Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.

Slides:



Advertisements
Similar presentations
计算机网络原理与实用技术 陈涛 华中科技大学公共管理学院 2009年2月.
Advertisements

6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
2015年重点税源企业 报表填报流程培训会 海淀地税局 收入核算科.
《计算机应用基础》 课程教学大纲 计划学时: 64学时 计划学分: 4学分 课程类型: 公共必修.
第6章 计算机网络基础 信息技术基础.
计算机网络高级工 梁绍宇.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
信息犯罪与计算机取证 第三章计算机入侵.
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
TROJAN HORSE CNEXP GROUP6 PROJECT.
思考 问题十:大学生如何提高英语能力? (听说读写能力).
企業如何建置安全的作業系統 Windows XP 網路安全
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
路由器的性能特点和工作原理 两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构 局域网中使用路由器的方案
Foundations of Computer Science Chapter 6 電腦網路
第6章 计算机网络基础 6.1 网络的基本知识 6.2 局域网的认识 6.3 设置资源共享 6.4 Internet的基本知识
路由器繞送協定- 第三章 路由器動態繞送服務
计算机网络 吴功宜 编著 欢迎辞.
计算机系统安全 第10章 常用攻击手段.
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
濮阳市事业单位网上登记管理培训讲 义 濮阳市事业单位登记管理局 2011年2月.
包河区学校网站管理员培训 包河中学 林文明.
網路基本概念與設定方法 林文宗 資管系助理教授
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
課程 微軟安全工具簡介 高市資教中心網路組 汪家麒
第 19 章 遠端管理.
国家“十一五”规划教材 数据库原理与应用教程(第3版).
国家“十一五”规划教材 数据库原理与应用教程(第3版).
第 3 章 SQL Server 2000 伺服器管理初步.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
计算机网络原理 计算机与信息工程分院 周文峰.
系統安全期末報告 Nessus 與其相關軟體使用心得
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
Instructor: Shu-Tsai Gue 顧 叔 財
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
道路运输车辆 二级维护网络监督管理系统 行业信息管理 构筑诚信维修.
组长:吴蔚 项目组成员:吴蔚,邱丁兰,汪琳莺
第 2 章 TCP / IP 簡介.
第4章 OSI傳輸層.
2006「新進專任教師」研習營 研習營日期:95年4月11日(星期二)、 95年4月12日(星期三)
课程简介 《计算机应用基础》 与《微机操作》课程组 2019/1/16 课程简介.
U861院校专用版的安装流程 安装IIS中的WWW服务 安装SQL数据库 安装SQL SP4补丁 安装U861院校专用版.
第 12 章 UDP 與 TCP 著作權所有 © 旗標出版股份有限公司.
第十三章 TCP/IP 與 Internet 網路連結技術
電腦基本故障排除與維護 (軟體) 淡江大學資訊中心教學支援組 劉育辰.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
ISA Server 2004.
Network Application Programming(3rd Edition)
Windows XP 簡易網路檢查 edo.
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
Source: Journal of Network and Computer Applications, Vol. 125, No
Chapter 11 使用者資料包通訊協定.
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
SQL Server2000概述 SQL Server简介 SQL Server安装 SQL Server数据库 2019/5/8.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
TCP/IP基礎協定之認識 資訊處位 主講人 黃連發.
網路基本概念及IE應用 趙涵捷.
第 4 章 网络层.
Presentation transcript:

Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23

大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具

入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料,植入程式或資料 造成系統失效,資料毀損或業務中斷或資料外洩資料之行為 一般之存取或試探活動大都以網路從事,但以非網路活動之存取及試探活動也屬入侵行為(如由主控台登入)

入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式

入侵型態 主動模式:以病毒或worm方式,其入侵及破壞與所植入之檔案(檔名或擺放位置也許有異)皆是固定行為模式,故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式:入侵之目的主要為非法行為,如資料竊取,破壞,或當成其他入侵之跳板,其入侵之模式不定,故較難偵測。入侵試探手法可能固定(ex 利用即有之系統漏洞) ,但入侵後所擺放之後門程式是可變的

入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控

Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析

系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵(ex 系統效能不佳) 最好固定期間檢查一次 檢視項目非檢視結果,所以須加上人為判斷或和別系統交叉比對

