校園網路安全 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010.

Slides:



Advertisements
Similar presentations
第二届全国网络安全宣传周 ——“共建网络安全、共享网络文明” 网络安全知识讲座 主讲人:刘玉艳 单位:池州学院
Advertisements

拒绝服务攻击 DoS 攻击 LAND Teardrop, SYN flood ICMP : smurf
信息犯罪与计算机取证 第三章计算机入侵.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
第五章 攻击技术 2.1 黑客发展史 2.2 攻击技术基础 2.3 恶意软件 2017/3/22.
校園網路管理實電務 電子計算機中心 謝進利.
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
计算机系统安全 第10章 常用攻击手段.
启明星辰客户产品培训- 培训讲义.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
國立高雄海洋科技大學 電子郵件收信軟體設定說明
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
通訊 授課:方順展.
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
TCP協定 (傳輸層).
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
第二章 Linux基本指令與工具操作 LINUX 按圖施工手冊.
访问控制列表(ACL) Version 1.0.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
R教學 安裝RStudio 羅琪老師.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
安裝JDK 安裝Eclipse Eclipse 中文化
网络系统集成技术 访问控制列表 Access Control List 第七章.
Echo Server/Client Speaker:Fang.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
雲端計算.
數位鳳凰計畫-復習課程 授課:方順展.
網路安全技術期末報告 Proxy Server
台大計資中心 李美雯 網路安全與管理 台大計資中心 李美雯 /4/6 臺灣大學計資中心網路組.
Linux作業系統 電腦教室Linux使用說明.
Network Application Programming(3rd Edition)
Firewall-pfsense Mars Su
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
網路安全管理報告 緩衝區溢位攻擊 學生:吳忠祐 指導教授:梁明章.
資料來源 2 網路過濾軟體之安裝說明 資料來源 2.
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
網路安全管理 期末報告 A 許之青 24/04/2019.
IIS Internet Information Services
Google協作平台+檔案分享(FileZilla+網路芳鄰)
緩衝區溢位攻擊 學生:A 羅以豪 教授:梁明章
單元三 資訊安全與保護 Learning Lab.
個人網路空間 資訊教育.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
取得與安裝TIDE 從TIBBO網站取得TIDE
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
基本指令.
IP Layer Basics, Firewall, VPN, and NAT
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
國立屏東大學宿舍網路連線 設定說明 104/08/12.
第四章 通訊與網路管理 授課老師:褚麗絹.
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
ARP攻擊 A 吳峻誠.
多站台網路預約系統之 AJAX即時資料更新機制
DDoS A 林育全.
IP Layer Basics & Firewall
信息安全防护技术—— 防火墙和入侵检测 万明
Chapter 4 Multi-Threads (多執行緒).
電腦病毒簡介 周承復 Date: 11/12/2002.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Presentation transcript:

校園網路安全 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010

大 綱 網路攻擊模式 防禦機制 電腦病毒 網路安全資訊

網路安全之重要性 網際網路快速發展 駭客攻擊 校園網路人人有則 使用者 系統管理

網路攻擊模式 網路監聽 網路掃描 漏洞利用 密碼破解 惡意程式植入 DoS/DDoS攻擊

網路監聽 取得攻擊或入侵目標的相關資訊 Sinffer Distributed Network Sniffer 攔截網路上的封包 Client將收集的資訊傳給Server

Distributed Network Sniffer

網路掃描 遠端掃描目標主機的系統 取得目標主機的資訊 利用系統漏洞入侵 網路管理者重視此問題

漏洞利用 利用程式或軟體的不當設計或實做 利用漏洞取得權限,進而破壞系統 緩衝區溢位(buffer overflow) 網路安全網站公佈漏洞訊息

緩衝區溢位範例

密碼破解 利用系統弱點入侵取得密碼檔 利用破解程式破解使用者密碼 密碼的破解速度 取得使用者密碼可入侵該主機 取得系統管理者密碼可操控該主機

惡意程式碼植入 病毒(Virus) 後門程式(Backdoor) 自我複製性與破壞性 動機 遠端遙控 建立管理者權限之帳號 更改主機的系統啟動檔

惡意程式碼植入 利用電子郵件植入木馬程式 駭客利用木馬程式聆聽的port遠端遙控 更改木馬程式名稱與聆聽的port

DoS / DDoS攻擊 DoS攻擊(Denial of Service)-阻絕服務攻擊 DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊

