互聯(lián)網(wǎng)流量異常引發(fā)代碼大追捕 原因不明

蠕蟲(chóng)病毒？特洛伊木馬？還是攻擊工具？網(wǎng)絡(luò)管理人員和安全專(zhuān)家繼續(xù)在查找引起互聯(lián)網(wǎng)上 數(shù)據(jù)流量不正常增加的原因。 　　安全軟件廠(chǎng)商互聯(lián)網(wǎng)安全系統(tǒng)（ISS）公司于上周四宣布它已經(jīng)查找到了原因，一種掃描進(jìn) 入公共網(wǎng)絡(luò)路徑的黑客工具是罪魁禍?zhǔn)?。但許多專(zhuān)業(yè)人士都認(rèn)為，ISS“搶跑”了，它從一開(kāi)始 就在跟蹤這一代碼。 　　Intrusec公司的技術(shù)總監(jiān)戴維說(shuō)，真兇可能還在消遙法外。他說(shuō)，這一工具的代碼可能引 起了數(shù)據(jù)流量的部分增加，安全人士截獲的數(shù)據(jù)和代碼生成的數(shù)據(jù)之間明顯的不同表明，黑客工 具并非元兇。他指出，我們有理由相信，另有其它東西生成了這些代碼。戴維表示，我認(rèn)為這不 是一次嚴(yán)重的攻擊行為，因?yàn)?它不具備自我復(fù)制能力，也沒(méi)有對(duì)任何人構(gòu)成重大危害。 　　自5月中旬以來(lái)，安全研究人員一直在跟蹤引起他們的網(wǎng)絡(luò)上數(shù)據(jù)流量不正常增加的原因， 這些數(shù)據(jù)頻繁地試圖與不存在的服務(wù)器或現(xiàn)有服務(wù)器不提供的服務(wù)聯(lián)接，唯一的線(xiàn)索是這些數(shù)據(jù) 的窗口大小都是55808字節(jié)?？晒芾戆踩?wù)提供商LURHQ公司的高級(jí)入侵分析家斯圖爾特表示， 沒(méi)有一種操作系統(tǒng)的數(shù)據(jù)窗口大小是55808字節(jié)。 　　斯圖爾特在5月下旬發(fā)現(xiàn)一臺(tái)計(jì)算機(jī)試圖與公司的網(wǎng)絡(luò)上不存在的計(jì)算機(jī)連接，這一數(shù)據(jù)庫(kù)流 量的唯一問(wèn)題是它的來(lái)源是一個(gè)不存在的互聯(lián)網(wǎng)地址，由于IANA已經(jīng)保留了包含有數(shù)字的地址， 因此互聯(lián)網(wǎng)路由器不會(huì)轉(zhuǎn)發(fā)這樣的數(shù)據(jù)。因此，盡管斯圖爾特多次發(fā)現(xiàn)了與其網(wǎng)絡(luò)上計(jì)算機(jī)連接 的嘗試，但卻不能對(duì)這些數(shù)據(jù)進(jìn)行跟蹤。他說(shuō)，這可能是已經(jīng)被破壞的掃描軟件或有人在企圖映 射地址空間。 　　有關(guān)這一代碼的推測(cè)很多。一些人起初認(rèn)為這些數(shù)據(jù)是由利用了IRC系統(tǒng)的蠕蟲(chóng)病毒發(fā)送的， 還有人認(rèn)為這是一種低水平的拒絕服務(wù)攻擊（DoS），Network Associates公司則認(rèn)為這一代 碼是一種名為W32/Randex.c的蠕蟲(chóng)病毒。 　　但是，目前最可能的推測(cè)是，Intrusec公司發(fā)現(xiàn)的是一種能夠向隨機(jī)地址發(fā)送信息的掃描和 攻擊工具。這一工具中有許多bug，導(dǎo)致它不能正常運(yùn)行。即使沒(méi)有缺陷，它興風(fēng)作浪的機(jī)會(huì)也不 大，盡管隱藏了發(fā)送者和接收者的地址，向互聯(lián)網(wǎng)上任何地址發(fā)送數(shù)據(jù)的技術(shù)即使在最好情況下的 效率也非常低。 　　斯圖爾特相信，被發(fā)現(xiàn)的代碼可能是未來(lái)黑客的研究行動(dòng)，但他不排除還有其它可能。他說(shuō)， 除非有人能夠提出與我所看見(jiàn)的相符合的分析，否則我寧愿繼續(xù)等下去。