Web ICQ 組別 第 10 組 胡藤耀 沈育澤 李逸聖
摘要 一、研究動機 二、研究方法 三、研究發現 四、研究結論
一、研究動機 由於修習資訊與通訊安全學程之故,而選修資 訊與通訊安全實習課程,因此本專題為重點學 習成果之項目。 想要多增加一點實務經驗,學而行,有時候不 如做而行。
二、研究方法 IPS 操作 BEMS 使用 測試 IPS 有對封包無觸發反應 網路串流封包分析 網路封包成功觸發 IPS 反應 網路應用軟體安裝 1. 文獻探討 2. 上課學習
三、研究發現 其實透過課堂上的學習後,只要是未加密過的 封包,要找出其特徵碼並非難事,因為透過 OSI 七層原理,可以知道網路封包的對應關係 與格式,未加密的封包,皆以明碼傳輸,側錄 封包,並分析其架構,就可以找到特徵碼,來 架構安全的過濾機制。 不同協定,網路封包傳輸機制的不同。
四、研究結論 專題研究過程中,學習到 IPS 的原理架構,也 學習到團隊的分工合作及時間配合等,許多的 互助合作之應有的共識。
Web_ICQ 簡介 一、 Web_ICQ 的簡介 二、 Web_ICQ 使用介紹 三、 Web_ICQ 應用的範圍
一、 Web_ICQ 的名稱 ICQ 是最早出現的即時通訊軟體之一。 ICQ 源 自以色列特拉維夫的 Mirabilis 公司(成立於 1996 年 7 月),由幾個以色列青年在 1996 年 11 月發明。 ICQ 是英文「 I SEEK YOU 」諧音,中文意思 是:我找你。
一、 Web_ICQ 的名稱 ICQ 是一款網路即時訊息傳呼軟體,支持在 Internet 上面聊天,以及發送消息、網址及文 件等功能。朋友雙方裝上 ICQ 軟體,上網時可 以互相聯絡。現時的還可以與朋友玩小遊戲、 進行視訊。 應用程式,我們選擇 Web ICQ ,網頁版的 ICQ , 功能較精簡,一樣可以線上即時傳訊,但無法 進行遊戲與視訊等等...
二、 Web_ICQ 使用介紹 下載 J2RE1.4.2_11 For W32 版本 , d.jsp;jsessionid=213C998C6CF98FE9D6889 F d.jsp;jsessionid=213C998C6CF98FE9D6889 F
二、 Web_ICQ 使用介紹 安裝 J2RE1.4.2_11 程式 按完成
二、 Web_ICQ 使用介紹 開啟 Web ICQ 網頁 ( 網址: 點選 ICQ2Go! Java
二、 Web_ICQ 使用介紹 輸入 ICQ and Password , 按 Connect 輸入 ICQ 帳號和密碼, 點選 Connect
二、 Web_ICQ 使用介紹 開始使用網頁即時線上傳訊 如右圖示:登入成功
三、 Web_ICQ 應用的範圍 只要有安裝 Java(J2RE 程式 ) 都可以透過網頁來執行 Web IM(Instant messenger) , 不用特別安裝特定 ICQ 程式,透過網頁來執行, 跨平台極為方便。
Web_ICQ 可能帶來的資訊安全危害
Web_iCQ 帶來的資訊危害 病毒和蠕蟲透過 IM 散播 身份盜竊 穿透防火牆 資料安全漏洞 即時傳訊垃圾訊息 (Spim)
Web_iCQ 帶來的資訊危害 一、病毒和蠕蟲透過 IM 散播 病毒和蠕蟲的連結,透過 IM 達到更快的散播,加 上公共 IM 的用戶端所使用 IM 版本有程式漏洞,更可 以被用來散播攻擊,或者發起分散式阻斷服務攻擊 (DDoS) 。
Web_iCQ 帶來的資訊危害 二、身份盜竊 IM 不需透過 往來,直接用匿稱辨識,因此 有可能取極為相近的匿稱,假借他人名義,來騙取 他人的信任,進而獲得相關資訊。例如:對象 ID 為 billgate ,攻擊者取名為 billgates ,假冒 billgate 身分, 獲取 billgate 聯絡人清單的信任。
Web_iCQ 帶來的資訊危害 三、穿透防火牆 可以有效的穿過防火牆,因為防火牆大都會開放 port 80 ,為了瀏覽網頁所需要,但是 Web IM 是屬 於 Web 服務,可以透過 port 80 來存取使用服務,造 成防火牆無法有效控管。更可能透過 https 加密,來 隱藏該 Web IM 的封包,防不勝防。
Web_iCQ 帶來的資訊危害 四、資料安全漏洞 使公司在不知情的情況下,暴露出敏感資訊,並 導致法律風險。 如:在公司資訊管理下,職員有可能利用 IM 傳送 公司機密文件,甚者在不經意的聊天中洩露敏感資 訊。因為 IM 難以追蹤,並有效過濾內容且及時發現。
Web_iCQ 帶來的資訊危害 五、即時傳訊垃圾訊息 (Spim) 「即時傳訊垃圾訊息」( IM 加 spam )被專家稱為 「 Spim 」,即使是少量的 spim ,也帶給用戶極大 的困擾,因為 IM 訊息一傳出,就即時顯現在電腦螢 幕上,令收訊者束手無策。 IM 濫發訊息也可能造成安全威脅。嵌入 IM 的超文 字連結可能以免費獎品、特別折扣或內容下載等好 康,誘拐使用者點選連結,導致病毒侵入企業內部 網路。嚴重的 spim 可能導致網路壅塞,影響應用程 式的執行效能。