DoS攻擊 DoS : 系統資源被佔用,使得系統無法提供正常服務 系統資源包括主機的CPU使用率,硬碟空間,網路頻寬

DDoS攻擊 DDoS攻擊是多層次的DoS攻擊 入侵其他主機,安裝攻擊程式 具備遠端遙控的功能 控制在同一時間內發動DoS攻擊

DDoS多層次的攻擊架構

DoS 的攻擊方式 TCP SYN 攻擊 UDP Flood 攻擊 ICMP Flood 攻擊 ICMP Smurf Flood攻擊

TCP SYN 攻擊 Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包

Three-Way Handshack

UDP Flood 攻擊 UDP是connectionless的網路協定 駭客發送大量UDP封包給echo Server A 將來源IP偽造成另一台echo Server B 造成A與B之間的網路流量持續存在

攻擊示意圖

ICMP Flood 攻擊 ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態 駭客假造來源IP並發送大量ICMP封包給被害者 被害者回應等量的ICMP封包給假造的來源IP網路 被害者與被假造來源IP的網路流量大增

ICMP Smurf Flood 攻擊 駭客假造來源IP為broadcast address,如140.112.254.255 駭客發出ICMP echo request時,該子網域的機器都會回ICMP給ICMP echo reply給140.112.254.255 造成該子網域壅塞

ICMP Smurf Flood 攻擊

防禦機制 防火牆(Firewall)的架設 入侵偵測系統(Intrusion Detection System)的架設 IP Spoof的防治 伺服器的妥善管理 網路流量的即時分析

防火牆的架設 防火牆架設的位置 必須熟知攻擊或入侵的手法 防火牆影響網路效率 規劃DMZ(De-Militarized Zone)區 防火牆的缺點 無法阻擋新的攻擊模式 無法阻擋層出不窮的新病毒

防火牆的架設(Cont.) 無法防範來自內部的破壞或攻擊 無法阻擋不經過防火牆的攻擊

DMZ區示意圖

入侵偵測系統 依照偵測方法分為 : Anomaly Detection : Misuse Detection : 建立使用者與系統的正常使用標準 比對標準值,以判斷是否有入侵行為 Misuse Detection : 將各種已知的入侵模式或特徵建成資料庫 比對資料庫的pattern,以判斷是否有入侵行為

入侵偵測系統(cont.) 相關功能: 攻擊程式多數為Open Source,可建立封包過濾的pattern 阻隔可能的攻擊來源 對可能的來源攻擊下“停止攻擊”指令

IP Spoof的防治 IP Spoof : 偽造封包的來源IP位址 以送RAW Socket方式偽造來源IP位址 防治方式 : 在router或防火牆設定ACL管理規則 禁止外來封包的來源位址是內部網路的位址 禁止非內部網路位址的封包流到外部

伺服器的妥善管理 管理不善的伺服器 = 駭客攻擊跳板 系統管理者應做好系統的修補工作 網路管理人員評估校園網路安全與否: 弱點評估工具 掃描工具

網路流量的即時分析 利用流量圖可找出攻擊來源之大方向

電腦病毒的特性 繁殖性 記憶體常駐 寄居性 傳染性 多型態 事件觸發

電腦病毒的種類 檔案型 開機型 復合型 巨集指令型 命令處理型

電腦病毒 Case Study 紅色警戒 Code Red 娜坦病毒 Nimda 求職信病毒 Klez Sircam病毒

Code Red行為分析 利用Indexing Service的buffer overflow漏洞入侵IIS Server 九十九個threads用來感染其他主機 最後一個thread檢查作業系統的語系與版本 每個月的20日到28日,攻擊美國白宮的www1.whitehouse.gov網站

Code Red II行為分析 感染系統 散播病毒 建立300個thread,如為中文系統建立600個thread 呼叫植入木馬的程式碼 重新開機,留下後門與木馬程式 散播病毒 產生一組亂數IP位址,利用八組網路遮罩,與系統IP及亂數IP進行運算,以產生下一個攻擊目標

