Curelan公司產品 網路日誌事件監控設備(Flowviewer)

Presentation on theme: "Curelan公司產品 網路日誌事件監控設備(Flowviewer)"— Presentation transcript:

1 Curelan公司產品 網路日誌事件監控設備(Flowviewer)
2017/3/3 Curelan公司產品 網路日誌事件監控設備(Flowviewer) CURELAN TECHNOLOGY 治科資訊(股)有限公司

2 Agenda 1.功能分類 網路安全的威脅 IPS設備與Flowviewer設備功能差異 Flowviewer設備如何輔助IDP設備的盲點
2017/3/3 Agenda 1.功能分類 網路安全的威脅 IPS設備與Flowviewer設備功能差異 Flowviewer設備如何輔助IDP設備的盲點 2.實際案例 3. Flowviewer監控服務報表功能介紹 4.成功案例

3 Flowviewer設備主要功能:設備功能分類
2017/3/3 Flowviewer設備主要功能:設備功能分類 Netflow或sFlow流量報表功能(包括P2P報表)及蠕蟲偵測和P2P過濾功能. 自動ACL阻斷L 3 Switch之感染蠕蟲的IP或在本設備阻斷感染蠕蟲的IP. 流量配額(Quota)功能及IP即時流量查詢. 偵測UDP Flood Attack事件.(FM-600A;FM-800A ONLY) 偵測SSH及RDP密碼入侵偵測功能.(FM-600A;FM-800A ONLY) 偵測DOS Relay Attack事件.(FM-600A;FM-800A ONLY) 國高提供Botnet”黑名單”交叉比對72小時之IP.(FM-800A ONLY)

4 駭 客 入 侵 之 途 徑 1.SSH入侵。 2.RDP入侵。 3.微軟作業系統漏洞及PHP,C++資料庫漏洞，此種方式之途徑連原廠都不知道他們程式漏洞在那兒，這是高段駭客手法所以全世界對此途徑是無解，只能等原廠發現自動更新漏洞。PS:資料來自網路新聞；這個漏洞可能讓駭客利用注入CSS碼的方式，竊取受害網站的機密資料，Google安全工程師還指出，有證據可證明微軟在2008年時就知道這個漏洞。而目前，各大瀏覽器皆已修補此漏洞。 Flowviewer FM-800A有提供SSH及RDP入侵偵測及自動阻斷功能

5 防阻駭客入侵SSH及RDP之途徑後補救漏洞方式
如果駭客不是從這二種方式入侵，而產生攻擊事件是否有補救方式？在此我提出目前所知道的駭客攻擊手法：Flowviewer FM-800A有提供此二種攻擊偵測及自動阻斷功能 1.UDP Flood Attacks：產生大量偽造UDP封包去惡意攻擊想要攻擊的IP，讓此IP達到癱瘓不能正常運作，此IP可以是Http File Server 、Web Server、DNS Server等。 2.DOS Relay Attacks：產生大量偽造來源的TCP封包進行攻擊想要攻擊的IP，並假借(跳板)對方IP來達到攻擊手法，此IP可以是Http File Server 、Web Server、DNS Server等。

6 2017/3/3 網路安全的威脅 針對IPS(防入侵偵測)設備的盲點來輔助蠕蟲偵測 ，尤其是針對未知型(即當時還沒有Patten解毒程式)，例；2006年至2007年1月發生Spyware蠕蟲癱瘓內部網路事件。

7 2017/3/3 網路安全的威脅-1 病毒(Virus) ：隨著正常封包(Packet)入侵PC，破壞個人電腦硬碟資料或寄存記憶體使PC效能變慢等等。此程式的特徵之破壞性只限於個人電腦。 駭客(Hacker ) ：指對於任何電腦作業系統的奧秘都有強烈興趣的人。“駭客”大都是程式師，他們具有作業系統和編程語言方面的高級知識，知道系統中的漏洞及其原因所在 ，來竊取他們所要的檔案。此程式的特徵是隨著正常封包(Packet)來竊取檔案。例，Malware 蠕蟲(Worm) ：隨著正常封包(Packet)入侵內部網路，並產生大量Sessions數來癱瘓內部網路，它跟p2p不同處，蠕蟲會攻擊特定埠，例；icmp、139、445等等，蠕蟲還會感染其他內部正常IP造成大量Sessions數來癱瘓內部網路

