利用Netflow即时侦测蠕虫.PPT

利用Netflow即時偵測蠕蟲攻擊 報告人：王明輝 報告日期：民國95年11月2日 報告大綱 緒論 Netflow 技術簡介 研究架構與方法 實驗結果與分析 結論與未來研究方向 研究動機 蠕蟲攻擊日益增加 蠕蟲攻擊會影響網路效能 第一隻引起網路癱瘓的蠕蟲-- CodeRed IPS阻擋蠕蟲需要耗費大量資源 研究目的 利用 Netflow 技術，發展一個快速即時的蠕蟲偵測系統 只使用少量的系統資源 Netflow 技術探討 一個flow包含七個主要欄位： 來源IP位址 目的IP位址 來源埠號 目的埠號 協定類型 ToS Byte值 封包進入 Router 的介面編號 協定類型 協定類型 ToS (Type of Service) ToS 介面編號 Netflow 的運作流程 Netflow 封包格式 Netflow 封包 Header Netflow 記錄欄位 Netflow 記錄欄位 (Continued) Netflow 記錄欄位 (Continued) Netflow 的取樣機制 Netflow 的設定 interface Serial0 ? 進入 Serial 0 的介面設定 ip route-cache flow ? 開啟 Serial 0 的flow cache 功能 interface FastEthernet0 ? 進入 FastEthernet0的介面設定 ip route-cache flow ? 開啟 FastEthernet0的flow cache功能 ip flow-export version 5 ? 設定輸出的封包格式為version 5 ip flow-export destination 163.18.17.10 9991 ? 指定收集器的IP和埠號 Netflow 的運作模式 Netflow 的運作模式 (Continued) Netflow 的相關應用 網路應用的分析 IP計量與計費 網路規劃 流量工程 網路安全分析 蠕蟲病毒的基本結構 傳播模組：負責蠕蟲的傳播。 隱藏模組：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。 目的功能模組：實現對電腦的控制、監視或破壞等功能。 一般蠕蟲程式的傳播步驟 (一) 掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包，並成功收到回應後，就得到一個可傳播的對象。 (二) 攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象，取得該主機的權限。 (三) 複製：復製模組通過原主機和新主機的連線，將蠕蟲程式複製到新主機並啟動。 蠕蟲對網路的影響 網路設備當機 (High CPU Utilization) 路由不穩定 NAT Table Full Route Cache Full 異常流量分析 Threshold Tcp Flag 系統架構 系統運作流程 攻擊行為 ICMP掃描 TCP SYN掃描 UDP Flood SYN Flood ICMP 掃描偵測 TCP SYN 掃描偵測 TCP SYN 掃描偵測改良 UDP Flood 掃描偵測 UDP Flood 掃描偵測 (Cont.) SYN Flood 掃描 實驗結果 已知蠕蟲偵測 加權計分方式 UDP 攻擊偵測 DOS 攻擊偵測 結論及未來研究工作 結論 本系統可確實有效偵測蠕蟲攻擊 P2P軟體常造成誤判 Netflow 先天限制造成時效差異 攻擊者 正常伺服器 來源 IP = 亂數 TCP SYN 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 TCP SYN - ACK 封包 * * L2TP 115 OSPF 89 GRE 47 UDP 17 IGRP 9 TCP 6 IGMP 2 ICMP 1 Protocol Value Reserved for Future Use 6-7 0 = Normal Reliability,1 = High Reliability 5 0 = Normal Throughput,1 = High Throughput 4 0 = Normal Delay,1 = Low Delay 3 Precedence 0-2 用途 位元 Flow的起始時間 24-27 first Flow傳送的Byte數 20-23 dOctets Flow傳送的封包數 16-19 dPkts 出去Interface的SNMP編號 14-15 output 進入Interface的SNMP編號 12-13 input 下一站的路由