Download presentation
Presentation is loading. Please wait.
1
Web ICQ 組別 第 10 組 胡藤耀 49390069 沈育澤 49390077 李逸聖 49390103
2
摘要 一、研究動機 二、研究方法 三、研究發現 四、研究結論
3
一、研究動機 由於修習資訊與通訊安全學程之故,而選修資 訊與通訊安全實習課程,因此本專題為重點學 習成果之項目。 想要多增加一點實務經驗,學而行,有時候不 如做而行。
4
二、研究方法 IPS 操作 BEMS 使用 測試 IPS 有對封包無觸發反應 網路串流封包分析 網路封包成功觸發 IPS 反應 網路應用軟體安裝 1. 文獻探討 2. 上課學習
5
三、研究發現 其實透過課堂上的學習後,只要是未加密過的 封包,要找出其特徵碼並非難事,因為透過 OSI 七層原理,可以知道網路封包的對應關係 與格式,未加密的封包,皆以明碼傳輸,側錄 封包,並分析其架構,就可以找到特徵碼,來 架構安全的過濾機制。 不同協定,網路封包傳輸機制的不同。
6
四、研究結論 專題研究過程中,學習到 IPS 的原理架構,也 學習到團隊的分工合作及時間配合等,許多的 互助合作之應有的共識。
7
Web_ICQ 簡介 一、 Web_ICQ 的簡介 二、 Web_ICQ 使用介紹 三、 Web_ICQ 應用的範圍
8
一、 Web_ICQ 的名稱 ICQ 是最早出現的即時通訊軟體之一。 ICQ 源 自以色列特拉維夫的 Mirabilis 公司(成立於 1996 年 7 月),由幾個以色列青年在 1996 年 11 月發明。 ICQ 是英文「 I SEEK YOU 」諧音,中文意思 是:我找你。
9
一、 Web_ICQ 的名稱 ICQ 是一款網路即時訊息傳呼軟體,支持在 Internet 上面聊天,以及發送消息、網址及文 件等功能。朋友雙方裝上 ICQ 軟體,上網時可 以互相聯絡。現時的還可以與朋友玩小遊戲、 進行視訊。 應用程式,我們選擇 Web ICQ ,網頁版的 ICQ , 功能較精簡,一樣可以線上即時傳訊,但無法 進行遊戲與視訊等等...
10
二、 Web_ICQ 使用介紹 下載 J2RE1.4.2_11 For W32 版本 , https://sdlc1d.sun.com/ECom/docs/Downloa d.jsp;jsessionid=213C998C6CF98FE9D6889 F3045856028 https://sdlc1d.sun.com/ECom/docs/Downloa d.jsp;jsessionid=213C998C6CF98FE9D6889 F3045856028
11
二、 Web_ICQ 使用介紹 安裝 J2RE1.4.2_11 程式 按完成
12
二、 Web_ICQ 使用介紹 開啟 Web ICQ 網頁 ( 網址: http://www.icq.com/download/icq2go/) http://www.icq.com/download/icq2go/ 點選 ICQ2Go! Java
13
二、 Web_ICQ 使用介紹 輸入 ICQ and Password , 按 Connect 輸入 ICQ 帳號和密碼, 點選 Connect
14
二、 Web_ICQ 使用介紹 開始使用網頁即時線上傳訊 如右圖示:登入成功
15
三、 Web_ICQ 應用的範圍 只要有安裝 Java(J2RE 程式 ) 都可以透過網頁來執行 Web IM(Instant messenger) , 不用特別安裝特定 ICQ 程式,透過網頁來執行, 跨平台極為方便。
16
Web_ICQ 可能帶來的資訊安全危害
17
Web_iCQ 帶來的資訊危害 病毒和蠕蟲透過 IM 散播 身份盜竊 穿透防火牆 資料安全漏洞 即時傳訊垃圾訊息 (Spim)
18
Web_iCQ 帶來的資訊危害 一、病毒和蠕蟲透過 IM 散播 病毒和蠕蟲的連結,透過 IM 達到更快的散播,加 上公共 IM 的用戶端所使用 IM 版本有程式漏洞,更可 以被用來散播攻擊,或者發起分散式阻斷服務攻擊 (DDoS) 。
19
Web_iCQ 帶來的資訊危害 二、身份盜竊 IM 不需透過 E-mail 往來,直接用匿稱辨識,因此 有可能取極為相近的匿稱,假借他人名義,來騙取 他人的信任,進而獲得相關資訊。例如:對象 ID 為 billgate ,攻擊者取名為 billgates ,假冒 billgate 身分, 獲取 billgate 聯絡人清單的信任。
20
Web_iCQ 帶來的資訊危害 三、穿透防火牆 可以有效的穿過防火牆,因為防火牆大都會開放 port 80 ,為了瀏覽網頁所需要,但是 Web IM 是屬 於 Web 服務,可以透過 port 80 來存取使用服務,造 成防火牆無法有效控管。更可能透過 https 加密,來 隱藏該 Web IM 的封包,防不勝防。
