校園網路安全 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010

大 綱 網路攻擊模式 防禦機制 電腦病毒 網路安全資訊

網路安全之重要性 網際網路快速發展 駭客攻擊 校園網路人人有則 使用者 系統管理

網路攻擊模式 網路監聽 網路掃描 漏洞利用 密碼破解 惡意程式植入 DoS/DDoS攻擊

網路監聽 取得攻擊或入侵目標的相關資訊 Sinffer Distributed Network Sniffer 攔截網路上的封包 Client將收集的資訊傳給Server

Ｄistributed Network Sniffer

網路掃描 遠端掃描目標主機的系統 取得目標主機的資訊 利用系統漏洞入侵 網路管理者重視此問題

漏洞利用 利用程式或軟體的不當設計或實做 利用漏洞取得權限，進而破壞系統 緩衝區溢位(buffer overflow) 網路安全網站公佈漏洞訊息

緩衝區溢位範例

密碼破解 利用系統弱點入侵取得密碼檔 利用破解程式破解使用者密碼 密碼的破解速度 取得使用者密碼可入侵該主機 取得系統管理者密碼可操控該主機

惡意程式碼植入 病毒(Virus) 後門程式(Backdoor) 自我複製性與破壞性 動機 遠端遙控 建立管理者權限之帳號 更改主機的系統啟動檔

惡意程式碼植入 利用電子郵件植入木馬程式 駭客利用木馬程式聆聽的port遠端遙控 更改木馬程式名稱與聆聽的port

DoS / DDoS攻擊 DoS攻擊(Denial of Service)-阻絕服務攻擊 DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊

DoS攻擊 DoS : 系統資源被佔用，使得系統無法提供正常服務 系統資源包括主機的CPU使用率，硬碟空間，網路頻寬

DDoS攻擊 DDoS攻擊是多層次的DoS攻擊 入侵其他主機，安裝攻擊程式 具備遠端遙控的功能 控制在同一時間內發動DoS攻擊

DDoS多層次的攻擊架構

DoS 的攻擊方式 TCP SYN 攻擊 UDP Flood 攻擊 ICMP Flood 攻擊 ICMP Smurf Flood攻擊

TCP SYN 攻擊 Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包

Three-Way Handshack

UDP Flood 攻擊 UDP是connectionless的網路協定 駭客發送大量UDP封包給echo Server A 將來源IP偽造成另一台echo Server B 造成A與B之間的網路流量持續存在

攻擊示意圖

ICMP Flood 攻擊 ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態 駭客假造來源IP並發送大量ICMP封包給被害者 被害者回應等量的ICMP封包給假造的來源IP網路 被害者與被假造來源IP的網路流量大增

ICMP Smurf Flood 攻擊 駭客假造來源IP為broadcast address，如140.112.254.255 駭客發出ICMP echo request時，該子網域的機器都會回ICMP給ICMP echo reply給140.112.254.255 造成該子網域壅塞

ICMP Smurf Flood 攻擊

防禦機制 防火牆(Firewall)的架設 入侵偵測系統(Intrusion Detection System)的架設 IP Spoof的防治 伺服器的妥善管理 網路流量的即時分析

防火牆的架設 防火牆架設的位置 必須熟知攻擊或入侵的手法 防火牆影響網路效率 規劃DMZ(De-Militarized Zone)區 防火牆的缺點 無法阻擋新的攻擊模式 無法阻擋層出不窮的新病毒

防火牆的架設(Cont.) 無法防範來自內部的破壞或攻擊 無法阻擋不經過防火牆的攻擊

DMZ區示意圖

入侵偵測系統 依照偵測方法分為 : Anomaly Detection : Misuse Detection : 建立使用者與系統的正常使用標準 比對標準值，以判斷是否有入侵行為 Misuse Detection : 將各種已知的入侵模式或特徵建成資料庫 比對資料庫的pattern，以判斷是否有入侵行為

入侵偵測系統(cont.) 相關功能: 攻擊程式多數為Open Source，可建立封包過濾的pattern 阻隔可能的攻擊來源 對可能的來源攻擊下“停止攻擊”指令

IP Spoof的防治 IP Spoof : 偽造封包的來源IP位址 以送RAW Socket方式偽造來源IP位址 防治方式 : 在router或防火牆設定ACL管理規則 禁止外來封包的來源位址是內部網路的位址 禁止非內部網路位址的封包流到外部

