从击键记录中查找可能的口令


恢复或重现存入系统的口令

在向系统输入口令时，为了避免输入的口令被旁边的人看到，系统通常不会显示你键入的口令字符，而是以星号“*”代替字符显示。当把口令存入机器以后，下次登录时系统会自动从存储在口令文件中取出相应的口令进行登录，这时候，需要输入帐号、口令的界面仍然会显示出来，而口令一栏则仍以几个“*”代替。采用口令恢复软件可以把“*”还原显示为原来的口令字符。



恢复或重现存入系统的口令

用iOpusPassword Recovery XP软件显示出口令为“uhf”
由于我们用的是试用模式，因此，只显示了口令的前3位


强力破解口令

如果没有采用很强的口令策略（如口令的尝试次数的限制）时，强力攻击还是很有效的。强力攻击可以通过字典加速找到不安全的口令。
一些常用的不安全口令：password、secret、sex、money、love、computer、football、hello、morning、ibm、work、office、online、terminal、internet
选择口令的要点是：长度要足够，数字、字母、符号都要有，字母要大小写都有，不能使用有意义的单词等等。


破解加密的口令文件

在系统上，通常都有加密的口令文件，当用户输入帐号和口令时，系统将口令加密与口令文件中的对应项比较，如果一致，什么口令正确，验证通过。
如果攻击者获得了此口令文件，其通过口令破解软件如JohnTheRipper

、L0phtCrack、Ntcrack、Cracker Jack、Dictionary Maker等从预先准备好的字典中取出一个，进行加密，然后与口令文件中的口令（一般会有很多）比较，看看与哪个一致，如果匹配成功，则攻击者就获得了对应帐号的口令，此口令即为匹配前进行加密的那个。


1.2 窃听

网络窃听（远程）
本地窃听


网络窃听

在一个共享式网络，可以听取所有的流量
是一把双刃剑
管理员可以用来监听网络的流量情况
开发网络应用的程序员可以监视程序的网络情况
黑客可以用来刺探网络情报
目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer)


以太网卡的工作模式

网卡的MAC地址(48位)
通过ARP来解析MAC与IP地址的转换
用ipconfig/ifconfig可以查看MAC地址
正常情况下，网卡应该只接收这样的包
MAC地址与自己相匹配的数据帧
广播包
网卡完成收发数据包的工作，两种接收模式
混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来
非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)
为了监听网络上的流量，必须设置为混杂模式


共享网络和交换网络

共享式网络
通过网络的所有数据包发往每一个主机
最常见的是通过HUB连接起来的子网
交换式网络
通过交换机连接网络
由交换机构造一个“MAC地址-端口”映射表
发送包的时候，只发到特定的端口上


共享式网络示意图



在交换式网络上监听数据包

ARP重定向攻击
AB
1 B打开IP转发功能
2 B发送假冒的arp包给A,声称自己是C的IP地址
3 A给C发送数据，而实际上数据传到了B的MAC地址，于是B窃听了A给C的消息
做法：利用dsniff中的arpredirect工具
A
C


应用程序抓包的技术

UNIX系统提供了标准的API支持
Packet socket
BPF
Windows平台上通过驱动程序来获取数据包
驱动程序
WinPcap


通过取包工具窃听帐号口令

第73个数据包给出的是pop3帐号的用户名，第75个数据包给出口令
注意，这里只是示意，这里的口令是不安全的！



本地窃听

软件的：木马、Keylogger（/）
硬件的：击键记录器（Keystroke Loggers）


1.3 扫描

Port scanning: 找出网络中开放的服务。基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用
端口扫描可以确认各种配置的正确性，避免遭受不必要的攻击
用途，
双刃剑
管理员可以用来确保自己系统的安全性
黑客用来探查系统的入侵点
端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器


扫描器的重要性

扫描器能够暴露网络上潜在的脆弱性
无论扫描器被管理员

利用，或者被黑客利用，都有助于加强系统的安全性
它能使得漏洞被及早发现，而漏洞迟早会被发现的
扫描器可以满足很多人的好奇心
扫描器除了能扫描端口，往往还能够
发现系统存活情况，以及哪些服务在运行
用已知的漏洞测试这些系统
对一批机器进行测试，简单的迭代过程
有进一步的功能，包括操作系统辨识、应用系统识别


