利用Netflow即時偵測蠕蟲攻擊報告人：王明輝報告日期：民國95年11月2日.

Slides:

Advertisements

Similar presentations

Copyright©2013 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without.

Advertisements

第 8 章 IP 基礎與定址.

数据通信与计算机网络第1讲绪论浙江万里学院邵鹏飞.

第 12 章 UDP 與 TCP.

计算机网络教程（第 2 版）第 7 章网络互连课件制作人：谢希仁.

中国科学技术大学肖明军《网络信息安全》中国科学技术大学肖明军

因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.

第6章 Internet与TCP/IP体系结构

Chapter 12 UDP 與 TCP.

计算机网络安全技术实验启动虚拟机、GIF、measpoilt、.

路由器的性能特点和工作原理两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构局域网中使用路由器的方案

数据转发过程.

NetGuru 創新網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作

路由器繞送協定- 第三章路由器動態繞送服務

安徽邮电职业技术学院计算机系赵正红 2009/2010学年第一学期

典型的路由器的结构路由选择处理机 3——网络层 2——数据链路层 1——物理层路由选择分组转发交换结构路由选择协议路由表

第3章路由技术—动态路由.

网络实用技术基础 Internet技术及应用.

Routing Protocols and Concepts – Chapter 3

第7章路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3　访问控制列表 7.4　网络地址转换（NAT）技术.

计算机网络吴功宜编著欢迎辞.

路由协议配置 1.0 此为封面页，需列出课程编码、课程名称和课程开发室名称。

网际协议：IP.

第 6 章 IP 遶送.

学习目标： 1）理解包和包过滤 2）理解包过滤的方法 3）设置特殊的包过滤规则

實驗8 ICMP協定分析實驗目的明瞭ICMP（Internet Control Message Protocol；網際網路控制訊息協定）的工作原理解析ICMP協定下封包資料傳送的格式。

張晃崚麟瑞科技股份有限公司網路基本概念/網路Router設定張晃崚麟瑞科技股份有限公司.

Core Switch 設定 Port的開啟與關閉 Virtual LAN建立將Port指定到Virtual LAN

传输层是整个协议层次的核心，其任务是在源机器和目标机器之间提供可靠的、性价比合理的数据传输功能，并与当前所使用的物理网络完全独立

第 12 章 UDP 與 TCP.

教师：陈有为 TCP/IP与Internet（A）教师：陈有为

Chapter 4 Network Layer (網路層).

David liang 数据通信安全教程防火墙技术及应用 David liang

IPv6 技術與服務台東大學電算中心郭俊賢技術師.

计算机网络原理计算机与信息工程分院周文峰.

第六章差错与控制报文 (ICMP).

CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A

TCP和UDP基本原理.

Internet Protocol (IP)

NetFilter IPTables.

32 bit destination IP address

访问控制列表（ACL） Version 1.0.

ARP, RARP & ICMP.

锐捷网络技术培训系列课程-（中级） OSPF协议培训组闵捷.

第 2 章 TCP / IP 簡介.

CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A

网络系统集成技术访问控制列表 Access Control List 第七章.

第4章 OSI傳輸層.

實驗目的明瞭可靠傳輸層的基礎觀念 TCP協定下區段資料傳送的格式

第七讲网际协议IP.

第5讲网络层本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例网络层的服务路由选择原理分层的路由选择 IP协议

劉大川1、陳一瑋2、陳昌盛1 、林盈達1,2 1交通大學計算機與網路中心 2交通大學網路測試中心 2008/10/20

子網路切割、變動長度的子網路遮罩 (VLSM) 與 TCP / IP 的檢修

第 12 章 UDP 與 TCP 著作權所有 © 旗標出版股份有限公司.

第十三章 TCP/IP 與 Internet 網路連結技術

第2讲网络安全协议基础此为封面页，需列出课程编码、课程名称和课程开发室名称。

Westmont College 网络互连 Part 4 (传输协议, UDP and TCP, 协议端口)

第13章 IPv6协议.

實驗5 IP協定分析明瞭IP（Internet Protocol；Internet協定）的基礎觀念

傳輸控制協議 /互聯網協議 TCP/IP.

Source: Journal of Network and Computer Applications, Vol. 125, No

網路安全管理期末報告 A 許之青 24/04/2019.

Chapter 11 使用者資料包通訊協定.

DoS、DDoS網路攻擊 A 沈惇鈺指導教授：梁明章.

科学架设和优化校园组网结构提升内部网络访问和管理水平

第4章网络层.