8 2017/3/3 網路安全的威脅-2 蠕蟲(Worm)本身的程度碼是寄住在PC上，當PC開機後蠕蟲就會流竄到內部網路來產品大量Sessions數來癱瘓內部網路。 此時使用者就會提出疑問？如果蠕蟲是寄住在PC上，為什麼賽門鐵客的防毒無法解決蠕蟲？ 蠕蟲的特徵值跟病毒不一樣，簡單說蠕蟲的特徵值就是產生大量Sessions數，但是蠕蟲的變種很快產生防毒軟體更新不夠快或有些蠕蟲會將防毒軟體關閉，所以賽門鐵客的防毒軟體無法解決蠕蟲之原因在此。 如果是採用網路行為分析(NBA)蠕蟲，則不需要有特徵值，也不怕蠕蟲會關閉防毒軟體，而偵測不到蠕蟲。

9 IPS(防入侵偵測)及spyware(防毒軟體)設備功能與Flowviewer設備功能不同
2017/3/3 IPS(防入侵偵測)及spyware(防毒軟體)設備功能與Flowviewer設備功能不同 Type Flowviewer IPS spyware 建置方式 In-line / Listen In-line 每一台電腦一套防毒軟體 主要防護技術 NBAD(網路行為異常偵測) 特徵值(Patten)防護 網路內部發現Worm 攻擊時 採用網路行為異常偵測技術，發現蠕蟲時可阻斷， L3 Core Switch 上面所產生大量異常Sessions數之內部來源問題IP(ACL指令) 只能針對外部IP過濾蠕蟲，無法偵測內部所產生的蠕蟲 可採用特徵值(Patten)過濾蠕蟲，但是特徵值(Patten)更新不夠快或遇到會關閉防毒軟體的蠕蟲，則防毒軟體視同無效 LAN LAN or WANLAN那些IP/Service Port 流量異常 來源/目的皆可；即內對內、內對外之Netflow或sFlow流量報表 WANLAN；即內對外流量報表；無LAN LAN流量報表 X 任意時段”查詢”IP/Port 流量排行榜 來源/目的上、下載流量皆可 P2P 大量資料下載 9種型態共11項軟體 以特徵值(Patten)過濾，遇到P2P軟體改版則更新特徵值(Patten)需要8個月以上 每小時流量報表執行速度 6秒內(30Mbps ~ 3Gbps) 20分鐘以上(30Mbps)

10 2017/3/3 輔助IPS設備的盲點 Flowviewer設備如何輔助IPS設備的盲點

11 針對Flowviewer設備功能來輔助IPS(防入侵偵測)設備的盲點 不完整的兩層安全防護模式 ( + )
2017/3/3 針對Flowviewer設備功能來輔助IPS(防入侵偵測)設備的盲點 不完整的兩層安全防護模式 ( ) 1 3 中毒了 IPS 設備 Inline mode Campus Network Internet DMZ Core Switch Mail Server DNS/Web Server End stations Workgroup Switches 3 2 1 Anti-Virus S/W End to End S/W ???? NBAD功能 IPS/IDS/UTM

12 三層完整安全防護模式 ( + + ) Campus Network 1 2 3 Internet 3 2 1 蠕蟲監測引擎
2017/3/3 三層完整安全防護模式 ( ) 1 2 3 蠕蟲監測引擎 Flowviewer 中毒了 SPAN mode Inline mode Campus Network Internet DMZ Core Switch Mail Server DNS/Web Server End stations Workgroup Switches 3 2 1 萬一worm 從外部進入且IPS與client 端沒發現時, 它就直接滲透到client 端 中毒的機器萬一掃毒軟體沒有發現,worm開始攻擊其他設備(如Port Scan）, 可能透過Core Switch 傳染給其他電腦 Flowviewer 收集Netflow/sFlow 資料,開始識别攻擊和攻擊的發起源IP 立即透過Core Switch阻斷有問題IP, 降低感染到其他電腦