扫描器历史

早期
80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作
于是，出现了war dialer——自动扫描，并记录下扫描的结果
现代的扫描器要先进得多
SATAN: Security Administrator's Tool for Analyzing Networks
1995年4月发布，引起了新闻界的轰动界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于
X
两位作者的影响(Dan Farmer写过网络安全检查工具COPS，另一位Weitse Venema是TCP_Wrapper的作者)
Nmap
作者为Fyodor，技术上，是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术


地址扫描

IP扫描的目的是对一个网段内的所有可能的IP地址进行扫描测试，看看哪些IP地址处于使用中（即有系统以该IP地址在网络中运行）。


端口扫描技术

基本的TCP connect()扫描
TCP SYN扫描(半开连接扫描, half open)
TCP Fin扫描(秘密扫描，stealth)
TCP ftp proxy扫描(bounce attack)
用IP分片进行SYN/FIN扫描(躲开包过滤防火墙)
UDP recvfrom扫描
UDP ICMP端口不可达扫描
Reverse-ident扫描


漏洞扫描

漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。
攻击者也可以利用漏洞扫描查找受害者系统的漏洞，然后根据这些已知漏洞对受害者发起攻击。可以分为主机漏洞扫描和网络漏洞扫描


1.4 木马攻击

特洛伊木马是一种隐藏在具有一定使用功能的程序
（称为载体程序或外壳程序）中的一段非法的代码。当载体程序执行时，木马也得以执行。于是木马就进行一些恶意的操作，最典型的就是在系统中安装后门。木马在植入到被攻击主机后，它一般会通过一定的方式把相应信息，如主机的IP地址、打开的端口号（即后门）等发送给攻击者，这样，攻击者可以通过后门控制该系统。


木马的植入

木马的植入一般是在用户不知情的情况下完成的
木马也可以通过Script、Active

X、Asp、CGI等交互式脚本的方式植入。由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者的电脑进行文件操作等。Back Orifice、冰河等都是比较著名的特洛伊木马。


木马的结构

木马程序往往包含两个部分
外壳程序：公开的，谁都可以看得到。往往具有足够的吸引力，使人下载或拷贝，并运行
内核程序：隐藏在外壳程序之后，可以做各种对系统造成破坏的事情，比如
.发动攻击、破坏设备
.安装后门
通过Internet传播是极好的途径


木马的防范

如何防止
不要轻易相信别人发送的程序
不要轻易打开来路不明的程序或者内嵌脚本的文档
在网络上发布和下载文件，留意文件的MD5码
用防病毒软件来检测或过滤已经发现的木马
（网上一些软件等的发布，都有检验码，目的在于防止他人加入木马）


1.5 缓冲区溢出攻击

返回地址
攻击代码
局部变量
缓冲区
FFFF0000
堆栈
增长
方向
字串
增长
方向


Buffer Overflows

基本的思想
通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)

危害性

在UNIX平台上，通过发掘Buffer Overflow, 可以获得一个交互式的shell
在Windows平台上，可以上载并执行任何的代码
溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单
与其他的攻击类型相比，缓冲区溢出攻击
.不需要太多的先决条件
.杀伤力很强
.技术性强
在Buffer Overflows攻击面前，防火墙往往显得很无奈


Buffer Overflow的历史

1988年的Morris蠕虫，瘫痪了6000多台机器：利用UNIX服务finger中的缓冲区溢出漏洞来获得访问权限，得到一个shell;1996年前后，开始出现大量的Buffer Overflow攻击，因此引起人们的广泛关注;源码开放的操作系统首当其冲;随后，Windows系统下的Buffer Overflows也相继被发掘出来;已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术.


Robert T. Morris,Jr



为什么会缓冲区溢出？

在C语言中，指针和数组越界不保护是Buffer overflow的根源，而且，在C语言标准库中就有许多能提供溢出的函数，如strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), gets()和scanf()通过指针填充数据;不好的编程习惯;
溢出类型
栈溢出
堆溢出


一些典型的buffer overflows漏洞

NetMeeting buffer overflow
文章“The Tao of Windows Buffer Overflow”描述了漏洞发掘过程
Outlook
当客户接收邮件的时候，畸形的邮件头信息会导致buffer overflows，然后就可以执行恶意代码或者拒绝

服务
Linuxconf
Linuxconf允许远程通过Web对系统进行管理，当收到的http头中包含过量的信息时，会产生缓冲区溢出
ToolTalk
ToolTalk是一个RPC服务，攻击者连接到ToolTalk端口，然后发送包含恶意代码的命令，可导致缓冲区溢出……(大量的服务器应用程序都包含buffer overflows漏洞)


