基于扫描的蠕虫在局域网是如何传播的！

zc9706

我们知道基于扫描的蠕虫如红色代码I，红色代码II，nimda等都采取不同的地址扫描算法进行传播，可是其地址扫描都是通过计算外网的IP地址传播，如果一个大的局域网只有一个外部IP，而有几百个内网IP，那么蠕虫是如何传播的呢？望高手指点。十分感激。

芳芳郁金香

原帖由 zc9706 于 2006-8-31 22:14 发表\r\n我们知道基于扫描的蠕虫如红色代码I，红色代码II，nimda等都采取不同的地址扫描算法进行传播，可是其地址扫描都是通过计算外网的IP地址传播，如果一个大的局域网只有一个外部IP，而有几百个内网IP，那么蠕虫是如何 ...

\r\n我只知道蠕虫一般是利用操作系统漏洞传播，具体到每一种估计是对应当时最流行的漏洞来写的\r\n\r\n别的就不是很清楚了，等着达人来解释

zc9706

你说的是他利用的漏洞，我是说他检测扫描漏洞这个过程，蠕虫必须先扫描到该主机是否具有该漏洞，而这个扫描过程是依据外网IP进行的，所以我不知道他在局域网内是如何扫描漏洞主机的。

芳芳郁金香

原帖由 zc9706 于 2006-8-31 22:28 发表\r\n你说的是他利用的漏洞，我是说他检测扫描漏洞这个过程，蠕虫必须先扫描到该主机是否具有该漏洞，而这个扫描过程是依据外网IP进行的，所以我不知道他在局域网内是如何扫描漏洞主机的。

\r\n找个蠕虫看看，估计就能明白些，黑箱很难猜

zc9706

恩，我再找找。谢谢你！！

bwater

它很容易的获得本机在局域网中的ip，然后进行扩展就ok了

zc9706

原帖由 bwater 于 2006-9-1 09:21 发表\r\n它很容易的获得本机在局域网中的ip，然后进行扩展就ok了

\r\n\r\n\r\n能说的详细点么？不是很懂。能举个例子么？

山东大葱

我记得有些是利用开放端口进行传播的，一般的135、139、443、445！\r\n所以我一般都是把这些端口关了的！ipsec

芳芳郁金香

\r\n狮子蠕虫解析\r\n\r\n

\r\n\r\nhttp://linux.21ds.net/2001/04/29 ... 116fcdba9e23d4356a/\r\n\r\n我现在非常讨厌各种引用，经常引着引着原文的很多东西就给引丢了。\r\n\r\n原文反倒找不到了。\r\n\r\n这篇引用缺少感染过程图示，将就看吧。

zc9706

芳芳郁金香  怎么打不开啊。。。。不过还是非常感谢！！~~！！1（^_^）