利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日
報告大綱 緒論 Netflow 技術簡介 研究架構與方法 實驗結果與分析 結論與未來研究方向
研究動機 蠕蟲攻擊日益增加 蠕蟲攻擊會影響網路效能 第一隻引起網路癱瘓的蠕蟲-- CodeRed IPS阻擋蠕蟲需要耗費大量資源
研究目的 利用 Netflow 技術,發展一個快速即時的蠕蟲偵測系統 只使用少量的系統資源
Netflow 技術探討 一個flow包含七個主要欄位: 來源IP位址 目的IP位址 來源埠號 目的埠號 協定類型 ToS Byte值 封包進入 Router 的介面編號
協定類型
協定類型 Value Protocol 1 ICMP 2 IGMP 6 TCP 9 IGRP 17 UDP 47 GRE 89 OSPF 115 L2TP
ToS (Type of Service)
ToS 位元 用途 0-2 3 4 5 6-7 Precedence 0 = Normal Delay,1 = Low Delay 0 = Normal Throughput,1 = High Throughput 5 0 = Normal Reliability,1 = High Reliability 6-7 Reserved for Future Use
介面編號
Netflow 的運作流程
Netflow 封包格式
Netflow 封包 Header
Netflow 記錄欄位 欄位 位置 說明 srcaddr 0-3 來源IP位址 dstaddr 4-7 目的IP位址 nexthop 8-11 下一站的路由器 IP位址 input 12-13 進入Interface的SNMP編號 output 14-15 出去Interface的SNMP編號 dPkts 16-19 Flow傳送的封包數 dOctets 20-23 Flow傳送的Byte數 first 24-27 Flow的起始時間
Netflow 記錄欄位 (Continued) 位置 說明 last 28-31 Flow的結束時間 srcport 32-33 Layer 4協定的來源埠號 dstport 34-35 Layer 4協定的目的埠號 pad1 36 沒有使用到 tcp_flags 37 一個flow中所有封包的TCP旗標經過OR運算後的結果 prot 38 第四層所使用的協定(6=TCP,17=UDP)
Netflow 記錄欄位 (Continued) 位置 說明 tos 39 IP的服務類型 (Type of service) src_as 40-41 來源的AS number dst_as 42-43 目的的AS number src_mask 44 來源位址的子網路遮罩 dst_mask 45 目的位址的子網路遮罩 pad2 46-47 沒有用到
Netflow 的取樣機制
Netflow 的設定 interface Serial0 進入 Serial 0 的介面設定 ip route-cache flow 開啟 Serial 0 的flow cache 功能 interface FastEthernet0 進入 FastEthernet0的介面設定 ip route-cache flow 開啟 FastEthernet0的flow cache功能 ip flow-export version 5 設定輸出的封包格式為version 5 ip flow-export destination 163.18.17.10 9991 指定收集器的IP和埠號
Netflow 的運作模式
Netflow 的運作模式 (Continued)
Netflow 的相關應用 網路應用的分析 IP計量與計費 網路規劃 流量工程 網路安全分析
蠕蟲病毒的基本結構 傳播模組:負責蠕蟲的傳播。 隱藏模組:侵入主機後,隱藏蠕蟲程序,防止被用戶發現。 目的功能模組:實現對電腦的控制、監視或破壞等功能。
一般蠕蟲程式的傳播步驟 (一) 掃描:由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包,並成功收到回應後,就得到一個可傳播的對象。 (二) 攻擊:攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象,取得該主機的權限。 (三) 複製:復製模組通過原主機和新主機的連線,將蠕蟲程式複製到新主機並啟動。
蠕蟲對網路的影響 網路設備當機 (High CPU Utilization) 路由不穩定 NAT Table Full Route Cache Full
異常流量分析 Threshold Tcp Flag
系統架構
系統運作流程
攻擊行為 ICMP掃描 TCP SYN掃描 UDP Flood SYN Flood
ICMP 掃描偵測
TCP SYN 掃描偵測
TCP SYN 掃描偵測改良
UDP Flood 掃描偵測
UDP Flood 掃描偵測 (Cont.)
SYN Flood 掃描 攻擊者 正常伺服器 來源 IP = 亂數 TCP SYN 封包 - ACK
實驗結果 已知蠕蟲偵測
加權計分方式
UDP 攻擊偵測
DOS 攻擊偵測
結論及未來研究工作 結論 本系統可確實有效偵測蠕蟲攻擊 P2P軟體常造成誤判 Netflow 先天限制造成時效差異