伺服器的妥善管理 管理不善的伺服器 = 駭客攻擊跳板 系統管理者應做好系統的修補工作 網路管理人員評估校園網路安全與否: 弱點評估工具 掃描工具

網路流量的即時分析 利用流量圖可找出攻擊來源之大方向

電腦病毒的特性 繁殖性 記憶體常駐 寄居性 傳染性 多型態 事件觸發

電腦病毒的種類 檔案型 開機型 復合型 巨集指令型 命令處理型

電腦病毒 Case Study 紅色警戒 Code Red 娜坦病毒 Nimda 求職信病毒 Klez Sircam病毒

Code Red行為分析 利用Indexing Service的buffer overflow漏洞入侵IIS Server 九十九個threads用來感染其他主機 最後一個thread檢查作業系統的語系與版本 每個月的20日到28日，攻擊美國白宮的www1.whitehouse.gov網站

Code Red II行為分析 感染系統 散播病毒 建立300個thread，如為中文系統建立600個thread 呼叫植入木馬的程式碼 重新開機，留下後門與木馬程式 散播病毒 產生一組亂數IP位址，利用八組網路遮罩，與系統IP及亂數IP進行運算，以產生下一個攻擊目標

Code Red II行為分析(Cont.) 植入木馬 快速連接目標，並送出一份病毒碼 當系統重新開機後，下一個使用者登入時，會執行木馬程式explorer.exe 開啟後門，讓駭客遠端遙控電腦

紅色警戒(Cont.) 解決方法 檢查與清除病毒 Microsoft 自行研發的清除程式 新的Patch檔 http://www.microsoft.com/Taiwan/HOTFIX.htm Microsoft 自行研發的清除程式 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redfix.asp 新的Patch檔

紅色警戒(Cont.) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp 注意事項 請先更新作業系統，Win2000 需更新至 SP1 以上，NT4.0 需更新至 SP6a。 作以上動作時請先拔除網路線, 做完後再插上

紅色警戒(Cont.) 建議事項 系統管理者定期檢視伺服器漏洞並修正 設定防火牆，限制伺服器向外部建立連線

統計資料 Top 10 Countries Country # %-------------------------- US 157694 43.91 KR 37948 10.57 CN 18141 5.05 TW 15124 4.21 CA 12469 3.47 UK 11918 3.32 DE 11762 3.28 AU 8587 2.39 JP 8282 2.31 NL 7771 2.16

統計資料 Top 10 Domains Domain # %------------------------------------ Unknown 169584 47.22 home.com 10610 2.95 rr.com 5862 1.63 t-dialin.net 5514 1.54 pacbell.net 3937 1.10 uu.net 3653 1.02 aol.com 3595 1.00 hinet.net 3491 0.97 net.tw 3401 0.95 edu.tw 2942 0.82

Nimda 行為模式 修改網頁內容 透過電子郵件自行散發病蟲 網路掃描 改變檔案格式並取代正常的檔案 入侵電腦竊取私人資料

Nimda (Cont.) 散播方式: 利用email傳染 利用資源分享傳染 利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點，以及”Code Red II”病毒所留下的後門 透過瀏覽器從已感染的web server傳染

Nimda (Cont.) 預防感染對策 不要開啟來歷不明的附加檔案(附檔名為.exe/.eml的檔案) 升級IE版本至5.01 SP2/5.5 SP2/6.0以上 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp (註：IE5.01SP2及IE5.5 SP2則無須安裝此修正程式) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp 關閉檔案共享功能

Nimda (Cont.) Outlook 2000以及2002請安裝修正程式 修補IIS伺服器的安全漏洞 http://office.microsoft.com/downloads/2000/outlctlx.aspx http://office.microsoft.com/downloads/2002/OLK1003.aspx 修補IIS伺服器的安全漏洞 http://www.microsoft.com/downloads/Release.asp?ReleaseID=32061 http://www.microsoft.com/downloads/Release.asp?ReleaseID=32011

Nimda (Cont.) 預防IE6感染Nimda病蟲 清除Code Red II的後門程式 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 預防IE6感染Nimda病蟲 http://www.microsoft.com/technet/security/topics/NimdaIE6.asp

Nimda (Cont.) 檢視系統安全設定之工具 http://www.microsoft.com/technet/mpsa/start.asp 適用於NT 4.0 Workstation, Windows 2000 Professional, and Windows XP workstations http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215#1 適用於Windows NT 4.0, Windows 2000, and Windows XP, as well as hotfixes for Internet Information Server 4.0,5.0 (IIS), SQL Server 7.0, SQL Server 2000

Nimda (Cont.) 移除工具 http://www.microsoft.com/taiwan/support/content/nimda.htm http://www.symantec.com/avcenter/tools.list.html http://www.trend.com.tw/corporate/techsupport/cleanutil/index.htm 偵測工具 http://www.eeye.com/html/Research/Tools/nimda.html

