关于书写规则时,”木马蠕虫类“方向的释义

机窝安全[jiwo.org]  2017-07-05  ecawen  

一般攻击类,只分两种方向,如下:

攻击者->被攻击者

被攻击者->攻击者


正常应用类,分两种方向,如下:

源地址->目的地址

目的地址->源地址


一般以攻击特征,出现在哪个方向的数据流中为准。但木马蠕虫类,方向分十种方向,目的想尽可能涵盖所有木马、蠕虫、僵尸程序的特点,十种方向如下图:

这个方向书写时,里要凭经验,除了要考虑包特征在哪个方向外,还要考虑可能是发生在哪个实际的传播/感染/控制方向。以图示例说明。见下图:

1. 如果是一般的木马,只有控制端和被控端,方向为 “司令->受控" 或 "受控->司令",这种写法应该比较多。

2. 如果是类似P2P有主控群的木马,则需要有4个方向,司令->主控, 主控->受控,以及反方向。主控和受控都有可能感染了木马。

3. 羔羊原则上,不受主控或受控的控制,常常没有感染木马,羔羊原则上,有可能是某个特定的目标,也有可能是某个出名的网站。但是,司令有可能拿着类似DDoS软件直接向羔羊打瘫痪流量或向主控和受控下达命令,打击羔羊,这种以拒绝服务DDoS最为常见。

原则上,应该还有 “主控->羔羊” 和 "羔羊->主控" 方向,但这种方向比较少见,真若出现,请视情况归于 “受控<>羔羊” 或 “司令<>羔羊” 方向类里。