CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A 2018/11/23 CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A CURELAN TECHNOLOGY Co., LTD www.CureLan.com
駭客入侵及攻擊所造成的後果? 駭客入侵會造成銀行客戶資料被竊取,及公司商業機密資料被竊取,在國防機密也會被竊取重要資料,甚至影響國家安全。 每個國家的軍事網路都是封閉網路(獨立網路,不跟互聯網有任何交集)。但是,有關人員可能會被敵方收買利用入侵程式並植入木馬程式等方式,來竊取軍事機密。
入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 2018/11/23 入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-1 IPS設備採用特徵值(Pattern)方案,網路駭客為了躲避特徵值(Pattern) 的偵測,平均2天至3天就會改變特徵值(Pattern),所以IPS設備永遠是處於被動(也就是被挨打)。 網路駭客入侵到內部網路電腦後,會再透過被植入的木馬程式來入侵內部網路的其他電腦或Server,也就是內部網路入侵內部網路,以擴充入侵版圖也就是殭屍網路(Botnet) IPS設備是放置在Inline Mode,又不能收集Netflow的IP資料來分析內對內的IP資料,所以對於內對內入侵毫無辦法。 IPS設備的DDOS功能是採用門檻值(threshold)功能來防止駭客攻擊,但是誤判率很高。
入侵防護系統(IPS,Intrusion Prevention System)設備的盲點-2 駭客會以Port Scan程式在Internet進行掃瞄,來發現使用單位所使用的Port Service,所以使用單位改變原有Port Service的號碼來躲避駭客入侵是沒有用,駭客由Port Scan得知使用單位之Port Service後,可藉入侵程式來入侵某特定埠(Port Service),並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電腦。 駭客也會透過SSH (22 Port)、RDP (3389 Port)來入侵使用單位的網 路,並藉著猜測密碼成功後植入木馬程式使其電腦成為駭客的殭屍電 腦。
Flowviewer的功能分類 功能分類 FM-800A為 1G方案/ FM-1500A為 10G方案 防止駭客入侵功能:Port Scan、SSH、RDP等功能 防止駭客攻擊功能:UDP Flood Attacks、DOS Attacks、DNS Attacks、NTP Attacks等功能 動態流量報表可追蹤並查詢IP犯罪記錄
網路入侵 V.S. 網路攻擊 之分析 Cyber-Intrusion (網路入侵) Cyber-Attack (網路攻擊 ) 像小偷一樣 像強盜一樣 使用巨大網路流量及網路Sessions來癱瘓網路 不害怕被發現,因為是假借別人IP來攻擊 像小偷一樣 很小網路封包(Packet) 害怕被發現
Cyber-Attack 駭客攻擊 之分析 The Amount of Traffic A Number of Sessions 產生巨大網路Sessions,所經過網路設備都會產生設備的CPU損耗過高導致癱瘓網路 產生巨大網路流量來佔據網路頻寬導致癱瘓網路
採用網路行為異常分析 IP 技術 Network Behavior Anomaly Detection (NBAD) NBAD Technology Flowviewer 是64位元設備 High Error Rate Picture provided by : free vector graphics Version 1 Version 2 ? TRUE ? FALSE ? 設備可以自動偵測駭客入侵及攻擊,並自動阻斷入侵及攻擊
接收Netflow的IP資料來分析IP的細節 The Flowviewer FM-800A
Flowviewer 自動阻斷駭客入侵及攻擊 Cyber-Intrusion (網路入侵) Port scan SSH RDP Worm Cyber-Attack (網路攻擊) UDP Flood Attack DOS Attack DNS Attack NTP Attack
Flowviewer設備在Inline Mode架構, 來防止駭客入侵及攻擊
以Inline Mode架構自動防止駭客入侵及攻擊 Flowviewer設備提供硬體及軟體故障時Auto By-Pass功能,所以在Inline Mode架構當設備損壞時都不影響內部網路對外連線。 Flowviewer設備提供在設備上自動阻斷駭客入侵及攻擊之IP。 自動阻斷外部IP(當駭客由Internet入侵使用單位內部網路) 可自動下ACL指令在Core Switch來阻斷,駭客內對內的入侵。 Flowviewer 設備遇到駭客入侵及攻擊時阻斷方式,在L3 Core Switch下達ACL指令阻斷駭客入侵及攻擊之IP,運用L3 Core Switch(Cisco、Foundry、Alcatel、Extreme等廠牌)的(Access Control List Entries) ACLs指令將駭客入侵及攻擊的IP斷線處理。