傳輸狀況 開啟連線狀態視窗,在沒有傳輸資料情況下,是否在傳輸大量資料。 若是,可能是DOS或DDOS攻擊。

連線狀態(netstat) 開啟 開始/程式集/附屬應用程式/命令提示字元,在該視窗下鍵入netstat ,看看是否有不尋常之連線。 Proto Local Address Foreign Address State TCP yang:1026 yang:20032 ESTABLISHED TCP yang:20032 yang:1026 ESTABLISHED TCP yang:3024 dec4000.cc.ncku.edu.tw:22 ESTABLISHED TCP yang:3613 mail.ncku.edu.tw:telnet ESTABLISHED 其中Froeign Address表示對方的Address及port,而State之連線狀態,如此例ESTABLISHED表示已連上。 因不易了解Services port是代表什麼及是從本機連出或由外部連進來的,一般而言Server端port的號碼是固定的,而client端是動態的。故只要發覺Foreign Address並不是您所要連線之位置,就該注意。 參考資料:Services ports

Process(工作管理員) 開啟工作管理員(按Ctrl+Alt+Del鍵,點選工作管理員),按下處理程序頁,檢查是否有在執行大量CPU之程式或非自己所欲執行之程式。 參考資料:windows process & services

資源分享 開啟 開始/設定/控制台,點選 系統管理工具/電腦管理,於左邊之樹狀目錄,點選「共用資料夾」左邊之+符號,會展開「共用資料夾」下之子項目。其中「共用」為share出去之目錄,請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。

檔案異動日期 主要以控制台/系統進階/環境變數之Path 項目為檢視對象,其中又以 /WINNT/system32為最主要 以「詳細資料」及「排列圖示/依日期」看最近異動之執行檔。

檔案異動日期(利用搜尋選項)

登錄表(registry) 以命令模式(cmd)執行regedit ,開啟\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下之Run、RunOnce、RunServices是否不尋常的程式被啟動

事件檢視 開啟 開始/設定/控制台,點選 系統管理工具/事件檢視器,檢視是否有不正常事件

Internet Services Logs 假如有開啟Internet(www、ftp)Services,Log一般放置在/WINNT/system32/logFiles

Internet Services Logs

服務(Service) 至控制台/系統管理工具/服務 ,無描述,啟動類型為「自動」,狀態為「啟動」,顯示其內容之執行程式路徑,是否為遭植入的檔案

使用者帳號及其權限 是否有不明之使用者,一般使用者是否有administrator權限或群組

其他 Autoexec.bat Config.sys %windir%/win.ini 之 load= run = %windir%/system.ini 之 shall= 程式集/啟動 下是否有不正常檔案 程式集/附屬應用程式/系統工具/排定的工作 硬碟是否被不正常使用

個人防火牆 定義:管制網路上之範圍或Service 對於主機之存取 使用系統內建之TCP/IP篩選 使用防毒軟體之防火牆功能 使用主機型防火牆軟體(BlackICE)

使用系統之TCP/IP篩選

使用系統之TCP/IP篩選 TCP/UDP port : 參考 service ports IP Protocol : ICMP 1 Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP 3 Gateway-to –Gateway Protocol IP 4 IP in IP encapsulation TCP 6 Transmission Control Protocol EGP 8 Exterior Gateway Protocol IGP 9 Interior Gateway Protocol UDP 17 User Datagram Protocol

BlackICE

BlackICE

BlackICE

病毒Life-cycle 管道:一切可接觸感染源的方式與途徑 感染:確定經由管道感染病毒 病發:待病發條件成立時,將形成破壞 擴散:向外擴散 防堵:阻絕再次感染之途徑 清除:清除已存在之病毒 偵測:持續偵測預防病毒再次感染

防毒軟體處理程序 偵測 Open 檔案時 由pattern比對是否為Virus 記錄檔案所在位置供處理階段參考 阻擋 阻止病毒資料進入磁碟機 病毒檔處理 依設定決定對於此檔案清除,刪除或隔離 #由網路傳輸管道(如mail)之病毒偵測處理,因上述之處理步驟,出現之訊息可能會誤認已中毒,只要確定該檔不存在,即可不需在意

Baseline Security Analyzer Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的電腦,看是不是有安裝所有的 Hotfix 及其他程式的修正程式 Windows NT 4.0, Windows 2000, Windows XP, Internet Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000, Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。 其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行為,檢查並做出建議。 執行 MBSA 需要 Internet Explorer 5.01 以上。