Code Red II行為分析(Cont.) 植入木馬 快速連接目標,並送出一份病毒碼 當系統重新開機後,下一個使用者登入時,會執行木馬程式explorer.exe 開啟後門,讓駭客遠端遙控電腦

紅色警戒(Cont.) 解決方法 檢查與清除病毒 Microsoft 自行研發的清除程式 新的Patch檔 http://www.microsoft.com/Taiwan/HOTFIX.htm Microsoft 自行研發的清除程式 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redfix.asp 新的Patch檔

紅色警戒(Cont.) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp 注意事項 請先更新作業系統,Win2000 需更新至 SP1 以上,NT4.0 需更新至 SP6a。 作以上動作時請先拔除網路線, 做完後再插上

紅色警戒(Cont.) 建議事項 系統管理者定期檢視伺服器漏洞並修正 設定防火牆,限制伺服器向外部建立連線

統計資料 Top 10 Countries Country # %-------------------------- US 157694 43.91 KR 37948 10.57 CN 18141 5.05 TW 15124 4.21 CA 12469 3.47 UK 11918 3.32 DE 11762 3.28 AU 8587 2.39 JP 8282 2.31 NL 7771 2.16

統計資料 Top 10 Domains Domain # %------------------------------------ Unknown 169584 47.22 home.com 10610 2.95 rr.com 5862 1.63 t-dialin.net 5514 1.54 pacbell.net 3937 1.10 uu.net 3653 1.02 aol.com 3595 1.00 hinet.net 3491 0.97 net.tw 3401 0.95 edu.tw 2942 0.82

Nimda 行為模式 修改網頁內容 透過電子郵件自行散發病蟲 網路掃描 改變檔案格式並取代正常的檔案 入侵電腦竊取私人資料

Nimda (Cont.) 散播方式: 利用email傳染 利用資源分享傳染 利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點,以及”Code Red II”病毒所留下的後門 透過瀏覽器從已感染的web server傳染

Nimda (Cont.) 預防感染對策 不要開啟來歷不明的附加檔案(附檔名為.exe/.eml的檔案) 升級IE版本至5.01 SP2/5.5 SP2/6.0以上 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp (註:IE5.01SP2及IE5.5 SP2則無須安裝此修正程式) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp 關閉檔案共享功能

Nimda (Cont.) Outlook 2000以及2002請安裝修正程式 修補IIS伺服器的安全漏洞 http://office.microsoft.com/downloads/2000/outlctlx.aspx http://office.microsoft.com/downloads/2002/OLK1003.aspx 修補IIS伺服器的安全漏洞 http://www.microsoft.com/downloads/Release.asp?ReleaseID=32061 http://www.microsoft.com/downloads/Release.asp?ReleaseID=32011

Nimda (Cont.) 預防IE6感染Nimda病蟲 清除Code Red II的後門程式 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 預防IE6感染Nimda病蟲 http://www.microsoft.com/technet/security/topics/NimdaIE6.asp

Nimda (Cont.) 檢視系統安全設定之工具 http://www.microsoft.com/technet/mpsa/start.asp 適用於NT 4.0 Workstation, Windows 2000 Professional, and Windows XP workstations http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215#1 適用於Windows NT 4.0, Windows 2000, and Windows XP, as well as hotfixes for Internet Information Server 4.0,5.0 (IIS), SQL Server 7.0, SQL Server 2000

Nimda (Cont.) 移除工具 http://www.microsoft.com/taiwan/support/content/nimda.htm http://www.symantec.com/avcenter/tools.list.html http://www.trend.com.tw/corporate/techsupport/cleanutil/index.htm 偵測工具 http://www.eeye.com/html/Research/Tools/nimda.html

求職信病毒 行為分析 利用微軟outlook郵件預覽功能 利用IE5系統漏洞 利用通訊錄名單寄發病毒信 冒名發送病毒信 移除防毒軟體的病毒定義碼檔案 即使不開啟電子郵件程式,仍可寄發病毒信

