Impediments à propagação do sem-fim

Share

|

Agora que nós vimos os componentes típicos usaram-se construir um sem-fim, deixe-nos pensam através dos obstáculos principais de que cara dos sem-fins como espalham e as estratégias usadas começar em torno de tais obstáculos. Embora pudesse no início parecer como um exercício evil contemplam tais coisas, humor me para um minuto ou dois. Compreendendo as dificuldades que os sem-fins enfrentam em espalhar, nós pudemos poder começar uma sensação melhor para como os sem-fins poderiam evoluir no futuro e, mais importante, como nós poderíamos defender de encontro a algumas destas tendências novas.

Diversidade do ambiente do alvo

Um dos impediments os mais grandes à propagação voracious de um sem-fim é seu reliance no ambiente da máquina da vítima. Embora nós gostemos de pensar de que os sem-fins estão retardados para baixo por nossas defesas, o mais frequentemente, é a diversidade de nossos sistemas computatorizados que hampers sem-fins. Qualquer dos componentes do sem-fim pôde confiar em programas específicos, em bibliotecas, ou em ajustes da configuração a estar atuais no sistema da vítima. Se estas partes que o sem-fim necessita funcionar não forem incluídas no alvo, o sem-fim apenas claramente não trabalhará. Para o exemplo, suponha um HTTP dos usos do sem-fim para propagar à máquina de alvo. Confiará provavelmente em um browser instalado no sistema, tal como o Internet Explorer, o Netscape Navigator, ou mesmo o browser baseado texto do lynx. Se o browser não estiver atual, o progresso do sem-fim estará prendido como ele solhas aproximadamente, incapaz de espalhar ao jogo seguinte das vítimas. Similarmente, um sem-fim que espalhe através de TFTP geralmente não pode mover-se se um cliente de TFTP faltar em um sistema de alvo.

Para evitar tais dificuldades, os sem-fins podiam utilizar três estratégias diferentes. Primeiramente, alguns sem-fins embalam aqueles elementos que requerem no ambiente dentro do sem-fim próprio do alvo. O sem-fim age como um caracol, continuando sua parte traseira qualquer coisa que pôde necessitar fazer um repouso cozy na máquina da vítima, including programas específicos, em bibliotecas, e em ajustes da configuração.

Alternativamente, alguns sem-fins são construídos para ser flexíveis bastante adaptar-se aos ambientes múltiplos. Se o sem-fim se encontrar em uma máquina sem algum elemento necessitado propagar, como um browser, o sem-fim poderia empregar algum esquema alterno para se mover através da rede. Se o HTTP não trabalhasse porque o sem-fim falta um browser, apenas pôde tentar o ftp ou o TFTP.

Uma terceira opção vista não frequentemente no selvagem é para que o sem-fim analise seu ambiente, e adquire então no tempo real as partes e as partes do Internet que necessita funcionar. Se meu sem-fim mostrasse acima em seu sistema browserless, meu sem-fim pôde apenas fazer uma conexão a seu Web site favorito da distribuição do browser e instalar seu próprio browser.

O downside, do perspective do sem-fim, de cada uma destas soluções é que faz o sem-fim mais grande e mais complexo. Se tiver que carregar em torno de um grupo do código para transformar seu alvo ou para conter muitos de alternativas diferentes para espalhar, o sem-fim torna-se maior. Os sem-fins maiores que alteram seu ambiente são também mais fàcilmente detectáveis. Suponha rupturas humongous de um assaltante em seus casa e começos que rearranjam ruidosa o furniture de modo que possa trazer sua cadeira velha musty do lounge no centro de seu quarto vivo. Você será muito mais provável observar suas ações porque trounces em torno de seu quarto vivo do que se um rato minúsculo andar dentro e ajustar acima a residência, roubando uma parte ocasional de queijo. Adicionalmente, este os sem-fins ambiente-carregando e detransformação maiores são mais complexos, e são conseqüentemente mais prováveis funcionar mal em um sistema de alvo.

Propagação Deixando de funcionar Dos Limites Das Vítimas

Uma outra limitação na propagação do sem-fim é associada com o impacto do sem-fim na máquina da vítima. Suponha um payload propositadamente ou faça com acidentalmente que o sistema de alvo deixe de funcionar. Com o sistema da vítima inoperante, o sem-fim simplesmente não pode usá-lo espalhar a infecção a outros sistemas. Em termos biológicos, os germes e os vírus que infect uma vítima e rapidamente matam-na têm geralmente impacto muito limitado na população total. Considere o frio comum. Você começa os sniffles e um headache irritante, mas pode ainda sair e aproximadamente, funcionamento e jogar. Ainda, ao ir sobre com sua vida, você pôde unwittingly infect muitos dos povos com um frio. Ebola, na outra mão, faz com que suas vítimas morram tràgica, geralmente antes que possam infect outra. Embora estarrecendo, Ebola é um pathogen distante mais menos bem sucedido nos termos de sua taxa da infecção.

Em uma forma similar, o mais com sucesso propagar sem-fins está esses que não destroem uma máquina da vítima imediatamente. Instead, tais sem-fins sentam-se stealthily na vítima e começam-se a espalhar a outros alvos. Estes mesmos sem-fins puderam, em alguma hora futura, completamente mess acima desta vítima, mas aquele ocorre somente após um ciclo relativamente mais longo da infecção.

