利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.

Slides:



Advertisements
Similar presentations
Copyright©2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without.
Advertisements

第 8 章 IP 基礎與定址.
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
第 12 章 UDP 與 TCP.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
第6章 Internet与TCP/IP体系结构
Chapter 12 UDP 與 TCP.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
路由器的性能特点和工作原理 两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构 局域网中使用路由器的方案
数据转发过程.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
路由器繞送協定- 第三章 路由器動態繞送服務
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
第3章 路由技术—动态路由.
网络实用技术基础 Internet技术及应用.
Routing Protocols and Concepts – Chapter 3
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
计算机网络 吴功宜 编著 欢迎辞.
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
网际协议:IP.
第 6 章 IP 遶送.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
張晃崚 麟瑞科技股份有限公司 網路基本概念/網路Router設定 張晃崚 麟瑞科技股份有限公司.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
传输层是整个协议层次的核心,其任务是在源机器和目标机器之间提供可靠的、性价比合理的数据传输功能,并与当前所使用的物理网络完全独立
第 12 章 UDP 與 TCP.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
Chapter 4 Network Layer (網路層).
David liang 数据通信安全教程 防火墙技术及应用 David liang
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
计算机网络原理 计算机与信息工程分院 周文峰.
第六章 差错与控制报文 (ICMP).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
TCP和UDP基本原理.
Internet Protocol (IP)
NetFilter IPTables.
32 bit destination IP address
访问控制列表(ACL) Version 1.0.
ARP, RARP & ICMP.
锐捷网络技术培训系列课程-(中级) OSPF协议 培训组 闵 捷.
第 2 章 TCP / IP 簡介.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
网络系统集成技术 访问控制列表 Access Control List 第七章.
第4章 OSI傳輸層.
實驗目的 明瞭可靠傳輸層的基礎觀念 TCP協定下區段資料傳送的格式
第七讲 网际协议IP.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
子網路切割、變動長度的子網路遮罩 (VLSM) 與 TCP / IP 的檢修
第 12 章 UDP 與 TCP 著作權所有 © 旗標出版股份有限公司.
第十三章 TCP/IP 與 Internet 網路連結技術
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Westmont College 网络互连 Part 4 (传输协议, UDP and TCP, 协议端口)
第13章 IPv6协议.
實驗5 IP協定分析 明瞭IP(Internet Protocol;Internet協定)的基礎觀念
傳輸控制協議 /互聯網協議 TCP/IP.
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
Chapter 11 使用者資料包通訊協定.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
第4章 网络层.
IP Layer Basics, Firewall, VPN, and NAT
DDoS A 林育全.
IP Layer Basics & Firewall
第 4 章 网络层.
Presentation transcript:

利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日

報告大綱 緒論 Netflow 技術簡介 研究架構與方法 實驗結果與分析 結論與未來研究方向

研究動機 蠕蟲攻擊日益增加 蠕蟲攻擊會影響網路效能 第一隻引起網路癱瘓的蠕蟲-- CodeRed IPS阻擋蠕蟲需要耗費大量資源

研究目的 利用 Netflow 技術,發展一個快速即時的蠕蟲偵測系統 只使用少量的系統資源

Netflow 技術探討 一個flow包含七個主要欄位: 來源IP位址 目的IP位址 來源埠號 目的埠號 協定類型 ToS Byte值 封包進入 Router 的介面編號

協定類型

協定類型 Value Protocol 1 ICMP 2 IGMP 6 TCP 9 IGRP 17 UDP 47 GRE 89 OSPF 115 L2TP

ToS (Type of Service)

ToS 位元 用途 0-2 3 4 5 6-7 Precedence 0 = Normal Delay,1 = Low Delay 0 = Normal Throughput,1 = High Throughput 5 0 = Normal Reliability,1 = High Reliability 6-7 Reserved for Future Use

介面編號

Netflow 的運作流程

Netflow 封包格式

Netflow 封包 Header

Netflow 記錄欄位 欄位 位置 說明 srcaddr 0-3 來源IP位址 dstaddr 4-7 目的IP位址 nexthop 8-11 下一站的路由器 IP位址 input 12-13 進入Interface的SNMP編號 output 14-15 出去Interface的SNMP編號 dPkts 16-19 Flow傳送的封包數 dOctets 20-23 Flow傳送的Byte數 first 24-27 Flow的起始時間

Netflow 記錄欄位 (Continued) 位置 說明 last 28-31 Flow的結束時間 srcport 32-33 Layer 4協定的來源埠號 dstport 34-35 Layer 4協定的目的埠號 pad1 36 沒有使用到 tcp_flags 37 一個flow中所有封包的TCP旗標經過OR運算後的結果 prot 38 第四層所使用的協定(6=TCP,17=UDP)

Netflow 記錄欄位 (Continued) 位置 說明 tos 39 IP的服務類型 (Type of service) src_as 40-41 來源的AS number dst_as 42-43 目的的AS number src_mask 44 來源位址的子網路遮罩 dst_mask 45 目的位址的子網路遮罩 pad2 46-47 沒有用到

Netflow 的取樣機制

Netflow 的設定 interface Serial0  進入 Serial 0 的介面設定 ip route-cache flow  開啟 Serial 0 的flow cache 功能 interface FastEthernet0  進入 FastEthernet0的介面設定 ip route-cache flow  開啟 FastEthernet0的flow cache功能 ip flow-export version 5  設定輸出的封包格式為version 5 ip flow-export destination 163.18.17.10 9991  指定收集器的IP和埠號

Netflow 的運作模式

Netflow 的運作模式 (Continued)

Netflow 的相關應用 網路應用的分析 IP計量與計費 網路規劃 流量工程 網路安全分析

蠕蟲病毒的基本結構 傳播模組:負責蠕蟲的傳播。 隱藏模組:侵入主機後,隱藏蠕蟲程序,防止被用戶發現。 目的功能模組:實現對電腦的控制、監視或破壞等功能。

一般蠕蟲程式的傳播步驟 (一) 掃描:由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包,並成功收到回應後,就得到一個可傳播的對象。 (二) 攻擊:攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象,取得該主機的權限。 (三) 複製:復製模組通過原主機和新主機的連線,將蠕蟲程式複製到新主機並啟動。

蠕蟲對網路的影響 網路設備當機 (High CPU Utilization) 路由不穩定 NAT Table Full Route Cache Full

異常流量分析 Threshold Tcp Flag

系統架構

系統運作流程

攻擊行為 ICMP掃描 TCP SYN掃描 UDP Flood SYN Flood

ICMP 掃描偵測

TCP SYN 掃描偵測

TCP SYN 掃描偵測改良

UDP Flood 掃描偵測

UDP Flood 掃描偵測 (Cont.)

SYN Flood 掃描 攻擊者 正常伺服器 來源 IP = 亂數 TCP SYN 封包 - ACK

實驗結果 已知蠕蟲偵測

加權計分方式

UDP 攻擊偵測

DOS 攻擊偵測

結論及未來研究工作 結論 本系統可確實有效偵測蠕蟲攻擊 P2P軟體常造成誤判 Netflow 先天限制造成時效差異