基于多播扫描机制的双栈蠕虫研究

摘 要：IPv4网络到IPv6网络的过渡过程中将出现两种网络协议将共同存在。研究了一种具有分层扫描策略的蠕虫——双栈蠕虫，该蠕虫利用多播扫描策略实现本地IPv6子网内主机的检测，利用IPv4随机地址扫描发现子网外的目标主机。通过在真实网络中进行传播测试和利用仿真程序模拟双栈蠕虫在大规模网络中的传播行为，发现双栈蠕虫可以在IPv4-IPv6双栈网络中快速传播。

关键词：蠕虫；IPv6；双栈；多播扫描

中图分类号：TP309 文献标识码：A 文章编号：1004373X(2008)1508704

Research on Multicast Scanning Dual-stack Worm

ZHANG Huaming1,ZHOU Yiming2,ZHANG Li3,WANG Chen4,CAI Chaoxi1

(1.Hunan Tax College,Changsha,410116,China;2.Beijing Institute of Petro-chemical Technology,Beijing,102617,China;

3.Hunan Agricultural University,Changsha,410128,China;4.ZTE Xi′an R&D Center,Xi′an,710065,China)

Abstract：In transition from IPv4 to the IPv6,both of them will work in the Internet.The dual-stack worm is presented in this paper,which adopts a hybrid scanning strategy.The multicast scanning is used to collect the addresses of all active hosts in the IPv6 link-local,and the IPv4 random scanning is implemented to detect the vulnerable hosts out of the link-local.The dual-stack worm is released in the real network to study how the worm detects and infects susceptible hosts.And its propagation is simulated by the simulator to study how the worm propagates in the large-scale network.The results show that the dual-stack worm is able to spread in the IPv4-IPv6 dual-stack network.

Keywords：worm;IPv6;dual-stack;multicast scanning

1 引 言

随着近年来多起蠕虫事件的爆发，蠕虫已日益成为互联网的主要安全隐患之一。不同于传统的病毒，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上”。自从1988年第一个蠕虫Morris出现以来，就一直以其快速的传播速度、广泛的危害范围著称。2001年Code Red蠕虫爆发，感染超过36万台主机，造成的损失超过26亿美元^［1］；2003年1月爆发的SQL Slammer在短短10 min内就感染了90％的全球存在漏洞的主机，造成损失超过12亿美元^［2］；同年8月11日W32.Blaster蠕虫爆发，据ISC(Internet Storm Center)统计估计全球有20万到50万台主机被感染^［3］。

蠕虫的快速传播主要依靠其高效的扫描策略，Staniford等人对主动探测蠕虫的快速扫描策略进行了研究，并提出了Warhol 实验蠕虫，理论推测该蠕虫能在30 min内感染整个互联网^［4］；Chen等人设计了一种可以自动估计潜在受害主机分布的蠕虫，通过估计结果实现高效扫描从而躲避各类安全监控设备^［5］；Ma等人研究的“self-stopping” 蠕虫可以在感染了一定数量或者比例的受害主机后，自动停止攻击行为，以实现躲避蠕虫检测^［6］。

IPv6网络由于其128位的地址空间，使得依靠地址扫描的蠕虫不可能有效地实现目标的发现，被人们认为对蠕虫具有天然的抵抗力。而近年来研究人员却提出IPv6网络并不能提供完善的保护，Jing Yang在文献［7］中对IPv6网络的各种部署方式和参数配置对随机扫描蠕虫在IPv6中的传播行了分析，分析结果显示虽然通过调整IPv6网络配置，随机扫描蠕虫可以在一定范围内进行传播，但是传播的效果无法和IPv4网络中相比。Stevenm.Bellovin在文献［8］中对IPv6网络协议可能会对蠕虫传播提供帮助的一些特性进行了研究，并设想了几种IPv6网络下可能获取主机地址信息从而能够使蠕虫进行有效传播的策略。A.Kamra在2005年在文献［9］中，提出了一种利用DNS服务器所存储的IPv6地址信息进行地址扫描的蠕虫，并根据其假设构建除了DNS蠕虫的传播模型并对其进行了分析，分析结果证明这种蠕虫在IPv6网络中具有一定和IPv4网络下随机扫描蠕虫相近的传播能力。

本文提出了一种能够快速获取IPv6本地链路主机地址的蠕虫扫描策略——多播扫描策略，以该策略作为IPv6网络本地扫描策略，以随机地址扫描作为跨网扫描策略，设计了一种可以在IPv4-IPv6双栈网络环境下快速传播的蠕虫实体，通过实验网络测试和仿真平台模拟，证明双栈蠕虫相对随机扫描蠕虫拥有更快的传播速度。