21
Web_iCQ 帶來的資訊危害 四、資料安全漏洞 使公司在不知情的情況下,暴露出敏感資訊,並 導致法律風險。 如:在公司資訊管理下,職員有可能利用 IM 傳送 公司機密文件,甚者在不經意的聊天中洩露敏感資 訊。因為 IM 難以追蹤,並有效過濾內容且及時發現。
22
Web_iCQ 帶來的資訊危害 五、即時傳訊垃圾訊息 (Spim) 「即時傳訊垃圾訊息」( IM 加 spam )被專家稱為 「 Spim 」,即使是少量的 spim ,也帶給用戶極大 的困擾,因為 IM 訊息一傳出,就即時顯現在電腦螢 幕上,令收訊者束手無策。 IM 濫發訊息也可能造成安全威脅。嵌入 IM 的超文 字連結可能以免費獎品、特別折扣或內容下載等好 康,誘拐使用者點選連結,導致病毒侵入企業內部 網路。嚴重的 spim 可能導致網路壅塞,影響應用程 式的執行效能。
23
網路環境架構 網路架構 測試電腦串聯硬體 IPS 後再與網際網路做連結;測 試電腦與網際網路均需通過硬體 IPS 才能對彼此傳遞 網路封包,而 IPS 由 BEMS 系統所建構的封包政策來對 欲通過 IPS 的封包做逐一的特徵比對,如果發現特定 封包便會依照 BEMS 系統的所指示的方式對該封包進 行處理。 測試電腦 (執行 WEB_ICQ 程式) 網際網路 ( WEB_ICQ 伺服端) 硬體 IPS BEMS 系統 (封包政策制定)
24
特徵碼分析 Web_ICQ_login 封包 Web_ICQ_logout 封包 Web_ICQ_addnewfriend 封包 Web_ICQ_addnewgroup 封包 Web_ICQ_SendMsg 封包
25
一、 Web_ICQ_login 特徵辨識碼封包分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 目的埠:大於 79 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為 Client 端的 IP 為 172.17.253.126 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : login 比對內容 3 : Revision 比對內容 4 : preakness
26
一、 Web_ICQ_login 完整封包擷取內容 nternet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 Secure Socket Layer 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00...o;......k..E. 0010 00 c3 3b d6 40 00 80 06 71 19 ac 11 fd 7e cd bc..;.@...q....~.. 0020 d5 f8 08 cd 01 bb 5a ed 80 33 88 9a 46 5d 50 18......Z..3..F]P. 0030 af be 2c 1c 00 00 2a 02 f0 03 00 95 74 6f 63 32..,...*.....toc2 0040 5f 6c 6f 67 69 6e 20 6c 6f 67 69 6e 2e 69 63 71 _login login.icq 0050 2e 63 6f 6d 20 35 31 39 30 20 34 33 30 39 36 38.com 5190 430968 0060 31 34 35 20 30 78 33 35 30 30 30 37 35 63 33 35 145 0x3500075c35 0070 35 61 35 32 36 33 20 22 65 6e 22 20 22 49 43 51 5a5263 "en" "ICQ 0080 54 49 43 3a 33 30 2e 32 2e 33 32 31 5c 24 52 65 TIC:30.2.321\$Re 0090 76 69 73 69 6f 6e 3a 20 31 2e 30 5c 24 22 20 31 vision: 1.0\$" 1 00a0 33 35 20 22 54 57 22 20 22 22 20 22 22 20 33 30 35 "TW" "" "" 30 00b0 20 32 20 33 32 31 20 2d 75 74 66 38 20 2d 70 72 2 321 -utf8 -pr 00c0 65 61 6b 6e 65 73 73 20 33 38 38 31 38 36 32 34 eakness 38818624 00d0 00.