13 針對蠕蟲(Worm),Flowviewer設備與IPS(防入侵偵測)之差異性說明
2017/3/3 針對蠕蟲(Worm),Flowviewer設備與IPS(防入侵偵測)之差異性說明 IPS(防入侵偵測)設備以Pattern方式偵測到蠕蟲 ，然後再阻斷蠕蟲進入內部網路 此構想很好，但是此構想忽略了，如果蠕蟲不是由外部進入到內部網路 ，而是由內部網路 感染內部網路 例：經由內部無線網路(Wireless)感染，經由攜帶式硬碟感染，經由筆記型電腦，此情況發生機率很高，這就是IPS(防入侵偵測)設備的盲點

14 如圖，Flowviewer設備輔助IPS(防入侵偵測)的盲點
2017/3/3 如圖，Flowviewer設備輔助IPS(防入侵偵測)的盲點

15 IPS(防入侵偵測)設備的盲點 只能針對外部網路欲進入內部的蠕蟲阻斷，對於內部網路感染蠕蟲毫無辦法
2017/3/3 IPS(防入侵偵測)設備的盲點 只能針對外部網路欲進入內部的蠕蟲阻斷，對於內部網路感染蠕蟲毫無辦法 此設備是運用Pattern(特徵值)方式偵測蠕蟲，跟趨勢、賽門鐵克等公司可研發破解蠕蟲的程式到電腦端(使用端)，是不一樣 Flowviewer設備雖然也沒有蠕蟲的解毒程式，但是Flowviewer設備採用NBAD(Network Behavior Anomaly Detection)技術跟美國公司Arbor Networks、Mazu Networks、Lancope等同步，就是在解決內部感染蠕蟲的問題

16 可針對內部網路個別單位做流量分析 可定義某使用單位IP之Group，並可顯示各個單位的網路使用網路流量，以圓盤圖呈現。
也就是針對使用單位內部網路，做個別單位的流量分析

17 動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ，此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分，這個時間範圍區間跟那些IP有連絡就是目的位置IP ，藍色的IP表示經過80埠，綠色的IP表示非經過80埠。

18 Flowviewer設備 P2P過濾功能共10種型態
2017/3/3 Flowviewer設備 P2P過濾功能共10種型態 以P2P Patten (特徵值)方式過濾P2P BitTorrent；AppleJuice；WinMX；SoulSeek；Ares、AresLite；Gnutella、Foxy；eDonkey、eMule、Kademlia；KaZaA、FastTrack；Direct Connect；Xunlei、Thunder；PPStream、QQLive、feidian、POCO、QVOD；SIP(VoIP)；MSN；Yahoo Messenger 等。等型態 (其中以獵狐及迅雷危害最大) P2P管制白名單功能：有些學校老師因研究用途所以需要使用P2P下載軟體，所有將這些IP設定在此功能就可不限制P2P下載。

19 2017/3/3 實際測試完成阻擋Foxy下載功能-1 在Flowviewer設備上，將P2P flow Control啟動（Enable）

20 實際測試完成阻擋Foxy下載功能-2 此時開啟Foxy軟體，連線失敗，因此Foxy Icon呈現藍色（未連線）狀態。
2017/3/3 實際測試完成阻擋Foxy下載功能-2 此時開啟Foxy軟體，連線失敗，因此Foxy Icon呈現藍色（未連線）狀態。 開始搜尋下載點也一樣找不到

21 2017/3/3 移除”阻擋Foxy”功能 -1 在Flowviewer設備上，將P2P flow Control不啟動

22 移除”阻擋Foxy”功能 -2 此時開啟Foxy軟體，連線成功，因此Foxy Icon呈現綠色（連線）狀態。
2017/3/3 移除”阻擋Foxy”功能 -2 此時開啟Foxy軟體，連線成功，因此Foxy Icon呈現綠色（連線）狀態。 開始搜尋下載點，則找到47個檔案。

23 實際測試完成阻擋Xunlei ,Thunder下載功能-1
在Flowviewer設備上，將P2P flow Control啟動（Enable）

24 實際測試完成阻擋Xunlei ,Thunder下載功能-2
將P2P flow Control啟動（Enable）後，開啟迅雷軟體，連線失敗，因此無法連線下載影片（速度、資源及剩餘時間都是空的狀態）。