網路環境架構 網路架構 測試電腦串聯硬體 IPS 後再與網際網路做連結;測 試電腦與網際網路均需通過硬體 IPS 才能對彼此傳遞 網路封包,而 IPS 由 BEMS 系統所建構的封包政策來對 欲通過 IPS 的封包做逐一的特徵比對,如果發現特定 封包便會依照 BEMS 系統的所指示的方式對該封包進 行處理。 測試電腦 (執行 WEB_ICQ 程式) 網際網路 ( WEB_ICQ 伺服端) 硬體 IPS BEMS 系統 (封包政策制定)
特徵碼分析 Web_ICQ_login 封包 Web_ICQ_logout 封包 Web_ICQ_addnewfriend 封包 Web_ICQ_addnewgroup 封包 Web_ICQ_SendMsg 封包
一、 Web_ICQ_login 特徵辨識碼封包分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 目的埠:大於 79 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 方向性:由內向外 Internet Protocol, Src: ( ), Dst: ( ) 因為 Client 端的 IP 為 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : login 比對內容 3 : Revision 比對內容 4 : preakness
一、 Web_ICQ_login 完整封包擷取內容 nternet Protocol, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 Secure Socket Layer d0 b7 6f 3b f4 0d 96 6b o;......k..E c3 3b d ac 11 fd 7e cd 0020 d5 f8 08 cd 01 bb 5a ed a 46 5d Z..3..F]P af be 2c 1c a 02 f f ,...*.....toc f 6c 6f e 20 6c 6f e 2e _login login.icq e 63 6f 6d com x c e a5263 "en" "ICQ a e 32 2e c TIC: \$Re f 6e 3a e 30 5c vision: 1.0\$" 1 00a "TW" "" "" 30 00b d d utf8 -pr 00c b 6e eakness d0 00.
二、 Web_ICQ_logout 特徵辨識碼封包分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 目的埠:大於 79 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 方向性:由內向外 Internet Protocol, Src: ( ), Dst: ( ) 因為 Client 端的 IP 為 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 5 : ICQTIC 比對內容 2 : set 比對內容 3 : client 比對內容 4 : pref
二、 Web_ICQ_logout 完整封包擷取內容 Internet Protocol, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 Hypertext Transfer Protocol d0 b7 6f 3b f4 0d 96 6b o;......k..E f 46 7c d7 ac 11 fd 7e cd 0020 d5 f8 09 af 1f 90 7b 7b 54 ea 10 f0 aa 6b {{T....kP ac a e f r....*.X..1toc f f 63 6c e 74 5f _set_client_pref c 30 2c ICQTIC "3608,0, c 30 2c c 6e 75 6c 6c ,0,60,null".
三、 Web_ICQ_addfriend 特徵辨識碼封包分 析 通訊協定: TCP Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 目的埠:大於 79 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 方向性:由內向外 Internet Protocol, Src: ( ), Dst: ( ) 因為 Client 端的 IP 為 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : new 比對內容 3 : buddy
三、 Web_ICQ_addfriend 完整封包擷取內 容 Internet Protocol, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 Secure Socket Layer d0 b7 6f 3b f4 0d 96 6b o;......k..E c bc ac 11 fd 7e cd 0020 d5 f8 08 d7 01 bb f 13 0d b af a a 02 cc f GI...*..0.4toc f 6e f _new_buddy " " "Buddies“ e f 6d f 72 6b "niushomework".
