国家计算机网络应急技术处理协调中心运行部国家计算机网络与信.
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
Nimda
9月18日爆发,扩散手段多样化,几乎感染所 有的微软平台。因此个人主机受到比红色代码 更大的影响 利用服务器-服务器直接传播、电子邮件传播、 访问主页时用小程序向浏览器传播、可执行文 件感染、局域网共享文件夹传播等,不停尝试 各种手段传播自己 微软系列操作系统几乎都可感染,感染之后硬 盘资源被完全共享,因而彻底对网络开放 传染速度和规模、破坏方面和程度都将大大超 过以往任何一种蠕虫或病毒。造成大量的网络 (包括内网)瘫痪,由于感染客户机,泄密窃 密威胁空前严峻 12
– 影响:与红色代码相同,只是更加严重 韩国超过 4万台服务器感染 我国金融、交通、公安以及骨干网都受到 严重影响,估计感染数目超过几十万
5
红色代码II
时间:2001年8月
技术特点:
利用IIS的漏洞进行入侵 从服务器到服务器直接传播,不需要用户干预 在被入侵服务器中留下后门程序,可以通过浏览器直接调用 扩散算法恶劣 通过HTTP协议端口传播或者攻击
红色代码II/尼姆达
SQL杀手蠕虫
口令蠕虫
红色代码F变种
MSBLAST蠕虫(冲击波)
3
图:红色代码快速传遍全球
4
红色代码II和尼姆达
2001年8月份蠕虫攻击程序红色代码泛滥, 导致大面积网络瘫痪、服务中断
影响:经济损失、国家安全、政治影响、日常 生活等
美国大面积感染 9月份尼姆达更强烈地爆发,危及几乎所有的 日本航空售票暂停 用户
8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0
日
日
日
日
14
15
16
17
9月
9月
9月
9月
9月
18
日
红色代码
尼姆达
9月
20
日
13
红色代码和尼姆达的数据
金融、交通、公安、教育以及骨干网受到严重 影响,估计红色代码感染数目超过几十万台, 尼姆达感染数目超过百万台 8月22-27日监测到感染红色代码的服务器1万 8千多台 9月2-9日监测到感染红色代码的服务器4万8 千多台,抽样攻击次数1百余万次(实际攻击 次数几十倍于此) 9月14-26日监测数据表明,感染红色代码数 目单日最高达到1万5千多台;感染尼姆达数 目单日最高超过6万台,抽样攻击次数单日最 高近8百万次 14
2 2日 日 3 3日 日 4 4日 日 5 5日 日 6日 7日 8日 9日
9
红色代码对不同地区的影响程度
亚洲发生的跨国传染比例图
日本 印度
2% 2%
澳门
2%
巴基斯坦
2%
其它
6%
台湾
11%
南朝鲜
20%
中国大陆
55%
10
尼姆达攻击事件
在9月中下旬的Nimda事件中,CNCERT于9月
22日召集的有关单位研究了对策,并进行了具体 的布置,同时也进行了具体的疫情监测。
网络蠕虫灾害及其应急处理的 新特点
国家计算机网络应急技术处理协调中心运行部 国家计算机网络与信息安全实验室 主任
杜跃进 博士
2003年10月20日.天津
dyj@cert.org.cn
1
内容安排
网络蠕虫:日益严重的威胁 网络蠕虫的新特点 未来蠕虫的威胁 网络蠕虫灾害的应急处理
2
近年来的网络蠕虫灾害
尼姆达病毒源数量变化情况
80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0
日 日 日 日 日 日 14 15 16 17 18 19 9月 9月 9月 9月 9月 9月 9月
日 19 9月 20 日
红色代码
尼姆达
尼姆达病毒攻击次数变化情况
Web 服务器 个人主机:很多用户在不自知的情况下启动IIS服务
6
用户特点:
应对措施
8月10日召集互联网运营单位、安全服务商、病 毒防范中心、入侵防范中心等举行协调会:交流 情报与技术,分析疫情;协商应对措施与合作方 式,形成红色代码应急处理同盟;
公布CNCERT网站和应急服务电话;
分析传播机制,加强数据收集整理。
第一次实际应对大规模安全事件
7
8月22日-27日的监测数据
政府部门 教育界
7% 2%
其它
9%
网吧
1%
公司
11%
互联网
70%
监测到的感染数目超过18000个 大陆一侧确定位置的主机数目12605个
8
9月2日-9月9日的监测结果
9 9月 月
Hale Waihona Puke Baidu
9 9月 月
9 9月 月
9 9月 月
9月
9月
9月
变化情况
分布情况
9月
Ö ¸ Ð ú ¸ « Ú º Ö ¥ 红色代码病毒攻击次数变化情况 ª Í Á ø病毒源数量的变化情况 Ð 科技 Ö ¡ ¶ ² ½ Ô ´ 网通 Ú È Ô « ¸ ú 长城 ôÊ · ¡ µ Ä ² Ö ² » Ç é ¾ ö 移动 吉通 0.52% 0.58% 0.84% Ë ¼ Õ 2.68% 3211 Ë Ä ¨ ´ 760 · £ ¼ ¨ 0.11% 264 Ð Â ® ¼ 113 经贸 170,214 联通 180,000 12,000 0.00% 10,650 157,000 9,844 ã ¸ « ¶ 3159 ¹ Ó ± 159,336657 É Â ô Î 234 141,573 ª Á » Ö 其它 112 3.04% 160,000 163,887 10,000 3.44% 8,604 140,000 10,142 个,其中仅 监测到感染服务器 48,414 2,000 余 9,586 9,324 Ï É £ ¹ 2716 ¼ ô Î 638 ó ¸ Ý Ö 213 Ê · à Ë 86 120,000 8,000 101,210 教育 8,013 6,666 100,000 8月 22-27 日的数据重复 100,120 ã Õ 个和 ¼ 1969 ¼ É « ¶ 630 Ì ì ¼ ò 205 Ä Ú Ã É ¸ Å 53 6,000 6.36% 80,000 60,000 4,000 ± © ½ 1605 ¹ þ Ä Ï 586 É ¼ Î ô 166 Ç à ¹ £ 27 40,000 2,000 监测到的攻击 1,024,013 次,实际攻击 þ20,000 ¹ ± 1355 Ô Æ Ä Ï 576 Ö × Ç ì 159 Î ô× ² 30,673 23 00 É Ä Á þ 次数估计为该数据的数百倍。 1001 ¹ Ú Á ú ¼ 334 ° ² º Õ 154 Ä þ Ï Ä 电信 18 82.42% Ó Ä ¹ Ï 845各骨干互联网病毒源的分布情况 ã Î ¸ ô 276 ¹ £ Ä Ï 123