利用Netflow即时侦测蠕虫课件.ppt

1、利用Netflow即時偵測蠕蟲攻擊報告人：王明輝報告日期：民國95年11月2日報告大綱l緒論lNetflow 技術簡介l研究架構與方法l實驗結果與分析l結論與未來研究方向研究動機l蠕蟲攻擊日益增加l蠕蟲攻擊會影響網路效能l第一隻引起網路癱瘓的蠕蟲- CodeRedlIPS阻擋蠕蟲需要耗費大量資源研究目的l利用 Netflow 技術，發展一個快速即時的蠕蟲偵測系統l只使用少量的系統資源Netflow 技術探討l一個flow包含七個主要欄位：l來源IP位址l目的IP位址l來源埠號l目的埠號l協定類型lToS Byte值l封包進入 Router 的介面編號協定類型協定類型ValueProtocol1

2、ICMP2IGMP6TCP9IGRP17UDP47GRE89OSPF115L2TPToS (Type of Service)ToS位元用途0-2Precedence30 = Normal Delay,1 = Low Delay40 = Normal Throughput,1 = High Throughput 50 = Normal Reliability,1 = High Reliability 6-7Reserved for Future Use 介面編號Netflow 的運作流程Netflow 封包格式Netflow 封包 HeaderNetflow 記錄欄位欄位 位置說明 srcadd

3、r 0-3 來源IP位址 dstaddr 4-7目的IP位址 nexthop 8-11 下一站的路由器 IP位址 input 12-13進入Interface的SNMP編號 output 14-15出去Interface的SNMP編號 dPkts 16-19 Flow傳送的封包數dOctets 20-23Flow傳送的Byte數 first 24-27 Flow的起始時間 Netflow 記錄欄位 (Continued)欄位 位置說明 last 28-31 Flow的結束時間srcport 32-33 Layer 4協定的來源埠號 dstport 34-35Layer 4協定的目的埠號 pad

4、1 36 沒有使用到 tcp_flags37 一個flow中所有封包的TCP旗標經過OR運算後的結果prot 38 第四層所使用的協定(6=TCP，17=UDP)Netflow 記錄欄位 (Continued)欄位 位置說明 tos 39 IP的服務類型 (Type of service) src_as40-41來源的AS numberdst_as42-43目的的AS numbersrc_mask44 來源位址的子網路遮罩dst_mask45目的位址的子網路遮罩pad246-47沒有用到Netflow 的取樣機制Netflow 的設定interface Serial0 進入 Serial 0

5、的介面設定 ip route-cache flow 開啟 Serial 0 的flow cache 功能interface FastEthernet0 進入 FastEthernet0的介面設定 ip route-cache flow 開啟 FastEthernet0的flow cache功能ip flow-export version 5 設定輸出的封包格式為version 5ip flow-export destination 163.18.17.10 9991 指定收集器的IP和埠號Netflow 的運作模式Netflow 的運作模式 (Continued)Netflow 的相關應用l網

6、路應用的分析 lIP計量與計費 l網路規劃 l流量工程 l網路安全分析 蠕蟲病毒的基本結構 l傳播模組：負責蠕蟲的傳播。l隱藏模組：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。l目的功能模組：實現對電腦的控制、監視或破壞等功能。一般蠕蟲程式的傳播步驟 (一) 掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包，並成功收到回應後，就得到一個可傳播的對象。(二) 攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象，取得該主機的權限。(三) 複製：復製模組通過原主機和新主機的連線，將蠕蟲程式複製到新主機並啟動。蠕蟲對網路的影響l網路設備當機 (High CPU

7、 Utilization)l路由不穩定lNAT Table FulllRoute Cache Full異常流量分析lThresholdlTcp Flag系統架構系統運作流程攻擊行為lICMP掃描lTCP SYN掃描lUDP FloodlSYN FloodICMP 掃描偵測TCP SYN 掃描偵測TCP SYN 掃描偵測改良UDP Flood 掃描偵測UDP Flood 掃描偵測 (Cont.)SYN Flood 掃描攻擊者正常伺服器來源 IP = 亂數TCP SYN 封包TCP SYN-ACK封包TCP SYN-ACK封包TCP SYN-ACK封包TCP SYN-ACK封包TCP SYN-ACK封包TCP SYN-ACK封包TCP SYN-ACK封包實驗結果l已知蠕蟲偵測加權計分方式UDP 攻擊偵測DOS 攻擊偵測結論及未來研究工作l結論l本系統可確實有效偵測蠕蟲攻擊lP2P軟體常造成誤判lNetflow 先天限制造成時效差異