25 移除”阻擋Xunlei ,Thunder”功能 -1
在Flowviewer設備上，將P2P flow Control不啟動

26 移除”阻擋Xunlei ,Thunder”功能 -2
此時啟動迅雷軟體下載，連線成功，並已經開始下載影片（速度37.25KB/s、資源13/125(6)個、剩餘時間01:25:48）

27 實際測試完成阻擋PPStream、QQLive、POCO、QVOD下載功能-1
在Flowviewer設備上，將P2P flow Control不啟動。

28 實際測試完成阻擋PPStream、QQLive、POCO、QVOD下載功能-2
此時啟動PPStream軟體，連線成功，並已經開始下載撥放影片（下行速度710Kbps）。

29 阻擋”PPStream、QQLive、POCO、QVOD”功能 -1
在Flowviewer設備上，將P2P flow Control啟動（Enable）。

30 阻擋”PPStream、QQLive、POCO、QVOD”功能 -2
將P2P flow Control啟動（Enable）後，開啟PPStream軟體，連線速度逐漸下降，直到下行速度為0Kbps，因此無法繼續連線下載影片。

31 P2P軟體使用報表 P2P軟體使用報表：指設備將每個IP所使用P2P軟體阻斷，並將整個使用P2P軟體種類記錄成報表。
P2P軟體使用報表具備之設備有FM-200A 、FM-600A 、FM-800A

32 P2P白名單 P2P白名單就是不受本設備阻斷P2P下載，也就是說可以自由下載P2P。

33 2017/3/3 偵測蠕蟲後有二種方式阻斷方式 在本設備阻斷感染蠕蟲之IP。 自動ACL阻斷L 3 Switch之感染蠕蟲的IP

34 偵測蠕蟲後在本設備阻斷 本設備自動偵測蠕蟲後，在本設備阻斷內部感染蠕蟲之IP，不讓此感染蠕蟲之IP出Internet，本設備每小時偵測一次蠕蟲。

35 偵測蠕蟲(Worm)後下ACL指令到CoreSwitch阻斷方式
2017/3/3 偵測蠕蟲(Worm)後下ACL指令到CoreSwitch阻斷方式 Flowviewer設備遇到蠕蟲(Worm)阻斷方式，在L3 CoreSwitch下達ACL指令阻斷感染蠕蟲之IP，運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme、H3C等廠牌)的(Access Control List Entries)ACLs指令將感染蠕蟲的IP斷線處理，所以ACLs指令阻斷方式只能將染蠕蟲的IP鎖定在L3 Core Switch ，FM-200A、FM-600A、FM-800A都具備此功能。 感染蠕蟲之IP會跑到L3 Core Switch此時本設備Flowviewer就會自動偵測出感染蠕蟲之IP在L3 Core Switch上,系統就會自動啟動L3 Core Switch之ACL指令將感染蠕蟲之IP阻斷，使其不再擴散感染其他IP 。

36 IP感染蠕蟲時會出現強制顯示畫面 經由 80埠導入畫面
2017/3/3 IP感染蠕蟲時會出現強制顯示畫面 經由 80埠導入畫面 設備功能的”訊息維護”可讓管理者自行更改文字內容

37 2017/3/3 如圖：Inline Mode(全功能)

38 流量配額(Quota)功能(只在Inline Mode才有此功能)
2017/3/3 流量配額(Quota)功能(只在Inline Mode才有此功能) 流量配額(Quota)功能及IP即時流量查詢

39 2017/3/3 IP流量配額管控功能(Quota) 流量配額管控功能：可設定使用單位所有IP的流量配額，當流量到達設定值時，可同時執行那些IP是限制頻寬,那些IP是斷線.例;學校行政人員之IP可設定為限制頻寬；學生的IP可設定為斷線。

40 2017/3/3 流量配額(Quota)到達強制畫面

41 IP流量配額管控功能(Quota)-排程功能(Schedule)
Schedule :可預先設定一星期7天範圍內,每一天24小時的Schedule,也就是可設定每一天24小時內那些時段是要執行Traffic Quota Function .

