Post on 01-Jan-2016
description
適用於電子商務環境之網蟲即時偵測及防禦系統
游啟勝 * 、陳奕明中央資管 電腦網路實驗室
國家資通安全會報 技術服務中心 *
2004.3.27 2004 電子商務與數位生活研討會 2
報告大綱 現下遭遇的問題 網蟲簡介 網蟲的擴散特性 本文提出的網蟲偵測方法 網蟲即時偵測及防禦系統部署方式 實作與測試 結論
2004.3.27 2004 電子商務與數位生活研討會 3
現下遭遇的問題 網蟲愈來愈盛行,出現間隔愈來愈短
CodeRed 、 CodeRed II 、 Nimda 、 Slammer 、 Blaster
網蟲影響電子商務運作 無法在第一時間阻止未知網蟲癱瘓外部及內部網路
攻擊加重主機負荷
2004.3.27 2004 電子商務與數位生活研討會 4
網蟲簡介 與電腦病毒的異同
同屬惡意程式的一種 網蟲會主動擴散,病毒則依賴使用者執行
網蟲實例 漏洞型網蟲: CodeRed e-mail 網蟲: NetSky (WORM_NETSKY.O)
2004.3.27 2004 電子商務與數位生活研討會 5
網蟲的擴散特性 (1/2)
短時間內攻擊眾多不同受害者 網蟲需要大量擴散
使用 IP Address 做為擴散目標選擇策略 大多數的正常連線使用 domain name 來連結
{dst_port, payload}
2004.3.27 2004 電子商務與數位生活研討會 6
網蟲的擴散特性 (2/2)
擴散連線的通訊協定欄位固定 目的通訊埠、 封包資料欄位( payload ) 來源通訊埠、 Sequence Number 、 Acknowledge
Number 、 Code Bits 擴散攻擊封包不會太小
網蟲的感染及擴散步驟複雜
2004.3.27 2004 電子商務與數位生活研討會 7
本文的網蟲偵測方法 (1/2)
根據流量異常偵測方法加以改良而來 過去:
將網路流量依通訊協定種類( TCP 或 UDP )與目的通訊埠加以區分,將相同通訊協定及相同目的通訊埠的流量大小加總 [TWCERT: 即時偵測防治Internet Worm]
2004.3.27 2004 電子商務與數位生活研討會 8
本文的網蟲偵測方法 (2/2)
現在 假設一部正常的主機「不會在短時間內發送大量通
訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機」
配合 DNS 查詢記錄及封包大小增加偵測的正確性
2004.3.27 2004 電子商務與數位生活研討會 9
實作與測試 (1/3)
實作於 Linux 主機,結合 iptables 以transparent 方式部署於兩個網路之間
對封包資料欄位作 md5 雜湊運算
測試 Slammer 、 Blaster
攻擊主機
Linux
Win2000 + SQL Server 2000
2004.3.27 2004 電子商務與數位生活研討會 10
實作與測試 (2/3)
2004.3.27 2004 電子商務與數位生活研討會 11
實作與測試 (3/3)
2004.3.27 2004 電子商務與數位生活研討會 12
網蟲癱瘓內外網路示意圖
Core Switch
End Switch
Router
End Switch
網蟲感染主機
2004.3.27 2004 電子商務與數位生活研討會 13
部署方式 (1/2)
介於路由器與交換器間
Core Switch
End Switch
Router
網蟲感染主機
Firewall
End Switch
2004.3.27 2004 電子商務與數位生活研討會 14
部署方式 (2/2)
部署於各交接器之間
End Switch
Router Core Switch
網蟲感染主機
End Switch
部署極致:安裝各主機上:個人式防火牆、網路卡
2004.3.27 2004 電子商務與數位生活研討會 15
結論 簡潔的偵測方法,可有效偵測目前的已知網蟲,並能具有相同手法的未知網蟲偵測能力
結合主動阻擋的回應動作,可有效阻止網蟲對外擴散
2004.3.27 2004 電子商務與數位生活研討會 16
Q&A
謝謝! 敬請指教!