台中县网路病毒防制系统经验与分享.pptVIP

台中縣網路病毒防制系統經驗與分享 台中縣教育網路中心 黃國順 一、序論 現今網管的困難 分散式拒絕服務攻擊(Distributed denial of service) DDoS難以阻擋的原因 攻擊來源數量大 使用偽裝IP技術 避免成為攻擊別人的「幫手」 DDoS在發動之初必須,散佈大量攻擊程式 現今的手法是藉由電腦病毒來散佈 主動積極的防制方式為： 1.定期更新修補作業系統或軟體的漏洞（如安裝urh）。 2.安裝防毒軟體並定散更新病毒碼。 3.安裝架設防火牆。 本篇報告的方法：藉由網管手段找出可能的網路病毒來源IP並加以封鎖隔離，以減少網路病毒散佈的範圍，降低其它電腦被感染的機率。 Multi Router Traffic Grapher (MRTG)圖表 MRTG無法提供更詳的資料 Netflow分析 台南市網的作法.tw/sammy/netflow/detect.htm 阻擋中毒的電腦 設定cisco router ACL(access control list)的方法 先設定要阻擋的 ip 的 access-list conf t access-list 10 deny ….. ….. access-list 10 permit any (最後一定要加這行, 否則會全擋) ^z 針對往區網的 interface 設定access-group例如 ： conf t int atm5/0/0.1000 ip access-group 10 in ip access-group 15 out ^z 以人工方式比對、設定ACL 、 通知連線單位網管人員、解除ACL整個過程繁瑣，對於擁有超過兩百三十個以上連線單位的台中縣教網來說，要做好網管真的很困難。 二、系統運作原理及架構 Netflow流量記錄 運作架構圖 四、Netflow 流量分析架設 交大.tw/netflow.html及 台南市網.tw/sammy/netflow/setup.htm 四、在資料庫中建立相關資料表 m_unit：單位基本資料 m_unit_ip：單位網路資料，用來判斷封包來源或目的IP所屬單位時使用 unit_service：單位伺服器資料，各單位登記其各類伺服器以減少誤判的發生 lock_type：鎖定類別。 lk_addr_in：內部鎖定IP lk_addr_out：外部鎖定IP 五、網路病毒偵測程式 flowscan_new.pl程式 1. 連結資料庫 2. 篩選累計 3. 排序擷取超過門檻值的IP 4. 新增至資料庫及發送E-mail 目前中縣教網已撰寫好的副程式為： likecodered scanport137 likenimda likemailvirus likeslapper likeddos_dp_80_2_96 likeddos_dp_445_2_96 likeddos_dp_1434_1_404 flowscan.pl 六、自動封鎖IP的機制 手動設定麻煩易出錯 如何自動設定ACL ? 利用Expect這套軟體：將手動設定時與router間的 interactive 以程式自動化 自動封鎖IP的步驟 執行control65acl.pl?由資料庫中查詢出需要封鎖的IP 執行expect expect_acl 設定crontab定時執行 flowscan_new.pl control65acl.pl expect expect_acl 七、解除封鎖IP的機制 網管人員在修復電腦或查明原因後可自行解除被封鎖的IP。.tw 八、討論 誤判的可能 門檻值的設定 偵測系統的限制 QA * * sif sip dif dip P sport dport packets size 497 16 0 6 3746 139 3 144 497 16 0 6 3747 139 3 144 497 16 0 6 3748 139 3 144 497 16 0 6 3749 139 3 144 497 16 0 6 3750 139 3 144 497 16 0 6 3751 139 3 144 497 16 0