各方追查神秘网络流量来源 木马还是黑客? | ||
---|---|---|
http://www.sina.com.cn 2003年06月23日 15:40 ZDNet China | ||
ZDNet China 6月23日报道/ CNET News.com评论是病毒?木马程序?还是黑客工具?网络管理员和安全专家持续追踪不明程序,以查明导致因特网上怪异数据流量增加的真正原因。 安全软件公司Internet Security Systems(ISS)19日宣称已找到祸首──一种新型黑客工具,用来扫描进入公共网络路径的程序。但其它安全专家认为真正的元凶还逍遥法外。 Intrusec创办人兼技术长David J. Meltzer说:“这个工具的程序代码是有可能导致部分的流量。”但他指出,安全专家拦截到的数据和程序制造出的数据,两者之间有着重大差异,显示那个黑客工具不是真凶。 Meltzer强调,这些不明的数据不会自我复制,因此不构成严重的威胁,只是引起研究人员的好奇罢了。 自5月中旬以来,安全研究员和网络管理员就发现网络上有怪异的流量,并试着追查其源头。那些数据常企图连上不存在的服务器或既有服务器未提供的服务。唯一共同的线索,似乎是那些数据封包的窗口大小(window size)都是55,808个字节,而且在许多个案中,都来自于不存在的因特网地址。 “窗口大小”是一种TCP/IP网络使用的参数,用来指定装置可传送数据的数量(以字节计),不必先经过接收者的认可。这项参数通常由操作系统设定,若是设定在较低的数值,可让网络更稳定可靠;若是订在较高的数值,可加快网络传输速度。通常,在初次连上另一部计算机时,网络上的装置会使用较低的窗口大小,例如1,024字节。 安全服务供货商LURHQ公司资深分析师Joe Stewart说:“没有任何操作系统启动时会设定在那样的(55,808字节)的窗口大小。” Stewart在5月下旬发现某部计算机试图连上该公司网络上一部不存在的计算机。令人纳闷的是,这些怪异数据流量的竟是源自于不存在的因特网地址。因特网指定号码授权中心(IANA)已保留包含那些号码在内的地址,所以应该没有任何的因特网路由器会转传那些资料才对。所以当分析师发现有超过900笔数据企图连上网络上的一部服务器时,他没办法追查其源头。 “那可能是不完整的扫描程序,或有人试图测绘地址空间,”Stewart说:“我不认为已有人真正查出其来源。” ISS应变小组工程师Dan Ingevaldson相信,Intrusec交给ISS的程序代码就是祸首。他说:“我们觉得,一大部分的流量是这个程序代码所造成的。”他推断,先前的数据流与此程序的数据模式不相符,也许是此程序的变种版本使然。 至于此程序的作用为何,也是众说纷纭。有人起先认为,传送这些数据的是一种寄生于多人在线聊天系统(IRC)的虫,其它人则揣测那些数据曾经是低阶阻断服务攻击( denial-of-service attack)的一部分。安全公司Network Associates则把它归类为虫,并命名为W32/Randex.c。 分析程序代码后所得的最新理论似乎显示,Intrusec发现的程序代码应该是一种扫描程序和攻击工具,其沟通方式是传送数据至随机选择的地址,期待另一部染上此程序的计算机会在另一端响应。但此程序的臭虫太多,以至于运作不良。 LURHQ的Stewart认为,此程序是出自某个火候还不够的准黑客之手。但他不确定其背后是否还隐藏些什么。
两性学堂--掀起夏日阳光中的爱欲狂潮 |