求職信病毒(Cont.) 預防感染對策 安裝IE5修補程式,或升級到IE6 http://www.microsoft.com/technet/security/topics/NimdaIE6.asp 啟動防毒軟體之病毒碼即時更新功能 關閉outlook/outlook express 預覽信件功能 outlook : 關閉 “檢視/預覽窗格” 及 “檢視/自動預覽” outlook express : 關閉 "檢視/版面配置/預覽窗格/顯示預覽窗格"

求職信病毒(Cont.) 清除病毒的方法 關閉資源分享功能。 IE 5.01 及 5.5用戶更新修正程式 關閉所有正在執行的程式,包括防毒軟體 下載清除程式 fix_klez401.zip 開啟MS-Dos模式 ,執行CLN_KLEZ.BAT 重新啟動電腦並使用掃瞄軟體掃瞄所有檔案,並將掃瞄的受感染檔案刪除

Sircam 病毒描述 藉由電子郵件進行散播 執行附加檔案後,病毒利用通訊錄中的名單自動發送病毒郵件 郵件主旨及附加檔案名稱不固定 郵件內容第一行與最後一行為: Hi! How are you? See you later. Thanks!

Sircam(cont.) 防毒方式 設定收件原則過濾電子郵件 選取:郵件/從郵件建立規則 選擇規則的條件:勾選「郵件本文包含的文字」 選擇規則的動作:勾選「刪除」 規則說明:按一下底線文字進行編輯,將「Hi! How are you?」等英文字輸入。 按確定即可。

Sircam(cont.) 移除工具 至 http://www.sarc.com/avcenter/FixSirc.com 下載 Fixsirc.com 執行這個工具時先關掉其他程式,包括防毒程式的自動防護 如果使用Windows Me,關掉System Restore (在My Computer->Performance->File System-Troubleshooting) 執行 Fixsirc.com 如果您使用 Windows Me,最後請再開啟 System Restore

Mail Relay Unix System 測試: www.edu.tw/tanet/spam.html 請升級send mail版本至 8.9 以上 建立正確的access file & makemap Example for access file: 140.112 relay ntu.edu.tw relay 利用makemap建立sendmail的database

Mail Relay(Cont.) Windows 測試 請更新mail server版本 建立正確的使用者清單 telnet 140.112.3.90 25 helo mli mail from:mli@ccms.ntu.edu.tw rcpt to:mli@ccms.ntu.edu.tw data test . 請更新mail server版本 建立正確的使用者清單

SNMP v1 安全漏洞 行為分析 入侵者可遠端操控攻擊行為 造成設備的阻斷服務、緩衝區溢位 入侵系統、竊取資料或是作為攻擊他人電腦的跳板 受影響的設備:使用SNMP version 1的電腦主機、伺服器、路由器、交換器、防火牆等網路設備

SNMP v1 安全漏洞(Cont.) 補救方法 掃描SNMP服務工具 安裝廠商提供的修補程式 關閉SNMP服務 SNScan – http://www.foundstone.com/knowledge/free_tools.html SNMPing – http://www.sans.org/snmp/tool.php 安裝廠商提供的修補程式 關閉SNMP服務

SNMP v1 安全漏洞(Cont.) 更改SNMP預設群組名稱 以防火牆或router ACL過濾SNMP連線 預設名稱: snmp-server community public RO snmp-server community private RW 以防火牆或router ACL過濾SNMP連線 過濾或阻擋SNMP相關的161、 162、 1993等TCP/UDP port的存取 access-list 101 deny tcp any any eq 161 log access-list 101 deny udp any any eq 161 log access-list 101 permit ip any any

SNMP v1 安全漏洞(Cont.) 限制特定IP可存取 啟動入侵偵測系統進行監控 access-list 10 permit 140.112.3.100 snmp-server community ntu RO 10 啟動入侵偵測系統進行監控

個人電腦保全要領 安裝防毒軟體 更新Windows應用程式版本 設定Windows檔案共享的權限 不開啟來歷不明的信件與附加檔 注意系統漏洞與病毒的最新消息 妥善管理伺服器

台大資通安全服務中心網頁 網址 : http://cert.ntu.edu.tw 內容介紹: 最新消息 違規主機名單 病毒專區 系統漏洞 相關文件