42 2017/3/3 即時流量

43 2017/3/3 強制斷線功能 當管理者發現某個IP，不正當使用網路資源、惡意亂搞網路(盜用別人IP) 等，有提供手動強制斷線功能。

44 偵測UDP Flood Attack事件 偵測UDP Flood Attack並以mail方式通知管理者及下ACL方式到CoreSwitch來阻斷。 根據時間及封包數與傳輸量相互比較太異常。

45 成功偵測透過SSH密碼入侵真實事件 2010年9月13日 入侵台中某大學並成功入侵某一Server主機之IP，並在9月15對羅馬尼亞之ISP公司的某一IP發動UDP Flood Attack的真實案件。

46 疑似SSH密碼猜測名單-1 此功能只有FM-600A 、FM-800A才具備此功能
駭客入侵：疑似SSH密碼猜測名單，以破解SSH密碼方式植入”Botnet”病毒碼。文件中IP是來自中國網通CHINA169骨幹網CNCGROUP China169骨幹網。Zoom In ，設備會自動導入 Who is功能，如Geotool圖

47 疑似SSH密碼猜測名單-2 此功能所採用流量數據一定要Netflow或InLine Mode上的流量數據，sFlow的流量數據取樣不準確
Zoom In 之連線數，所呈現56筆連線數之傳輸數據。

48 RDP Attacks 功能-1 在2012年6月4日RDP Attack功能偵測到駭客假借 (來源IP)入侵140.XXX.101.4(目的IP)想要植入bot程式.(FM-30A,FM-200A無此功能,FM-600A有偵測功能但是沒有阻斷功能,FM-800A有偵測功能也有阻斷功能. 遠端桌面通訊協定 (RDP) 用於終端機伺服器和終端機伺服器用戶端之間的通訊， RDP 是封裝並且加密 TCP 內。

49 RDP Attacks-2 追蹤駭客假借 (來源IP)入侵140.XXX.101.4(目的IP)想要植入bot程式. (來源IP)是來自中國. Flowviewer全系列可自動導入Geotool及who is功能.

50 偵測疑似DOS跳板攻擊事件 可偵測疑似DOS跳板攻擊事件並以mail方式通知管理者，也可以在本設備下自動阻斷指令來自動阻斷此IP。
140.XX.XX.174.被當成DOS Relay來攻擊 ，其攻擊連線數高達53,706,960個、流量為 GB 。 上述之攻擊數字都會造成使用單位內部網路效能急劇下降，甚至會導致整個內部網路癱瘓，所以被當成DOS Relay 的IP已不是自掃門前雪的問題。

51 公 開 報 表-1 提供超連結功能到使用單位公用網站
公 開 報 表-1 提供超連結功能到使用單位公用網站 斷線記錄：指每個IP預設流量配額到達後斷線列表。 限速紀錄：指每個IP預設流量配額到達後限速列表。 蠕蟲記錄：指每個IP感染蠕蟲後之列表。 流量圖形：可將全單位的MRTG使用量，以超連結方 式到公用網站。 流量排名：可將全單位所有使用流量之IP ，以超連結方 式到公用網站，預設是前100名也可下拉式選擇全部IP之使用流量。 P2P紀錄：指設備將每個IP所使用P2P軟體阻斷，並將整個使用P2P軟體種類記錄成報表。

52 公 開 報 表 - 2 提供超連結功能到使用單位公用網站
公 開 報 表 - 2 提供超連結功能到使用單位公用網站 P2P斷線紀錄：阻斷後仍持續使用P2P軟體而被視同流量到達斷線的IP列表。 RDP斷線紀錄：指每個IP遭受RDP攻擊後斷線之列表。 DOS斷線紀錄：指每個IP遭受DOS攻擊後斷線之列表。 超量紀錄：指每個IP預設流量、連線數到達後斷線列表。

53 結論 Flowviewer設備不是用來取代IPS(防入侵偵測)設備，而是用來輔助IPS(防入侵偵測)設備的盲點。
2017/3/3 結論 Flowviewer設備不是用來取代IPS(防入侵偵測)設備，而是用來輔助IPS(防入侵偵測)設備的盲點。 例；a﹒偵測經由內部網路感染蠕蟲 b﹒接收Netflow或sFlow資料以供查詢報表 c﹒在第三層Core Switch自動下達ACLs指令將感染蠕蟲的IP斷線處理。 本設備還具備流量配額(Quota)功能及P2P過濾阻斷功能。 本設備還具備P2P報表功能可知道，那些使用者在使用P2P下載軟體。 FM-200A沒有疑似SSH及RDP密碼猜測名單功能。 FM-600A沒有疑似SSH及RDP密碼猜測名單功能自動阻擋功能，只有偵測功能。 FM-800A全部具備SSH、RDP、 UDP Flood Attack、 DOS Relay Attack所有功能之偵測及自動阻斷。