2 双栈蠕虫的传播方式

2.1 IPv4-IPv6双栈网络

IPv6协议作为下一代网络的核心已逐步被人们所认可，核心问题是如何从IPv4过渡到IPv6。然而，一种新的协议从诞生到全面应用于互联网是有很长的路要走的，尤其是对于由IPv4很好地支撑着的互联网而言，不可能要求所有节点立即演进到新的IPv6协议。对此，IPv6提供许多过渡技术来实现这个演进过程。一般来说在IPv6部署初期，互联网将由IPv4“海洋”和一个个新建的IPv6“小岛”组成。随着IPv6发展，这些小岛将逐渐扩大。而在相当一段时间内，互联网的特征将是IPv6和IPv4共同存在、共同运行。双协议栈技术是当前当前使用最广泛的过渡技术，该技术同时支持IPv4协议栈和IPv6协议栈，双栈节点同时支持与IPv4和IPv6节点的通信，当和IPv4节点通信时需要采用IPv4协议栈，当和IPv6节点通信时需要采用IPv6协议栈，其结构如图1所示。

2.2 基于多播方式的IPv6本地链路扫描

在IPv6的地址有3种类型：单播地址(Unicast)、多播地址(Multicast)和泛播地址(Anycast)。其中多播地址用于标识0个或者多个接口，并特别定义了一些特定范围的地址，如FF02::01被用来表示本地链路范围所有节点的多播地址，向该地址发送的报文将被本地链路内所有的主机接受^［10］。如图2所示，通过向FF02::01发送一个ICMPv6的回送请求(Echo request)报文，在0.001 s内可以获得本地链路内所有IPv6主机的本地链路地址(Link-Local Addresses)。每个IPv6子网拥有64位的地址空间，通过对地址空间的扫描几乎不可能在有限时间内发现其他主机，而基于多博扫描的策略则可以有效的在IPv6子网中发现目标主机，在研究中双栈蠕虫利用该方法作为本地链路的扫描策略。

2.3 双栈蠕虫

双栈蠕虫具有双层扫描机制，在IPv6网络中利用多博扫描机制发现IPv6本地链路内所有运行的主机，之后利用随机扫描发现本地链路之外使用IPv4协议的主机。向目标主机DCOM RPC服务的135端口发送“BIND”信息以连接期望的接口，并利用Microsoft Windows的DCOM RPC接口缓冲区溢出漏洞(MS03-26)，攻击目标主机。一旦目标主机存在该漏洞，将会主动利用tftp(简单文件传输协议)到感染主机下载蠕虫代码到本地主机Windows根目录下的system32目录中。感染主机将通过cmd shell让目标主机执行下载到双栈蠕虫程序，目标主机将成为新的感染源。

3 双栈蠕虫的传播实验

3.1 真实网络传播实验

实验中为了实现对蠕虫攻击传播过程的监控和控制，双栈蠕虫中加入了一个信息上报和控制模块，所有感染双栈蠕虫的主机将把该主机次成功的感染事件发送到数据采集服务器。为了验证双栈蠕虫的传播性能，6台存在漏洞的受害主机分布在两个运行双栈协议的子网中，其中子网192.168.1.0中拥有21台主机，子网192.168.2.0中拥有25台主机，他们之间通过IPv4连接。为了控制蠕虫的传播范围，实验中的双栈蠕虫在进行IPv4地址随机扫描时范围被控制在192.168.1.1到192.168.15.255之间，同时为了保证蠕虫代码可以被顺利下载到被攻击主机，当利用IPv6多播扫描策略时蠕虫的攻击速度为每秒1台，当利用IPv4地址随机扫描策略时蠕虫的攻击速度为每秒4台(IPv6多播扫描策略发现的目标均为正在运行的主机，每次攻击的成功率约为10%，而IPv4地址随机扫描的目标空间为15 360，成功率不足0.1%)。

在10次传播实验中，双栈蠕虫从主机192.168.1.204释放开始，可以在20 s内(最快7.2 s，最慢17.2 s)感染本地子网内所有存在漏洞的主机，而当192.168.2.0子网中出现被感染主机后，该子网内所有主机也将在随后20 s被全部感染(最快8.4 s，最慢19.4 s)，传播过程以树型结构显示如图3所示。通过统计10次实验的结果发现，双栈蠕虫感染第一台主机平均需要10.7 s，感染第五主机平局需要48.1 s。为了对比随机扫描蠕虫，研究中还进行了10次随机扫描蠕虫的传播实验，如图4所示，统计结果显示双栈蠕虫的传播速度远远快于随机扫描蠕虫。

3.2 仿真传播实验

为了验证在大规模网络中双栈蠕虫的传播特性，研究中将连续时间分割为若干个离散时间点，模拟每个离散时间段内蠕虫的传播行为，并设计了不同的模式来仿真双栈蠕虫在利用不同扫描策略时的行为。当使用IPv6多播扫描时，由于蠕虫可以快速感染整个子网，所以假设任意子网一旦出现一个被感染主机，整个子网将在m个离散时间间隔后完全感染；当使用IPv4随机地址扫描时，利用两次生成随机数来模拟蠕虫的攻击行为，第1次生成的随机数r1用于模拟蠕虫的某次扫描是否命中存在漏洞的主机，第2次生成的随机数r2用于模拟对存在漏洞主机的扫描是否有效(包括对象是否已感染和攻击是否成功)。