27
二、 Web_ICQ_logout 特徵辨識碼封包分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 目的埠:大於 79 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為 Client 端的 IP 為 172.17.253.126 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 5 : ICQTIC 比對內容 2 : set 比對內容 3 : client 比對內容 4 : pref
28
二、 Web_ICQ_logout 完整封包擷取內容 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 Hypertext Transfer Protocol 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00...o;......k..E. 0010 00 5f 46 7c 40 00 80 06 66 d7 ac 11 fd 7e cd bc._F|@...f....~.. 0020 d5 f8 09 af 1f 90 7b 7b 54 ea 10 f0 aa 6b 50 18......{{T....kP. 0030 ac 72 05 80 00 00 2a 02 58 e7 00 31 74 6f 63 32.r....*.X..1toc2 0040 5f 73 65 74 5f 63 6c 69 65 6e 74 5f 70 72 65 66 _set_client_pref 0050 20 49 43 51 54 49 43 20 22 33 36 30 38 2c 30 2c ICQTIC "3608,0, 0060 30 2c 30 2c 36 30 2c 6e 75 6c 6c 22 00 0,0,60,null".
29
三、 Web_ICQ_addfriend 特徵辨識碼封包分 析 通訊協定: TCP Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 目的埠:大於 79 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為 Client 端的 IP 為 172.17.253.126 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : new 比對內容 3 : buddy
30
三、 Web_ICQ_addfriend 完整封包擷取內 容 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 Secure Socket Layer 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00...o;......k..E. 0010 00 62 3c bc 40 00 80 06 70 94 ac 11 fd 7e cd bc.b<.@...p....~.. 0020 d5 f8 08 d7 01 bb 98 40 84 8f 13 0d b7 75 50 18.......@.....uP. 0030 af 47 49 a4 00 00 2a 02 cc 30 00 34 74 6f 63 32.GI...*..0.4toc2 0040 5f 6e 65 77 5f 62 75 64 64 79 20 22 34 36 31 33 _new_buddy "4613 0050 30 39 34 34 38 22 20 22 42 75 64 64 69 65 73 22 09448" "Buddies“ 0060 20 22 6e 69 75 73 68 6f 6d 65 77 6f 72 6b 22 00 "niushomework".
31
四、 Web_ICQ_newgroup 特徵辨識碼封包分 析 通訊協定: TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 目的埠:大於 79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為 Client 端的 IP 為 172.17.253.126 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : new 比對內容 3 : group
32
四、 Web_ICQ_newgroup 完整封包擷取內 容 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 Hypertext Transfer Protocol Data (28 bytes) 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00...o;......k..E. 0010 00 44 46 f7 40 00 80 06 66 77 ac 11 fd 7e cd bc.DF.@...fw...~.. 0020 d5 f8 09 b8 1f 90 54 ca 90 c5 9d 47 56 5a 50 18......T....GVZP. 0030 ac 91 a5 00 00 00 2a 02 ed 71 00 16 74 6f 63 32......*..q..toc2 0040 5f 6e 65 77 5f 67 72 6f 75 70 20 22 61 6a 6f 79 _new_group "ajoy 0050 22 00 ".
33
五、 Web_ICQ_SendMsg 特徵辨識碼封包 分析 通訊協定: TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 來源埠:大於 1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 目的埠:大於 79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為 Client 端的 IP 為 172.17.253.126 ,顯示為來源端 (Src) ,方向規定由內向外 比對位移:不指定 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個 TCP 封包的 Payload 比對內容: 比對內容 1 : toc2 比對內容 2 : send 比對內容 3 : im
34
五、 Web_ICQ_SendMsg 完整封包擷取內 容 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 Hypertext Transfer Protocol Data (48 bytes) 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00...o;......k..E. 0010 00 58 48 fb 40 00 80 06 64 5f ac 11 fd 7e cd bc.XH.@...d_...~.. 0020 d5 f8 09 b8 1f 90 54 ca 91 8c 9d 47 56 b4 50 18......T....GV.P. 0030 ac 37 9b 84 00 00 2a 02 ed 78 00 2a 74 6f 63 32.7....*..x.*toc2 0040 5f 73 65 6e 64 5f 69 6d 20 34 36 31 33 30 39 34 _send_im 4613094 0050 34 38 20 22 6e 69 75 77 6f 72 64 31 22 20 6f 66 48 "niuword1" of 0060 66 6c 69 6e 65 00 fline.