54 中信局Flowviewer設備FM-200A、FM-600A、FM-800A之標準內建功能及選購擴充功能
PS：選購各型號之流量報表價格為；FM-200A為40萬、 FM-600A為70萬。 流量報表功能包括：流量總和記錄、流入的目的、流入的單位、流出的來源、流出的單位、內部對傳、進出流量合併報表、偽造流量、有蠕蟲的本地IP(蠕蟲偵測及Mail功能)、P2P報表、主機查詢、動態查詢、當日流量圖、長期流量圖、公開報表。 即時流量是屬於流量配額(Quota)功能。 斷線記錄及限速記錄是屬於流量配額(Quota)功能。 公開報表包括：蠕蟲記錄、流量圖形、流量排名、P2P記錄、P2P斷線紀錄。 Flowviewer Type FM-200A FM-600A FM-800A P2P阻擋功能 有 流量配額(Quota)功能 流量報表功能(包括P2P報表功能) 選購 蠕蟲偵測及Mail功能和阻斷ACL功能 疑似RDP攻擊功能 無 有(有偵測功能;無自動阻斷功能) 有(有偵測功能;有自動阻斷功能) 疑似SSH密碼猜測功能 UDP Flood 攻擊偵測功能 DOS跳板攻擊偵測功能 超量處理功能

55 2017/3/3 成 功 案 例

56 成功案例 類型 客戶 學校 中興大學、義守大學、文化大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校
2017/3/3 成功案例 類型 客戶 學校 中興大學、義守大學、文化大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校 領東科技大學、中洲科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區，政治作戰，中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院 政府單位 國家高速網路中心(5台)、高雄捷運公司、國立台中美術館、苗栗警局 高雄市政府資訊中心(針對GSN出口監控) 台東縣政府資訊中心(針對GSN出口監控) 嘉義市政府資訊中心(針對GSN出口監控) 屏東縣政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MASKER(貨櫃公司) 、台糖實業量販部、台灣現代商船

57 2017/3/3 中信局採購項次

58 2017/3/3 100年硬體式台灣銀行第三組項次 此項產品在中信局是不包括網路流量報表﹔option 流量報表之價格FM-200A：40萬、FM-600A：70萬、FM-800A：100萬(無限人版) 。 共同供應契約 (LP ) - Curelan(治科資訊)價格(含稅) 組別 項次 品 名 廠牌 型號 產地 契約單價 3 77 網路日誌事件監控之100萬資料流(IPv.6) Curelan FM-200A 台灣 $671,642 78 網路日誌事件監控之200萬資料流(IPv.6) FM-600A $771,855 79 網路日誌事件監控之800萬資料流(IPv.6) FM-800A $2,558,635

59 效益 網路流量動態查詢功能，可追查犯罪記錄 設備故障不會影響對外網路連線 在地研發，符合本地需求 功能不斷更新
Flowviewer設備直接在Inline Mode截取Flow資料，並具備動態特定IP查詢功能可追查此IP的流向。 設備故障不會影響對外網路連線 使用透通式架構介接線路，設備故障時會直接bypass，避免設備異常時，造成對外網路不通，因為Flowviewer設備具備軟體及硬體Auto By-Pass功能。 在地研發，符合本地需求 重視校園網路(或内部網路)變化，發展適合本土網路需求，例；P2P阻斷特徵碼到現在從未更新過依然有效阻擋P2P下載功能，從2006年到現在。 功能不斷更新 快速反應台灣之網路環境及現況，不斷更新功能，如P2P阻斷報表功能，而且採取加量不加價方式回饋使用單位。

60 2017/3/3 實 際 案 例

61 動 態 流 量 資 料 查 詢-1 即時查詢：可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ，此功能可以追蹤犯罪行為證據。 PS:來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分，這個時間範圍區間跟那些IP有連絡就是目的位置IP ，藍色的IP表示經過80埠，綠色的IP表示非經過80埠。

