Вирусы и другой вредоносный код



         

Простая эпидемическая модель - часть 3


2. Экспоненциальный рост количества вирусов в любой сети свидетельствует об отсутствии защитных механизмов либо о полной их неэффективности.

3. Механизм случайного выбора жертвы ограничивает снизу скорость распространения вирусов по сети. Значительно повысить её можно достаточно простыми средствами: подготовкой предварительного списка адресов для атаки, сканированием подсетей, выделением каждой копии червя отдельного фрагмента сетевого адресного пространства, поиском подходящих мишеней на зараженном компьютере и др. [17]. Если, к примеру, копия червя получает в наследство только непересекающуюся половину адресного пространства от «родителя», то из (1) следует, что это эквивалентно удвоению скорости заражения каждые 1/b секунд (Рис. 2).

Рис. 2. Ускорение эпидемии при выделении каждой копии червя своего непересекающегося фрагмента адресного пространства.

4. Инфекционная способность b в значительной степени зависит от скорости прохождения сетевых пакетов. Современные Web-приложения ориентированы на передачу огромных массивов данных (к примеру, видео), поэтому широкополосный доступ к Интернет становится насущной необходимостью, что автоматически повышает скорость распространения червей.

5. Системы раннего оповещения о развитии эпидемии окажутся сколько-нибудь эффективными только на участке i << iпор и при крайне низких значениях b. Моделирование распространения Code Red и Slammer показало, что анализ обращений к несуществующим адресам позволяет определить признаки вирусной активности в сети при заражении 1–2 % уязвимых узлов [24]. Таким образом, предупреждение может быть получено максимум за 1,65/b секунд до достижения порога взрыва iпор. Согласно данным [24] в случае Code Red это время составило бы не более 50 минут, а для Slammer не превысило бы 15–20 секунд. Очевидно, что в обоих случаях эпидемии можно было бы только зафиксировать, но не предотвратить.

5. Эффективность сетевых эпидемий можно значительно повысить, проводя скрытное предварительное заражение отдельных уязвимых узлов.Чем ближе i0 к iпор, тем разрушительнее могут оказаться последствия вирусной атаки (Рис. 1 ).

6. Увеличение адресного пространства Nip понижает инфекционную способность червей со случайным выбором жертвы. IPv6 предполагает 2128 адресов и это может несколько уменьшить темпы нарастания эпидемий, если адреса окажутся достаточно равномерно «размазаны» по всему пространству.

Анализ эпидемий Code Red v2 и Slammer на основе простой модели показал удовлетворительно совпадение с реально наблюдаемой динамикой эпидемий. Уже Code Red v2, чья инфицирующая способность оценивалась по различным данным от 0,7 до 1,8 компьютера в час менее чем за половину суток мог получить контроль над сотнями тысяч серверов. В то же время Slammer при скорости удвоения 8,5 секунд имел инфицирующую способность ~293 узлов в час и мог проникнуть на 90% уязвимых компьютеров всего лишь за 10 минут.




Содержание  Назад  Вперед