A Propagação De Overexuberant Podia Congestionar Redes

Deixar de funcionar vítimas não é a única maneira que um sem-fim poderia inadvertidamente inibir sua própria eficácia. Se a propagação de um sem-fim utilizar as quantidades colossal de largura de faixa na vítima fizeram à máquina redes, o sem-fim poderiam obstruir a rede com cópias dse. O congestion de rede causado pelo sem-fim podia bloquear fora de própria propagação do sem-fim. Conversa sobre disparar-se em no pé.

Nós vimos esta fricção self-criada inerente da propagação no selvagem com o sem-fim do SQL Slammer. Enquanto uma vista geral, em janeiro 2003, SQL Slammer espalhou ràpidamente de alguma fonte anonymous durante todo Internet Service Provider (ISPs) em Coreia sul. Após ter-se estabelecido durante todo Coreia sul, o sem-fim gerou assim muito tráfego que tenta espalhar em outra parte que sua propagação hampered severamente. As redes durante todo Coreia sul foram batidas, incapaz de alcançar o rest.of.the.world. Feliz para o rest.of.the.world, embora, devido a este consumo da largura de faixa em Coreia sul, SQL Slammer era mais menos prejudicial distante do que de outra maneira poderia ter sido. Um sem-fim distante mais nastier estrangularia seu próprio consumo da largura de faixa para ajudar assegurar seu sucesso na propagação.

Não pise em yourself!

Uma outra limitação na propagação do sem-fim relacionou-se muito pròxima às edições que nós discutimos envolvemos assim distante o sem-fim que pisa nse. Suponha as propagações do sem-fim com sucesso a uma máquina de alvo. Os mecanismos da propagação do warhead e do sem-fim trabalham flawlessly para o acordo dessa vítima. Apenas como o sem-fim começa funcionar seu payload e motor da escolha de objectivos, WHAM! Um outro segmento do exato o mesmo sem-fim salta dentro da rede e overwrites a instalação precedente. Como aquele o exemplo recentemente instalado do sem-fim começa pronto para funcionar seu payload, ele pôde começar a batida outra vez, quando um outro exemplo do exato o mesmo sem-fim vem dentro da rede. Tais sem-fins são assim virulent em seus ataques que não podem começar nenhum trabalho real feito em um sistema de alvo. Do payload os funcionamentos nunca, como o sem-fim realizam-se assim que ocupado re-re-infecting alvos já conquistados. Para evitar este problema, alguns warheads do sem-fim verificam para ver se o sem-fim for instalado já em um sistema de alvo antes da infecção. Essa maneira, não annihilate um segmento mais adiantado do mesmo sem-fim já no alvo.

Não comece pisado sobre por alguma outra pessoa

Um impediment final à propagação do sem-fim envolve a possibilidade que dois sem-fins lançaram por jogos diferentes dos atacantes puderam utilizar o mesmo warhead para conseguir um objetivo diferente. O primeiro sem-fim para conquistar o sistema de alvo ajusta acima a loja e começa a funcionar seu payload e a fazer a varredura do motor. Mais tarde, um sem-fim completamente diferente ataca a máquina da vítima, overwriting o primeiro sem-fim. Quando o segundo sem-fim funcionar, o primeiro sem-fim pôde tentar outra vez bater o alvo. A máquina beleaguered da vítima é travada em uma guerra do turf do sem-fim.

"certamente, tais coisas não acontecem no selvagem," você puderam pensar. Bem, no fato . O projeto de Honeynet enfrentou apenas tal caso em 2000 atrasado. Se você não se ouvir, o projeto de Honeynet é um grupo de 30 geeks da segurança, conduzido por Lance Spitzner, de que constrói sistemas e os põe sobre o Internet assim que podem começar cortados. Baseado nas observações do projeto de Honeynet de como os atacantes trabalham sua mágica, a comunidade inteira da segurança pode aprender mais sobre o que os guys maus são até. Eu fui um membro orgulhoso do projeto de Honeynet por mais de três anos agora, e nós temos o todo o tido algumas aventuras very do divertimento. No papel branco intitulado "conheça seu inimigo: Os sem-fins na guerra, "o projeto de Honeynet descrevem como diversos sem-fins lutaram sobre uma de nossas caixas de Windows 98 sobre um período four-day.

Baseado em algum tráfego que suspicious nós tínhamos detectado no Internet, nós construiu uma caixa de Windows 98, conecta lhe ao Internet, e compartilhado: de C \ dirija para ver o que aconteceria. Quase imediatamente um sem-fim fêz exame sobre do sistema através da parte aberta da lima e começou a funcionar um payload que tentasse rachar uma chave do encryption. Dentro de um dia, um sem-fim completamente diferente fêz exame sobre da mesma caixa, incapacita o primeiro sem-fim, e ajustado então sobre rachar uma outra chave do encryption. Para não outdone, contudo um outro sem-fim invadiu logo depois disso. Era completamente comical ver estas bestas nasty undoing cada outros trabalho duro removendo o payload do sem-fim precedente e apagando algum de seu progresso. Uma versão mais esperta de alguns destes sem-fins incapacitaria a lima que compartilha de modo que os warheads dos outros sem-fins e os motores da propagação não pudessem alcançar a máquina de alvo. Nesta maneira, cada sem-fim seria mais bem sucedido distante se reparasse o vulnerability que se usou incorporar o sistema ao primeiro lugar.