求職信病毒 行為分析 利用微軟outlook郵件預覽功能 利用IE5系統漏洞 利用通訊錄名單寄發病毒信 冒名發送病毒信 移除防毒軟體的病毒定義碼檔案 即使不開啟電子郵件程式，仍可寄發病毒信

求職信病毒(Cont.) 預防感染對策 安裝IE5修補程式，或升級到IE6　http://www.microsoft.com/technet/security/topics/NimdaIE6.asp 啟動防毒軟體之病毒碼即時更新功能 關閉outlook/outlook express 預覽信件功能 outlook : 關閉 “檢視/預覽窗格” 及 “檢視/自動預覽” outlook express : 關閉 "檢視/版面配置/預覽窗格/顯示預覽窗格"

求職信病毒(Cont.) 清除病毒的方法 關閉資源分享功能。 IE 5.01 及 5.5用戶更新修正程式 關閉所有正在執行的程式，包括防毒軟體 下載清除程式 fix_klez401.zip 開啟MS-Dos模式 ，執行CLN_KLEZ.BAT 重新啟動電腦並使用掃瞄軟體掃瞄所有檔案，並將掃瞄的受感染檔案刪除

Sircam 病毒描述 藉由電子郵件進行散播 執行附加檔案後，病毒利用通訊錄中的名單自動發送病毒郵件 郵件主旨及附加檔案名稱不固定 郵件內容第一行與最後一行為: Hi! How are you? See you later. Thanks!

Sircam(cont.) 防毒方式 設定收件原則過濾電子郵件 選取：郵件/從郵件建立規則 選擇規則的條件：勾選「郵件本文包含的文字」 選擇規則的動作：勾選「刪除」 規則說明：按一下底線文字進行編輯，將「Hi! How are you?」等英文字輸入。 按確定即可。

Sircam(cont.) 移除工具 至 http://www.sarc.com/avcenter/FixSirc.com 下載 Fixsirc.com 執行這個工具時先關掉其他程式，包括防毒程式的自動防護 如果使用Windows Me，關掉System Restore (在My Computer->Performance->File System-Troubleshooting) 執行 Fixsirc.com 如果您使用 Windows Me，最後請再開啟 System Restore

Mail Relay Unix System 測試: www.edu.tw/tanet/spam.html 請升級send mail版本至 8.9 以上 建立正確的access file & makemap Example for access file: 140.112 relay ntu.edu.tw relay 利用makemap建立sendmail的database

Mail Relay(Cont.) Windows 測試 請更新mail server版本 建立正確的使用者清單 telnet 140.112.3.90 25 helo mli mail from:mli@ccms.ntu.edu.tw rcpt to:mli@ccms.ntu.edu.tw data test . 請更新mail server版本 建立正確的使用者清單

SNMP v1 安全漏洞 行為分析 入侵者可遠端操控攻擊行為 造成設備的阻斷服務、緩衝區溢位 入侵系統、竊取資料或是作為攻擊他人電腦的跳板 受影響的設備:使用SNMP version 1的電腦主機、伺服器、路由器、交換器、防火牆等網路設備

SNMP v1 安全漏洞(Cont.) 補救方法 掃描SNMP服務工具 安裝廠商提供的修補程式 關閉SNMP服務 SNScan – http://www.foundstone.com/knowledge/free_tools.html SNMPing – http://www.sans.org/snmp/tool.php 安裝廠商提供的修補程式 關閉SNMP服務

SNMP v1 安全漏洞(Cont.) 更改SNMP預設群組名稱 以防火牆或router ACL過濾SNMP連線 預設名稱: snmp-server community public RO snmp-server community private RW 以防火牆或router ACL過濾SNMP連線 過濾或阻擋SNMP相關的161、 162、 1993等TCP/UDP port的存取 access-list 101 deny tcp any any eq 161 log access-list 101 deny udp any any eq 161 log access-list 101 permit ip any any

SNMP v1 安全漏洞(Cont.) 限制特定IP可存取 啟動入侵偵測系統進行監控 access-list 10 permit 140.112.3.100 snmp-server community ntu RO 10 啟動入侵偵測系統進行監控

個人電腦保全要領 安裝防毒軟體 更新Windows應用程式版本 設定Windows檔案共享的權限 不開啟來歷不明的信件與附加檔 注意系統漏洞與病毒的最新消息 妥善管理伺服器

台大資通安全服務中心網頁 網址 : http://cert.ntu.edu.tw 內容介紹: 最新消息 違規主機名單 病毒專區 系統漏洞 相關文件