35
心得分享
36
心得與經驗 對 ICQ 的了解。 對 TCP/IP 協定的重新認識。 培養解決問題的能力。 IPS 的管理與應用 更進一步認識到資訊安全的重要性
37
一、對 ICQ 的了解 之前並不了解什麼是 ICQ ,而且也不太清楚何 謂 Web_ICQ ,這是最早出來的即時通訊軟體,但 是接觸即時通訊軟體時間,卻是在 MSN 和雅虎即 時通熱門的時候,因此 ICQ 未曾使用過,當然也就 不清楚何謂 ICQ 的服務。在製作專題時開始去找一 些 ICQ 程式介紹,搜尋相關資訊,才對 ICQ 有了進 一步的了解。
38
二、對 TCP/IP 協定的重新認識。 三向握手協定 在觀察 WEB_ICQ 的封包串流時發現,在執行個別 不同的動作時,都會先執行一次三項握手協定,來 確定這些不同動作的資料傳送同步的時間。 封包串流 在擷取封包的時候常常會擷取到一些非報告所需 的封包,這時便會使用到封包串流的觀念,針對我 們所需的動作利用封包串流的概念進而過濾掉其餘 不必要的封包,這使得原本十分龐大且複雜的網路 封包,便得更容易觀察與分析。
39
三、培養解決問題的能力 註冊並使用該 Web ICQ 服務時,在利用 Ethereal 軟體 側錄 Web_ICQ 網路封包時候,卻發生封包無法順匯出 的問題,出現未知錯誤,故推測有可能是舊版軟體產 生的問題,因此去發掘到新版的 Ethereal 軟體並下載 使用。 新版的 Ethereal 跟原本的 Ethereal 有點不太一樣,因為 網路協定分析程式 Ethereal 的主要開發人員 Gerald Combs 從 NIS 跳槽到 CACE ,結果因為 Ethereal 的商 標是 NIS 公司的,而 NIS 公司並沒有打算要放棄商標。
40
三、培養解決問題的能力 在這情況下, Gerald Combs 只好公告說這個網路協 定分析程式的名稱改叫 Wireshark ,而因為他現在已 經沒有管理 NIS 那台機器的權限了,所以他也無法在 NIS 原站台上面公告,因此才會有相同的程式架構, 卻有不同的名字出現,當然舊版的 Ethereal 也早已經 暫停更新了。 後來利用 Wireshark ,就能順利匯出封包,進行封包分 析和特徵碼的製作。
41
四、 IPS 的管理與應用 清楚的了解到 BEMS 的安裝流程 網路封包如何製作特徵碼 透過 IPS 攔截過濾特定的規則封包 更多的網路攻擊手法及預防
42
五、認識到資訊安全的重要性 沒有不安全的系統,只有不安全的人,每個系 統都是安全的,但是今天管理系統和操作系統 的都是人,因為人的管理不當,使用者的操作 不當,就造成嚴重的資訊安全問題,輕者個人 資料外洩,重者國家機密外露,威脅國家安全, 重點並不是單純學習管理 IPS 系統,而是 IPS 只是輔助,真正要負起落實資訊安全觀念,是 每個網路使用者的責任。
43
參考資料
44
參考網址 維基百科 http://zh.wikipedia.org/w/index.php?title=ICQ&variant=zh-tw wireshark 官網 http://www.wireshark.org/ 苦牢之最後一年 http://blog.ijliao.info/archives/2006/06/10/2358/ Top 5 IM security risks http://www.networkworld.com/research/2004/0628imfeat5.html CNET 新聞 http://taiwan.cnet.com/news/software/0,2000064574,20088667,00.htm
45
報告完畢! 謝謝大家,請多指教 ~
Similar presentations