IP Layer Basics, Firewall, VPN, and NAT

DDoS A 林育全.

IP Layer Basics & Firewall

第 4 章网络层.

Presentation transcript:

利用Netflow即時偵測蠕蟲攻擊報告人：王明輝報告日期：民國95年11月2日

報告大綱緒論 Netflow 技術簡介研究架構與方法實驗結果與分析結論與未來研究方向

研究動機蠕蟲攻擊日益增加蠕蟲攻擊會影響網路效能第一隻引起網路癱瘓的蠕蟲-- CodeRed IPS阻擋蠕蟲需要耗費大量資源

研究目的利用 Netflow 技術，發展一個快速即時的蠕蟲偵測系統只使用少量的系統資源

Netflow 技術探討一個flow包含七個主要欄位：來源IP位址目的IP位址來源埠號目的埠號協定類型 ToS Byte值封包進入 Router 的介面編號

協定類型

協定類型 Value Protocol 1 ICMP 2 IGMP 6 TCP 9 IGRP 17 UDP 47 GRE 89 OSPF 115 L2TP

ToS (Type of Service)

ToS 位元用途 0-2 3 4 5 6-7 Precedence 0 = Normal Delay,1 = Low Delay 0 = Normal Throughput,1 = High Throughput 5 0 = Normal Reliability,1 = High Reliability 6-7 Reserved for Future Use

介面編號

Netflow 的運作流程

Netflow 封包格式

Netflow 封包 Header

Netflow 記錄欄位欄位位置說明 srcaddr 0-3 來源IP位址 dstaddr 4-7 目的IP位址 nexthop 8-11 下一站的路由器 IP位址 input 12-13 進入Interface的SNMP編號 output 14-15 出去Interface的SNMP編號 dPkts 16-19 Flow傳送的封包數 dOctets 20-23 Flow傳送的Byte數 first 24-27 Flow的起始時間

Netflow 記錄欄位 (Continued) 位置說明 last 28-31 Flow的結束時間 srcport 32-33 Layer 4協定的來源埠號 dstport 34-35 Layer 4協定的目的埠號 pad1 36 沒有使用到 tcp_flags 37 一個flow中所有封包的TCP旗標經過OR運算後的結果 prot 38 第四層所使用的協定(6=TCP，17=UDP)

Netflow 記錄欄位 (Continued) 位置說明 tos 39 IP的服務類型 (Type of service) src_as 40-41 來源的AS number dst_as 42-43 目的的AS number src_mask 44 來源位址的子網路遮罩 dst_mask 45 目的位址的子網路遮罩 pad2 46-47 沒有用到

Netflow 的取樣機制

Netflow 的設定 interface Serial0  進入 Serial 0 的介面設定 ip route-cache flow  開啟 Serial 0 的flow cache 功能 interface FastEthernet0  進入 FastEthernet0的介面設定 ip route-cache flow  開啟 FastEthernet0的flow cache功能 ip flow-export version 5  設定輸出的封包格式為version 5 ip flow-export destination 163.18.17.10 9991  指定收集器的IP和埠號

Netflow 的運作模式

Netflow 的運作模式 (Continued)

Netflow 的相關應用網路應用的分析 IP計量與計費網路規劃流量工程網路安全分析

蠕蟲病毒的基本結構傳播模組：負責蠕蟲的傳播。隱藏模組：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。目的功能模組：實現對電腦的控制、監視或破壞等功能。

一般蠕蟲程式的傳播步驟 (一) 掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包，並成功收到回應後，就得到一個可傳播的對象。 (二) 攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象，取得該主機的權限。 (三) 複製：復製模組通過原主機和新主機的連線，將蠕蟲程式複製到新主機並啟動。

蠕蟲對網路的影響網路設備當機 (High CPU Utilization) 路由不穩定 NAT Table Full Route Cache Full

異常流量分析 Threshold Tcp Flag

系統架構

系統運作流程

攻擊行為 ICMP掃描 TCP SYN掃描 UDP Flood SYN Flood

ICMP 掃描偵測

TCP SYN 掃描偵測

TCP SYN 掃描偵測改良

UDP Flood 掃描偵測

UDP Flood 掃描偵測 (Cont.)

SYN Flood 掃描攻擊者正常伺服器來源 IP = 亂數 TCP SYN 封包 - ACK

實驗結果已知蠕蟲偵測

加權計分方式

UDP 攻擊偵測

DOS 攻擊偵測

結論及未來研究工作結論本系統可確實有效偵測蠕蟲攻擊 P2P軟體常造成誤判 Netflow 先天限制造成時效差異