四、 Web_ICQ_newgroup 特徵辨識碼封包分 析 通訊協定: TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 目的埠:大於 79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 方向性:由內向外 Internet Protocol, Src: ( ), Dst: ( ) 因為 Client 端的 IP 為 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : new 比對內容 3 : group
四、 Web_ICQ_newgroup 完整封包擷取內 容 Internet Protocol, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 Hypertext Transfer Protocol Data (28 bytes) d0 b7 6f 3b f4 0d 96 6b o;......k..E f ac 11 fd 7e cd 0020 d5 f8 09 b8 1f ca 90 c5 9d a T....GVZP ac 91 a a 02 ed f *..q..toc f 6e f f a 6f 79 _new_group "ajoy ".
五、 Web_ICQ_SendMsg 特徵辨識碼封包 分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 目的埠:大於 79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 方向性:由內向外 Internet Protocol, Src: ( ), Dst: ( ) 因為 Client 端的 IP 為 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : send 比對內容 3 : im
五、 Web_ICQ_SendMsg 完整封包擷取內 容 Internet Protocol, Src: ( ), Dst: ( ) Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 Hypertext Transfer Protocol Data (48 bytes) d0 b7 6f 3b f4 0d 96 6b o;......k..E fb f ac 11 fd 7e cd 0020 d5 f8 09 b8 1f ca 91 8c 9d b T....GV.P ac 37 9b a 02 ed a 74 6f *..x.*toc f e 64 5f 69 6d _send_im e f f "niuword1" of c 69 6e fline.
心得分享
心得與經驗 對 ICQ 的了解。 對 TCP/IP 協定的重新認識。 培養解決問題的能力。 IPS 的管理與應用 更進一步認識到資訊安全的重要性
一、對 ICQ 的了解 之前並不了解什麼是 ICQ ,而且也不太清楚何 謂 Web_ICQ ,這是最早出來的即時通訊軟體,但 是接觸即時通訊軟體時間,卻是在 MSN 和雅虎即 時通熱門的時候,因此 ICQ 未曾使用過,當然也就 不清楚何謂 ICQ 的服務。在製作專題時開始去找一 些 ICQ 程式介紹,搜尋相關資訊,才對 ICQ 有了進 一步的了解。
二、對 TCP/IP 協定的重新認識。 三向握手協定 在觀察 WEB_ICQ 的封包串流時發現,在執行個別 不同的動作時,都會先執行一次三項握手協定,來 確定這些不同動作的資料傳送同步的時間。 封包串流 在擷取封包的時候常常會擷取到一些非報告所需 的封包,這時便會使用到封包串流的觀念,針對我 們所需的動作利用封包串流的概念進而過濾掉其餘 不必要的封包,這使得原本十分龐大且複雜的網路 封包,便得更容易觀察與分析。
三、培養解決問題的能力 註冊並使用該 Web ICQ 服務時,在利用 Ethereal 軟體 側錄 Web_ICQ 網路封包時候,卻發生封包無法順匯出 的問題,出現未知錯誤,故推測有可能是舊版軟體產 生的問題,因此去發掘到新版的 Ethereal 軟體並下載 使用。 新版的 Ethereal 跟原本的 Ethereal 有點不太一樣,因為 網路協定分析程式 Ethereal 的主要開發人員 Gerald Combs 從 NIS 跳槽到 CACE ,結果因為 Ethereal 的商 標是 NIS 公司的,而 NIS 公司並沒有打算要放棄商標。
三、培養解決問題的能力 在這情況下, Gerald Combs 只好公告說這個網路協 定分析程式的名稱改叫 Wireshark ,而因為他現在已 經沒有管理 NIS 那台機器的權限了,所以他也無法在 NIS 原站台上面公告,因此才會有相同的程式架構, 卻有不同的名字出現,當然舊版的 Ethereal 也早已經 暫停更新了。 後來利用 Wireshark ,就能順利匯出封包,進行封包分 析和特徵碼的製作。
四、 IPS 的管理與應用 清楚的了解到 BEMS 的安裝流程 網路封包如何製作特徵碼 透過 IPS 攔截過濾特定的規則封包 更多的網路攻擊手法及預防
五、認識到資訊安全的重要性 沒有不安全的系統,只有不安全的人,每個系 統都是安全的,但是今天管理系統和操作系統 的都是人,因為人的管理不當,使用者的操作 不當,就造成嚴重的資訊安全問題,輕者個人 資料外洩,重者國家機密外露,威脅國家安全, 重點並不是單純學習管理 IPS 系統,而是 IPS 只是輔助,真正要負起落實資訊安全觀念,是 每個網路使用者的責任。
參考資料
參考網址 維基百科 wireshark 官網 苦牢之最後一年 Top 5 IM security risks CNET 新聞
報告完畢! 謝謝大家,請多指教 ~