为什么不写出不受影响的代码来？

编程的问题都可以在开发阶段防止，事实上，并没有这么简单
有些开发人员没有意识到问题的存在
有些开发人员不愿意使用边界检查，因为会影响效率和性能
另一方面，许多遗留下来的代码还很多。在开发过程中，尽量使用带有边界检查的函数版本，或者自己进行越界检查


如何保护自己的代码免受Buffer Overflow攻击？

不可执行的缓冲区
适用于堆栈(stack)中的buffer，基本上不影响兼容性
数组越界保护
每一次引用一个数组元素的时候，都执行检查
缺点：效率低，并且用指针也可以引用数组元素
指针保护
在指针被引用之前，检测到它的变化
最根本的解决办法
编写正确的代码
不用C/C++，用VB、Java。但是…


防范缓冲区溢出

缓冲区溢出是代码中固有的漏洞，除了在开发阶段要注意编写正确的代码之外，对于用户而言，
一般的防范错误为
关闭端口或服务。管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行
安装软件厂商的补丁
.漏洞一公布，大的厂商就会及时提供补丁
在防火墙上过滤特殊的流量
.无法阻止内部人员的溢出攻击
自己检查关键的服务程序，看看是否有可怕的漏洞
以所需要的最小权限运行软件


社交工程

社交工程师的座右铭——既然可以找到别人替你做工作，那你为什么要自己做呢？
在计算机领域，社交工程的含义是欺骗某人，使其泄露他/她本不愿提供的信息。
好的社交工程师都很擅于假冒他人，如伪装成员工上司或网络系统管理员


社交工程举例

带病毒、木马的邮件
带有恶意程序的网站（这类网站是很多的）
也许可以说，人是安全中最薄弱的环节，因此安全意识的教育是极为重要的。


KevinMitnick

社交工程大师



特权提升攻击的一般步骤

隐藏
踩点
攻击
置后门
消除足迹


2 拒绝服务攻击（DoS，DDoS）

服务-——是指系统提供的，用户在对其使用中会受益的功能。
拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性均称为拒绝服务。如果一个计算机系统崩溃、或其带宽耗尽、或其硬盘填满，导致其不能提供正常的服务，就构成拒绝服务。
拒绝服务攻击——是指攻击者通过某种手段，有意地造成计算机或网络不能正

常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低。


DoS的目的

作为练习攻击的手段
作为特权提升攻击的辅助手段
报复
政治原因
经济原因
炫耀
恶作剧或单纯为了破坏


DoS攻击的典型过程

(1).准备阶段，收集目标信息
(2).占领傀儡机和控制台
(3).攻击的实施


DoS攻击的种类

物理（硬件）攻击、逻辑（软件）攻击
本地攻击和远程（网络）攻击
节点型和网络连接型攻击
直接攻击和间接攻击
剧毒包攻击、风暴攻击、重定向攻击


2.1 剧毒包型拒绝服务攻击

teardrop
Land攻击
Ping of death
循环攻击（Echo-chargen ）


碎片攻击（teardrop）

它利用Windows 95、Windows NT 和Windows 3.1中处理IP分片（IP fragment）的漏洞，向受害者发送偏移地址重叠的分片的UDP数据包，使得目标机器在将分片重组时出现异常错误，导致目标系统崩溃或重启
15015012012011080000
(a)
(b)
(c)


Land攻击

Land是一段c程序，其向受害者发送TCP SYN包，而这些包的源IP地址和目的IP地址被伪造成相同的，即受害者的IP地址，源端口和目的端口也是相同的，目标系统在收到这样的包以后可能会挂起、崩溃或者重启。


Ping of death攻击

向受害者发送超长的ping数据包，导致受害者系统异常。
根据TCP/IP规范要求，数据包的长度不得超过65535个字节，其中包括至少20字节的包头和0字节或更多字节的选项信息，其余的则为数据。而Internet控制消息协议ICMP是基于IP的，ICMP包要封装到IP包中。ICMP的头有8字节，因此，一个ICMP包的数据不能超过65535-20-8＝65507字节。
事实上，对于有的系统，攻击者只需向其发送载荷数据超过4000字节的ping包就可以达到目的，而不用使数据超过65507


循环攻击也称为死锁或振
荡攻击（oscillate attack）如：Echo-chargen攻击，chargen（UDP端口号19）echo（UDP端口号7）（echo、time、daytime和chargen的任何组合都可能构成一个循环）
AB
攻击者冒充B向A发送一个UDP ECHO 请求，其请求中的源地址伪造成B的地址。
在A的UDP chargen端口和B的UDP echo端口间就建立了一个无限的连接。后果是不仅A/B的资源被占用，它们间的带宽也被极大地浪费。


