现在，专家们已经开始讨论这样一些问题：MyDoom病毒之所以能够快速传播，说明阻止病毒攻击的对策是不充分的。根据在全球范围内造成的危害以及所造成的严重后果，MyDoom病毒和Sobig病毒的危害性分别位居第一位和第二位。为了防止安全专家过于将注意力集中于MyDoom病毒的组件——分布式拒绝服务攻击（DDOS），让我们不要忘记这两种病毒的攻击还是有一些共性的，尽管人们曾经要求提供商团体介入处理这些共性问题，但是到目前为止这些提供商拒绝一起处理这些共性。

要不是那些一直想寻找到一种方法来把他们的资源变成资本的电子邮件技术公司和ISP的贪婪，就不会导致这两次垃圾邮件病毒的泛滥，那么现在这么多由于Sobig和MyDoom所造成的巨大损失都可能可以避免。

哪些人或者公司将会出现在“最贪婪”列表中？首先是那些通过他们的系统来传递大量因特网电子邮件的ISP。这些群体甚至包括Yahoo！，MSN，Earthlink和AOL以及其他一些群体。在我的列表中位于第二位的是那些编制电子邮件客户端和服务器的电子邮件技术公司，其他公司使用这些技术来发送和接收电子邮件。这个群体包括IBM，微软，Novell以及Qualcomm（Eudora的生产厂家），当然这里列出的只是极小的一部分。

不幸的是，与社会责任相比较而言，与阻止兜售信息邮件相关的潜在的财政收入好像更加诱人。对于兜售信息邮件这个问题，虽然我们一般都是直接谴责犯罪者，但是上面所提到的技术公司也应该因为没有正确处理这些问题而同样受到谴责。

最后，无论如何，作为因特网用户，我们也应该受到一些谴责，因为我们在这些公司受到严重打击的时候没有为它分担相关的责任——尤其是在金钱上。

对当前攻击的分析
现在，让我们来看一看MyDoom病毒攻击是如何将电子邮件作为一个可以攻击的弱链的。也许，根据MyDoom大量的大字标题，专家们能够预测下一步可能会发生什么事情，但是我们几乎无法对其采取任何行动。对待病毒，就象我们对待在南佛罗里达州着陆的飓风Andrew一样。我们看到它来了，我们也知道它的危害，而且我们也知道它将在何处着陆，但是，我们却无法采取任何行动来阻止飓风所造成的浩劫。

MyDoom比Sobig危害更严重的一个原因是，它利用了Sobig基本的电子邮件病毒原理，并在其中增加了DDoS组件。在我以前的一篇分析报告中（在此文中，我再一次持有这种观点：我们的技术公司要对没有及时阻止病毒的传播承担责任），缺少对这种攻击的下一步可能进化的方向的描述，但是我的解释仍然留下了一个暗示。我是这样解释的，“如果Sobig使用DDoS这种攻击方式，那将更可怕，因为它代表成千上万的系统，通过因特网向网络的主干道发送大量请求，从而阻塞了网络交通。”

在注意到SCO的因特网域名被MyDoom击跨时，我认为受到DDoS攻击之后，系统将无法做任何事情。那么，究竟什么是DDoS攻击呢？所谓DDoS就是指分布在全世界的系统几乎在同时向同一个实体发送请求（这个实体可能是一个网页服务器，FTP服务器，电子邮件服务器或者是整个域等）。如果有足够多的系统来支持这种攻击，目标（或者通向这个目标的路径）将无法承受这么多的请求，包括合法请求都将无法通过这些路径或者无法得到服务，因为网络实在是太拥挤，或者系统实在是太忙。

Jeff Carlon，SCO的全球IT基础设施的主管，深知这种原理。在我对他的访谈中，Carlon解释道，随着各种攻击技术变得越来越高级，对这些攻击的检测和防范也变得越来越难。

事实上，通过MyDoon病毒发送的DDoS攻击还是有一定的签名特征的，通过利用这个特征，SCO从第一波攻击中幸存，而微软则成功的阻击了这种病毒的攻击。顺便要提及的是，微软除了说明这种病毒攻击的目标是它的网站外，几乎没有说明它采取了什么措施来阻止这些DDoS攻击的，另外，微软还说明了以下内容：在这些病毒发动攻击时，他们只是向自己发送请求，因此那些受感染的计算机参与攻击的数量也就大大减少了。

同样的，由于MyDoom只是以Sobig的一个进化版本形式出现，因此我敢保证，DDoS攻击的进化版还没有结束。例如，MyDoom DDoS攻击的一个签名元素是受感染系统向SCO的网站发送包的数量、大小以及频率。发动攻击的犯罪者一定会修改这些特征使得新的病毒更难被检测，那些认为犯罪者不会修改这些特征的人只会愚弄他们自己。

试想将自己放在这样一种环境中呆上一会儿：每个攻击系统发送包的个数不同，大小不同，而且发送的频率是随机的，那么你用什么方法来断定它是DDoS攻击呢？又怎么阻止这种数据包的发送呢？然而Carlon对此却怀有一定的自信，那就是如果在很短的时间周期内，某一个系统向SCO的网站发送包的数量超过了64,000个的话，那么这个系统可能在对SCO的网站发动DDoS攻击。但是，新的攻击将可能是参与攻击的系统更多，而每个系统发送的数据包更少，这样使得人们很难将合法通信与伪造的通信进行分离。

虽然进一步改进以防止DDoS对网络的攻击，对于网络来说是一件很有意义的事情，但是我的担心是，如果我们将视线从真正的问题挪开，也就是从拙劣的电子邮件系统上挪开，那我们将永远看不到这个问题的结果。尽管第一轮DDoS类型攻击中还有少数系统是通过攻击者直接控制来进行协同攻击的，但是在第二轮攻击中则开始利用蠕虫向不知情的参与者发送攻击代码。对于第一轮攻击，通过使用常用的防止DDoS攻击的工具就可以很容易的阻止。但是，对于第二轮攻击，则需要在传输的前沿加强警戒——将蠕虫拒之门外。不知你是否已经注意到，现在已经很少这么近距离的接触蠕虫了？同样的，第三轮DDoS攻击仍将主要集中于传输载体——电子邮件。

和Sobig一样，MyDoom同样以一种非常卑鄙的方式来发送它的负载。MyDoom不仅让其受感染的系统通过其邮件向其他的系统发送，而且它还在发送的过程中欺骗发送者的地址。如果你的系统已经感染了，那么它将向你的Outlook地址薄里的联系人发送病毒电子邮件。它首先将FROM地址改变为其他的地址而不是你的地址，这样可以使得接收者看起来这封邮件好像不是你发送的。

如果已经对因特网的电子邮件标准进行了修补（实现这种修补是很容易的事情），通过这种修补，可以确认你在什么时候接收了一封电子邮件，而且这封邮件确实能够证明自己的出处（一种认证的形式），那么，你自己的系统或者那些传递电子邮件给你的系统将能够最终阻止你接收或者打开那些带病毒的电子邮件，从而防止你的系统被感染。如果现在有这样的一个认证或者认证系统，Sobig 和MyDoom将不可能在全世界范围内传播。

上一页12 下一页