在仿真实验中进行如下假设^［11］：网络中存在漏洞的主机总数N=360 000，漏洞主机占所有运行主机的2%；蠕虫的扫描空间Ω=232；仿真的时间间隔为0.25 min；主机利用IPv6多播扫描时攻击速度为60次/min，利用IPv4随机地址扫描时的攻击速度为k(次/min)服从正态分布N(240,1002)；在t=0时刻，已感主机总数I(0)=1。本研究中假设双栈网络有以下构成形式：

(1) 存在180 000个子网，每个子网中有2个存在漏洞的主机，仿真时m=4(2个存在漏洞的主机分布在100台主机中，根据简单传染病模型分析，1 min内蠕虫可以感染所有主机)，需要6个时间间隔完成本地子网攻击进入IPv4随机攻击方式；

(2) 存在72 000个子网，每个子网中有5个存在漏洞的主机，仿真时m=5，需要17个时间间隔进入IPv4随机攻击方式；

(3) 存在36 000个子网，每个子网中有10个存在漏洞的主机，仿真时m=6，需要33个时间间隔进入IPv4随机攻击方式。

在本文研究中对于每种网路构成形式进行了100次的仿真实验，并统计仿真结果，各种网络构成形式下蠕虫传播的均值与仅使用IPv4地址扫描策略的蠕虫对比如图5所示。显然双栈蠕虫的传播速度远远超过了一般的蠕虫，而且随着其传播还会随着子网数量的减少而加快。

4 结 语

本文通过分析双栈蠕虫的传播策略，并在真实网络中进行蠕虫传播实验，证明双栈蠕虫可以在IPv4-IPv6双栈网络中快速传播。通过仿真双栈蠕虫在大规模网络中的传播行为，发现IPv6网络可以加速双栈蠕虫的传播，其速度远远快于基于IPv4地址随机扫描的蠕虫。研究表明在从IPv4网络到IPv6网络的过渡阶段，蠕虫可以利用新的扫描策略实现快速传播，这对于蠕虫的防御和控制方法将提出新的挑战，也为网络的安全运行带来新的潜在威胁。

参 考 文 献

［1］王平,方滨兴,云晓春,等.基于用户习惯的蠕虫的早期发现［J］.通信学报,2006,27(2):56-65.

［2］Dubendorfer T,Wagner A,Hossmann T,et al.Flow-Level Traffic Analysis of the Blaster and Sobig Worm Outbreaks in an Internet Backbone［J］.Proceedings of DIMVA 2005,Austria,2005:103-122.

［3］The Spread of the Sapphire/Slammer Worm./research/worms /slammer.php,February 2003.

［4］Staniford S,Paxson V,Weaver N.How to Own the Internet in Your Spare Time［C］.Proceeding of the 11th Usenix Security Symp.San Francisco,2002:149-167.

［5］Chen Z,Ji C.A Self-learning Worm Using Importance Scanning.Proc.ACM CCS 3rd Workshop on Rapid Malcode (WORM′05),2005.

［6］Ma J,Voelker G M,Savage S.SelfStopping Worms.Proc.ACM CCS 3nd Workshop on Rapid Malcode,2005.

［7］Jing Y.Fast Worm Propagation In IPv6 Networks［EB/OL］.Malware Seminar Spring,2004.http://www.cs.virginia.edu/-jy8y/FinalProjectReport.pdf.

［8］Bellovin S M,Cheswick B,Keromytis A D.Worm Propagation Strategies in an IPv6 Internet［EB］.Login:Magazine.2006,31(1):70-76.

［9］Kamra A,Feng HH,Misra V,et al.The Effect of DNS Delays on Worm Propagation in an IPv6 Internet［C］.Proceedings of the IEEE INFOCOM 2005.Miami: INFOCOM,2005:2405-2414.

［10］Hinden R,Deering S.Internet Protocol Version 6 (IPv6) Addressing Architecture.RFC 3513,Internet Engineering Task Force,2003.

［11］Zou C C,Gong W B,Towsley D,et al.The Monitoring and Early Detection of Internet Worms［J］.IEEE/ACM Transactions on Networking,2005,13(5):961-974.

作者简介 张化民 男,高级工程师。研究方向为计算机应用。

周义明 男,讲师。研究方向为信号处理。

张 莉 女,硕士。研究方向为计算机应用。

王 晨 男,助理工程师。研究方向为软件工程与管理方向。

蔡朝曦 男,讲师。研究方向为计算机应用。