《国家资通安全会报技术服务中心报告大纲》由会员分享,可在线阅读,更多相关《国家资通安全会报技术服务中心报告大纲(17页珍藏版)》请在金锄头文库上搜索。
1、適用於電子商務環境之網蟲即時偵測及防禦系統 游啟勝*、陳奕明中央資管 電腦網路實驗室國家資通安全會報 技術服務中心*2004.3.271報告大綱l現下遭遇的問題l網蟲簡介l網蟲的擴散特性l本文提出的網蟲偵測方法l網蟲即時偵測及防禦系統部署方式l實作與測試l結論2004.3.272現下遭遇的問題l網蟲愈來愈盛行,出現間隔愈來愈短lCodeRed、CodeRed II、Nimda、Slammer、Blasterl網蟲影響電子商務運作l無法在第一時間阻止未知網蟲癱瘓外部及內部網路l攻擊加重主機負荷2004.3.273網蟲簡介l與電腦病毒的異同l同屬惡意程式的一種l網蟲會主動擴散,病毒則依賴使用者執行
2、l網蟲實例l漏洞型網蟲:CodeRedle-mail 網蟲:NetSky (WORM_NETSKY.O)2004.3.274網蟲的擴散特性 (1/2)l短時間內攻擊眾多不同受害者l網蟲需要大量擴散l使用 IP Address 做為擴散目標選擇策略l大多數的正常連線使用 domain name 來連結dst_port, payload2004.3.275網蟲的擴散特性(2/2)l擴散連線的通訊協定欄位固定 l目的通訊埠、 封包資料欄位(payload)l來源通訊埠、Sequence Number、Acknowledge Number、Code Bits l擴散攻擊封包不會太小 l網蟲的感染及擴散
3、步驟複雜2004.3.276本文的網蟲偵測方法(1/2)l根據流量異常偵測方法加以改良而來l過去:l將網路流量依通訊協定種類(TCP 或 UDP)與目的通訊埠加以區分,將相同通訊協定及相同目的通訊埠的流量大小加總 TWCERT: 即時偵測防治Internet Worm 2004.3.277本文的網蟲偵測方法(2/2)l現在l假設一部正常的主機不會在短時間內發送大量通訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機l配合 DNS 查詢記錄及封包大小增加偵測的正確性2004.3.278實作與測試 (1/3)l實作於 Linux 主機,結合 iptables 以transpare
4、nt 方式部署於兩個網路之間l對封包資料欄位作 md5 雜湊運算l測試lSlammer、Blaster攻擊主機LinuxWin2000 + SQL Server 20002004.3.279實作與測試 (2/3)2004.3.2710實作與測試(3/3)2004.3.2711網蟲癱瘓內外網路示意圖2004.3.2712部署方式 (1/2)l介於路由器與交換器間2004.3.2713部署方式(2/2)l部署於各交接器之間 l部署極致:l安裝各主機上:個人式防火牆、網路卡2004.3.2714結論l簡潔的偵測方法,可有效偵測目前的已知網蟲,並能具有相同手法的未知網蟲偵測能力l結合主動阻擋的回應動作,可有效阻止網蟲對外擴散2004.3.2715Q&A謝謝! 敬請指教!2004.3.2716个人观点供参考,欢迎讨论!