Luchando contra los gusanos de la red

ode Red fue un gusano de escaneo aleatorio, y causó pérdidas de productividad por valor de 2.600 millones de dólares en negocios de todo el mundo en el año 2001. Peor aún, el gusano bloqueó el tráfico de red a instalaciones físicas importantes tales como centros de recepción de llamadas de emergencias, y estaciones de metro. Code Red infectó más de 350.000 máquinas en menos de 14 horas.

Los investigadores deseaban encontrar una manera de detectar las infecciones en sus estadios tempranos, antes de que llegaran tan lejos. Encontraron que la clave es que el software monitorice el número de escaneos que envían las máquinas en una red. Cuando una máquina comienza a enviar demasiados escaneos, una señal de que ha sido infectada, los administradores deben desconectarla de la red e inspeccionarla en busca de virus.

Un escaneo es simplemente una búsqueda de direcciones de internet, lo que hacemos cada vez que utilizamos motores de búsqueda tales como Google. La diferencia es que un virus envía muchos escaneos hacia muchos destinos diferentes en un periodo de tiempo muy corto, a medida que busca máquinas para infectar.

"La dificultad fue descifrar qué cantidad de escaneos eran demasiados", explica Shroff. "¿Cuántos pueden ser permitidos antes de que se disemine de forma descontrolada una infección? Usted desea asegurar que el número es pequeño para contener la infección. Pero si lo hace muy pequeño, interferirá con el tráfico normal de la red".

El número que ha sido seleccionado es diez mil, debido a que está bien por encima del número de escaneos que una red de ordenadores típica enviaría en un mes.

Una máquina infectada alcanzará este valor rápidamente, mientras que una máquina común no lo hará. Un gusano debe intervenir con prontitud sobre muchas direcciones IP para sobrevivir.

En las simulaciones realizadas contra el gusano Code Red, los investigadores fueron capaces de frenar con gran eficacia la infección.