實際案例說明
內部網路 入侵 內部網路 駭客植入木馬程式後內部網路入侵內部網路,如左圖在第4項次,140.xxx.xxx.56利用RDP途徑同一時間入侵內部網路140.xxx.xxx.66等7個IP 如右圖在第1項次,140.xxx.xxx.171利用RDP途徑同一時間入侵內部網路140.xxx.xxx.2 等14個IP。
UDP Attack 真實案例,UDP通訊協定是沒有連線數(Sessions)觀念(TCP才有連線數觀念)。但是,駭客運用”跳Port Service”的觀念來產生連線數(Sessions),如下圖,駭客假借140.xxx.xxx.197來攻擊對外IP,被假借的使用單位一樣被癱瘓內部網路,但是,有Flowviewer設備會自動偵測攻擊IP並阻斷,避免網路癱瘓。 舉例:美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。
駭客如何躲避IPS設備之偵測 上述之駭客攻擊產生40.72GB網路流量及2,390,917 Sessions數,但是;每秒最大Sessions數為743,目的就是為了躲避IPS設備的偵測。 IPS設備的門檻值(Threshold)功能,就是防止DDOS攻擊的功能,可以設門檻值(Threshold)一般都設在5,000,此真實案例只產生743,就可躲避IPS設備的偵測。
數學概念來分析駭客攻擊 S: session Psrc n: source port number Pdst n: destination port number Tn: some time ∵ ∵
動態流量即時查詢功能 可任意調整任何區段時間範圍來查詢個別IP有跟那些IP有連絡(也就是去了那些IP的網站或伺服器) ,此功能可以追蹤犯罪行為證據。 來源位置IP 120.XXX.XXX.39在2010年1月20日11點10分到12點10分,這個時間範圍區間跟那些IP有連絡就是目的位置IP ,藍色的IP表示經過80埠,綠色的IP表示非經過80埠。
結 論 駭客會運用Port Scan在網際網路(Internet)掃瞄 Port Service 65,535(網路服務埠),發現漏洞就會植入木馬程式,Flowviewer設備有這方面偵測防止功能. 駭客有專門程式針對SSH(22 Port)及RDP(3389 Port)來入侵並植入木馬程式,這是台灣國家網路中心 研究發現駭客會從此路徑入侵, Flowviewer設備有這方面偵測防止功能. 全世界防止駭客入侵無解方式有1.Spear phishing(魚叉式網路釣魚) 2.下載APP程式 3.微軟作業系統漏洞,而Flowviewer設備第二道防線就是針對這些入侵所造成的後果來防衛,如何防衛呢? Flowviewer設備有UDP Flood Attack偵測功能: a.駭客透過無解方式植入木馬程式後,一定會借用使用單位的網路流量來攻擊使用單位以外的IP,也就是假借IP來攻擊外部IP,用UDP封包的網路流量來攻擊,想要攻擊的目標IP,因為使用單位被借網路流量所以使用單位也會被癱瘓網路,所以已經不是自掃門前雪的問題,舉例;美國紐約證交所及聯合航空都在同一時間被癱瘓內部網路,可能被駭客假借IP來攻擊對外IP所造成網路癱瘓。 b.當駭客發動UDP Flood Attack攻擊使用單位,Flowviewer設備也會偵測到此攻擊. 同上述駭客也會以大量Sessions(Flows)來攻擊,跟上述一樣,駭客會假借IP來攻擊或使用單位直接受到大量Sessions(Flows)來攻擊,Flowviewer設備有DOS Attack功能可以偵測此方面的攻擊.
成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 2018/11/23 成功案例 類型 客戶 學校 中興大學、文化大學、輔仁大學、東海大學、彰化師範大學 屏東科技大學、陸軍官校、空軍官校、長庚大學 嶺東科技大學、中州科技大學、弘光科技大學 吳鳳科技大學、中正預校、國防大學(主校區,政治作戰,中正理工) 台中護專、彰化縣網中心、台東縣網中心 醫院 彰化秀傳醫院、台南奇美醫院 政府單位 國家高速網路中心(5台) 、立法院、國立台中美術館、苗栗警局 嘉義市政府資訊中心(針對GSN出口監控) 銀行 兆豐國際商銀(三重分行) 企業 MAERSK (貨櫃公司) 、台糖實業量販部、台灣現代商船
Customers
總 結 Demo site for Flowviewer series 同時具備接收sFlow及NetFlow 之logs功能。 2018/11/23 總 結 Demo site for Flowviewer series http://140.130.102.146 Account: curelan01 Password: 123456789 同時具備接收sFlow及NetFlow 之logs功能。 具備動態調整時段區間來查詢歷史犯罪記錄。 設備的技術採用收集網路流量來分析IP行為模式,而不是採用特徵碼(Pattern),所以不用管駭客攻擊的名稱,因此網路管理者根本不用花時間研究駭客攻擊的名稱。 自動阻斷SSH及RDP入侵途徑,防止駭客以此途徑入侵。 可以偵測UDP Flood Attacks、DOS Attacks 、DNS Attacks及NTP Attacks事件,並以搭配Core Switch下ACL指令來阻斷駭客攻擊。