2.2 风暴型拒绝服务攻击

直接风暴
SYN风暴，ping风暴
反射风暴


直接风暴

攻击者
控制台
攻击机（傀儡机）
受害者
攻击机向受害者发
送大量的攻击性
（有害）数据包
攻击数据流
控制命令


直接风暴

SYN风暴
Ping风暴
TCP连接耗尽
UDP风暴
邮件炸弹


SYN风暴
(a)TCP三次握手(b) SYN风暴



反射风暴
受害者V
反射器R
攻击者A
攻击者A冒充受害者V，向反射器R发送大量的TCP SYN、ICM

P、UDP等消息受害者会收到大量的，来自于各个反射器的TCP SYN-ACK、TCP RST、ICMP、UDP等消息


普通反射风暴


放大式反射风暴

攻击机（可以是多个）受害者反射网络（对应于某广播地址） 不停地向广播地址发送回应请求 （源IP地址假冒成受害者的IP地址） 所有的回应都被传给了受害者，且这些回应是放大了的


放大式反射风暴

多数的反射风暴都是放大式的，这样攻击效果更加明显。
而放大式反射风暴又可以分为2类
一是在包数上放大（广播地址）
二是在包长上放大（如DNS查询）


DoS工具

Trinoo
TFN——The Tribe Flood Network
Stacheldraht——德语中意指带刺的网线
"barbed wire"
Trinity
Shaft….


拒绝服务攻击的发展趋势

攻击程序安装的自动化程度越来越高
攻击程序的利用越来越自动化
攻击的影响越来越大——波及范围更大，有时间接损失大于直接损失——一经安装即行攻击


3. 病毒和蠕虫的攻击

木马、病毒、蠕虫合称为恶意代码。
我们在前面已经讨论过木马，这里我们讨论病毒和蠕虫的攻击。


什么是计算机病毒？

病毒：感染系统中文件的恶意代码
病毒是蓄意编制的能够感染文件并导致受感染系统数据丢失、系统错误等恶意目的的代码。
我国正式颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”


什么是计算机病毒？

计算机病毒就是一种附加到计算机内部重要区域（例如可执行文件以及硬盘和软盘的引导区）的恶意代码。病毒通过将其自身复制到其他宿主文件或磁盘上，可以达到破坏数据的目的。当宿主文件运行并释放恶意代码时，就传播了病毒。当计算机从受感染磁盘中引导时，病毒可以迅速地传播到内存中。
一旦病毒驻留在内存中，它就可能感染其他可执行文件或磁盘引导扇区。一般情况下，病毒保持一种静止状态，直到出现某个触发事件，例如，某个系统日期。除复制之外，计算机病毒经常还会执行某些其他活动，通常是一些破坏活动或显示一条消息。
已知的病毒已超过了20,000 种。


病毒的分类

引导扇区病毒：这些病毒感染软盘的引导扇区，或者硬盘的引导扇区或主引导记录（分区表扇区），当系统读取软盘或者启动而读取硬盘引导记录时，病毒也被转载到内存中运行。
文件型病毒：也称为程序病毒，它们附在可执行程序中（如.COM、.EXE 和.DLL ），当程序运行时随之转载入内存。


病

毒类型

复合病毒：这类病毒是引导扇区病毒和文件型病毒的复合体，同时具有两种病毒的特征。
宏病毒：这是用微软的word等应用使用的宏命令编写的。由于这种病毒依赖于应用，因此其适用于多种平台，只要这些平台运行相同的应用即可。


病毒特征

传染性
未经授权而执行
隐蔽性
潜伏性
破坏性
不可预见性


病毒的传播方式

程序型病毒可以通过任何网络、调制解调器或磁盘传播。大多数引导型病毒只能通过软盘传播。复合型病毒尤其复杂，因为这种病毒按照程序型病毒传播，但感染引导扇区并可以通过软盘传播。
随着局域网、Internet 和全球性的电子邮件的大量使用，病毒传播的速度也在迅速地增加。当受感染文件通过电子邮件发送出去时，本地的病毒可能会迅速地传播到公司的其他部门甚至是世界各地。病毒感染的主要威胁来自于那些打开并使用的共享文件。


