透过封包监聽分析侦测IP-MAC位址盗用行为的知识.pptVIP

大綱 前言 研究背景 系統架構 實驗結果 結論與未來發展 前言 網際網路已深入到生活中每個角落 網路資源並不是無限的，需要有效的管理 正確的辨認使用者的身份，才能作出正確的 資源分配、控管 在管理上大多會使用到MAC位址 研究背景1 MAC位址(Media Access Control): 在乙太網路上，是透過MAC位址來辨認設備，決 定封包由誰接收。 在出廠時已經有設定了，但隨著作業系統進步， 透過軟體來假造MAC位址變的很容易。 研究背景2 一般基礎的網路網理方式 以確認MAC位址為出發點，一旦MAC位址遭到了 冒用，便會對管理上造成問題 研究背景3 一般的解決方式，是透過Port Security，對第二層設備每個Port上的MAC位址進行綁定 使用者只要更改了MAC，就會無法通過第二層設備的過濾 管理的範圍越大，對管理者的負擔越大，也需考量到設備成本的問題。 研究背景4 系統架構1 實作一套系統，不透過Port Security來達到 辨識IP-MAC冒用。 使用元件: (1)Winpacp:全名為Windows packet capture ，主要是使用其抓取封包的功能 (2)MySQL:一個免費的資料庫系統，用來儲存封包裡所需留下的資料。 系統架構2 (3)使用者特徵:為一些在網路上未加密且與 使用者或其主機有關的資訊。 使用者代理(User-agent): 與使用者瀏覽器 相關的資訊 電腦名稱: 系統架構3 防毒軟體名稱、識別碼:防毒軟體公司用來驗證使 用者授權的授權碼。 即時通訊軟體帳號: 系統架構4 系統架構主要分為三個部份 (1):特徵值比較部份: 系統架構5 系統架構6 系統架構7 (2)使用者瀏覽紀錄:目的為紀錄使用者習慣拜訪的網路位址，當發生異常時，讓管理者多一個判斷的依據。 系統架構8 分為兩個資料庫 暫存、歷史資料庫 正常關機時，暫存資 料庫內的資料會存入 歷史資料庫。 有異常觸發則互相 比較，並將差異數存 入差異欄。 系統架構9 (3)結果顯示欄位: 系統架構10 系統架構11 異常資料表，目的為紀綠詳細的異常發生時間、 內容等。 實驗結果1 實驗環境 實驗結果2 實驗結果3 特徵值比較程式發 現有三個特徵發生 變化 觸發差異欄、重覆 欄的計數 從重覆欄可以發現 變化的特徵值有出 現在其它IP-MAC配 對上 實驗結果4 使用SQL查詢指令搭配異常資料表，便能發現是由 163.26.222.150 進行冒用行為 實驗結果5 升級為IE8 特徵值比較 程式只發現 一個異常。 計數欄為1 實驗結果6 結論與未來發展 能夠在使用者不知情的情況下判斷出IP-MAC 冒用的情形 繼續增加可供參考判斷的特徵值，也可與校 務系統、或軟體廠商進行合作，提高判斷的 準確度。 提升系統的自動化程度，自動列出冒用者， 進行斷網等。 謝謝指教 * 透過封包監聽分析偵測IP-MAC位址盜用行為 作者: 蘇建郡、范聖緯 主講人:范聖緯 管理不易的情形 Kaspersky McAfee 現有特徵: 當系統開始運作，初次截取到的特徵 最後出現時間: 現有特徵最後的出現時間，格式 為年、月、日、時。 暫存特徵:當系統開始後，在同樣的IP-MAC配對 上所出現與現有資料特徵的紀錄相異的特徵 值。為了避免是正常的更新(如:IE6升為IE7)， 先行紀錄下來。 最初出現時間:暫存特徵值的最初出現時間，格 式與最後出現時間相同。 對每個特徵值皆會進 行此流程 安全時間n應隨著監 控環境的進行調整 有異常狀況就會對計 數欄進行更新 Dest:使用者所瀏覽的網頁IP位址。 Times:此IP位址發生GET的次數。 差異欄:顯示目前此IP-MAC配對的瀏覽紀 錄與歷史資料庫中的差異數 計數欄:特徵值發生異常的次數，次數越 多，就越有可能是IP-MAC遭到了冒用。 重覆欄:暫存特徵值中，出現在其他IP-MAC配 對中現有資料的次數 IP:發生特徵值變化的IP位址。 Data:特徵值變化的內容。 Time:詳細的發生時間，格式為月、日、時、分 冒用 異常資料表 24小時後沒有其 他的異常發生 將現有資料欄位 更新 計數欄歸零，暫 存資料欄清空