62 動 態 流 量 資 料 查 詢-2 具備目的位置 IP ： Zoom In功能導入who is追蹤目的位置IP來源。例；查詢目的位置 IP 會顯示如下之結果。

63 動 態 流 量 資 料 查 詢-3 具備Session數Zoom In功能：可讓網路管理者更了解每個IP之Session數的來源埠、目的位置、目的埠、時間及傳輸封包量大小。 Zoom In 這個IP之結果。

64 2017/3/3 全台灣最大流量 台 灣 大 學 之 MRTG 流量 全世界流量報表管控設備，唯一在台大校園網路不當機設備

65 屏東科技大學Inline Mode之MRTG流量
2017/3/3 屏東科技大學Inline Mode之MRTG流量 SX 2 Port界面

66 義守大學MRTG流量圖

67 中興大學Inline Mode之MRTG流量
2017/3/3 中興大學Inline Mode之MRTG流量

68 嘉義有線電視第四台世新公司ISP在Listen Mode之MRTG流量
2017/3/3 嘉義有線電視第四台世新公司ISP在Listen Mode之MRTG流量

69 2017/3/3 DEMO-1 吳鳳科技大學被蠕蟲攻擊報表

70 2017/3/3 DEMO-2 義守大學被蠕蟲攻擊報表

71 2017/3/3 DEMO-4 台灣大學被蠕蟲攻擊報表

72 2017/3/3 Flowviewer產品功能介紹

73 Flowviewer網路日誌事件監控設備報表功能介紹
2017/3/3 Flowviewer網路日誌事件監控設備報表功能介紹 功能介紹 流量總和記錄 流入的目的 流入的單位 流出的來源 流出的單位 內部對傳 進出流量合伴報表 各單位前幾名 偽造流量 有蠕蟲的本地IP 疑似SSH密碼猜測 疑似埠掃瞄 P2P報表 疑似UDP Flood攻擊

74 2017/3/3 主畫面功能

75 阻斷功能簡介 Flowviewer FM-30A沒有此功能，但是有蠕蟲偵測功能只能以Mail方式通知管理者。
2017/3/3 阻斷功能簡介 Flowviewer FM-30A沒有此功能，但是有蠕蟲偵測功能只能以Mail方式通知管理者。 提供ACL阻斷功能並可設定所需阻斷之時間，且提供通知管理者之機智，此功能針對適用於下列Layer 3之網路設備：(且提供白名單即發生病毒蠕蟲攻擊時不想阻斷之IP及VLAN) Cisco Foundry Alcatel Extreme 3550/3560/3750/4500/6500 系列Switch 4000/8000/15000, BigIron RX-series FastIron Edge X-series (FES-S424,FES-X448) FastIron Super-X (Super X/SX800/SX1600) Ommi-Switch 6800/6850/7700/7800/9700/9800 Extreme Ware(O.S)系列 Summit 1i/5i/7i/48si BlackDismond 6800系列

76 2017/3/3 阻斷功能簡介-2

77 不用經過本設備帳號及密碼 可外拉超連結畫面供使用者查詢
2017/3/3 公 開 監控服務 報表之實際畫面 彈性功能 不用經過本設備帳號及密碼 可外拉超連結畫面供使用者查詢

78 2017/3/3 斷線記錄

79 2017/3/3 公 開 報 表 畫 面

80 蠕 蟲 記 錄 列表

81 當 日 流 量 圖 形

82 公 開 報 表 P2P 記錄

83 總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能
2017/3/3 總 結 Demo site for Flowviewer series Account: guest Password: 1234 同時具備接收sFlow及NetFlow 之logs功能 內建資料庫，Zoom-In 分析流量零時差 解決IPS/IDS病毒碼偵測不到內部網路(第二層)的棘手問題 發現WROM 攻擊，立即通知網管人員並透過Switch阻斷該IP 避免災難急速擴大 針對P2P系統提供斷線或限制頻寬功能，及流量限額(Quota)管控可選擇立即斷線或限制頻寬功能，和斷線名單並可提供超連結網頁讓使用者查詢