病毒传播的主要途径



计算机病毒的触发机制

日期触发：特定日期触发、月份触发、前半年后半年触发等。
时间触发：特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。
键盘触发：击键次数触发、组合键触发、热启动触发等。
感染触发：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
启动触发：病毒对机器的启动次数计数，并将此值作为触发条件。
访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件。
调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。
CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件。


计算机病毒的破坏行为

攻击系统数据区
攻击文件
攻击内存
干扰系统运行
速度下降
攻击磁盘
扰乱屏幕显示
键盘
攻击CMOS
干扰打印机


计算机病毒发作后的现象

由于病毒本身或其复制品不断侵占系统空间，使可用系统空间变小
由于病毒程序的异常活动，造成异常的磁盘访问
由于病毒程序附加或占用引导部分，使系统引导变慢
丢失数据和程序
打印出现问题，打印速度变慢或打印异常字符
死机现象增多
系统出现异常动作，例如：突然死机，又在无任何外界介入下，自行启动，用户没有访问的设备出现工作指导
出现一些无意义的画面，问候语等
IE浏览器被修改，自动挂起特定网站
开始\运行无法使用，无法修改注册表，目录被自动共享等······
异常情况不一定说明系统内肯定有病毒


抗病毒必须正视如下现实

目前的防病毒软硬件不可能自动防今后

一切病毒
目前的查解病毒软硬件不可能自动查解今后一切病毒而又能正确自动恢复被这些新病毒感染的文件
目前的防、查、解病毒软件和硬件，如果其对付的病毒种类越多，越会有误查误报现象，也不排除有误解或解坏现象。杀毒编程太费事、太累、还要冒风险，后来国外有的软件干脆只杀除其已知病毒的70％，复杂病毒只查不杀了。所以，杀病毒时，用户应遵循一查找、二备份、三解除的原则
目前的防、查、解病毒软件和硬件是易耗品，必须经常更新、升级或自我升级。


抗病毒的方法
抗病毒首要的是思想上重视
抗病毒最有效的方法是：备份！
抗病毒常用的方法是：安装杀毒软件，定期扫描、实时防护
抗病毒最有效的手段是：病毒库升级要快！
病毒破坏后最没办法的办法是：死马当着活马医－灾难恢复


安全使用机器的方法与措施

定期与不定期地进行系统数据和文件的备份工作对外来的软盘、光盘和U盘等都应该先进行病毒查杀，然后再使用。

尽量不开或少开共享文件
不清楚来源的邮件不要打开，更不能下载到本机
少从网络上下载文件，从网络上下载的文件一定要在使用前进行病毒检测
注意机器、系统不正常的状况
确保杀毒软件处于实时防护状态，定期扫描硬盘，定期升级病毒库
定期给系统安装系统补丁关注新病毒信息，及时采取预防措施


安全使用机器的方法与措施
检查BIOS设置，将引导次序改为硬盘先启动（C：A：）
在Word中将“宏病毒防护”选项打开，并打开“提示保存Normal模板”，退出Word，然后将Normal.dot文件的属性改成只读
在Excel和PowerPoint中将“宏病毒防护”选项打开
若要使用Outlook/Outlook express收发电子函件，应关闭信件预览功能
在IE或Netscape等浏览器中设置合适的因特网安全级别，防范来自ActiveX和Java Applet的恶意代码
使用.rtf格式的字处理文档来代替.doc格式文档，并用.csv格式的电子表格来代替.xls格式电子表格
如果系统不使用WindowsScriptingHost(WSH)和IIS，应该考虑删除或禁用它


蠕虫
蠕虫：不用感染其他程序，而能自行复制的程序。
蠕虫与病毒的区别在于，病毒必须“寄生”在宿主程序上，而蠕虫是独立的。
蠕虫的传播方式有：邮件附件、网络调用。


蠕虫
1975年John Brunner在其科幻小说The Shockwave Rider中描述了一个蠕虫“worm”在网络中不断地膨胀，最后达到了数百万bit，以至于不毁掉网络就无法杀掉该蠕虫。
1988年出现的Morris蠕虫是现实中的第一个蠕虫该蠕虫有康奈尔大学计算机系的研究生Robert T. MorrisJr.于1988年11月2日发布。其利用了fingerd的BOF漏洞和sendmail的调试（debug）选

项。数天内就击垮了整个Internet。


蠕虫的对策
不要轻易打开邮件附件，特别是由陌生人发来的。即使是熟悉的人发来的，以your file, your message, resume, information, 等等为文件名的附件在网络上过滤一些特定的通讯。例如，一些在网络上传送的，以were .vbs, .exe, .scr, and .pif等为扩展名的文件。