校園網路流量監測 與 系統異常檢測
監測系統 Ping 網路服務偵測系統 MRTG NetFlow LikeScan http://ping.tn.edu.tw http://192.83.190.237/RLC/ MRTG http://mrtg.tn.edu.tw NetFlow http://netflow.tn.edu.tw LikeScan http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html
PING 學校www主機連通率區分為三種情況: 100% 、 90% 、 80%以下 ;分別以 綠色 、黃色 、 紅色 表示。
PING 狀況1:跳電、系統更新 網路斷線、DNS、 防火牆 狀況2:區域網路異常 狀況3:系統更新、 駭客攻擊、區網異常
網路服務偵測 http://192.83.190.237/RLC/
TANET 網路維運中心 http://nms.moe.edu.tw/
MRTG 狀況1:電腦中毒 僵屍電腦 狀況2:mail無法 寄出 狀況3:駭客入侵 狀況4:LOOP
NetFlow 當天7時、9時、12時、15時統計一次
NetFlow 流量統計 學校流出到TANET前100名統計
MailVirus 每日統計一次 監測SMTP協定 http://netflow.tn.edu.tw/mailVirus/html/20090820/daily.html
如何看懂 likeScan ? 網址 http://netflow.tn.edu.tw/likeScan/down.html 記錄每10分鐘 (主機:port)依flows數排出前100名 共有6組數字,分別用” . ”區隔( 例:120.115.32.30.6.25) 前4組為IP位置120.115.34.254 第5組為協定 6:TCP , 17: UDP 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) 目標主機:代表不同主機數 FLOW:代表一次的行為 PACKETS : 封包數 Bytes:封包大小 ※ 120.115.32.30 10分鐘內向1301台主機寄了4892次的信,很明顯超出正常合理行為,判定為異常。
LikeScan 統計各IP和PORT連線狀態 http://netflow.tn.edu.tw/likeScan/html/20100222/10-0.html ※ 120.115.23.26 10分鐘內透過TCP 445 對 282台主機做了282次的連線,Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒,且透過TCP 445 做Scan行為,試途去感染其它電腦。
ESET SysInspector 軟體名稱: ESET SysInspector(NOD32免費系統檢測軟體) 官方網站 、 軟體下載 官方網站 、 軟體下載 ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和網路連接的免費應用程式。 藉由ESET SysInspector匯出 的記錄檔,把電腦中所收集 到的系統數據和資料傳送給 專業人員分析和威脅評估 。
案例分析 163.26.57.45在likeScan上看到有異常的TCP 445連線行為 使用ESET SysInspector對該電腦進行分析
VirSCAN 線上掃毒服務 網址:http://www.virscan.org/ 整合「37個防毒軟體」的線上掃毒服務! 相類似網站http://www.virustotal.com/
ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具 網址http://www.threatexpert.com/ submit.aspx
結語 每日至少能觀察學校流量狀況一次。 每日至少能觀察學校連通狀況一次。 電腦異常時處理步驟 請將有問題的電腦離線,阻止災害持續擴大。 使用工具軟體找尋可疑的程式和病毒並移除。 更新作業系統、病毒碼與相關應用程式至最新版本。 若問題還是存在,則重新安裝作業系統。