450 likes | 618 Views
Web ICQ. 組別 第 10 組 胡藤耀 49390069 沈育澤 49390077 李逸聖 49390103. 摘要. 一、研究動機 二、研究方法 三、研究發現 四、研究結論. 一、研究動機. 由於修習資訊與通訊安全學程之故,而選修資訊與通訊安全實習課程,因此本專題為重點學習成果之項目。 想要多增加一點實務經驗,學而行,有時候不如做而行。. 網路串流封包分析. 網路應用軟體安裝. BEMS 使用. 1. 文獻探討 2. 上課學習. IPS 操作. 測試 IPS 有對封包無觸發反應. 網路封包成功觸發 IPS 反應.
E N D
Web ICQ 組別 第10組 胡藤耀 49390069 沈育澤 49390077 李逸聖 49390103
摘要 一、研究動機 二、研究方法 三、研究發現 四、研究結論
一、研究動機 • 由於修習資訊與通訊安全學程之故,而選修資訊與通訊安全實習課程,因此本專題為重點學習成果之項目。 • 想要多增加一點實務經驗,學而行,有時候不如做而行。
網路串流封包分析 網路應用軟體安裝 BEMS使用 1.文獻探討 2.上課學習 IPS操作 測試IPS有對封包無觸發反應 網路封包成功觸發IPS反應 二、研究方法
三、研究發現 • 其實透過課堂上的學習後,只要是未加密過的封包,要找出其特徵碼並非難事,因為透過OSI七層原理,可以知道網路封包的對應關係與格式,未加密的封包,皆以明碼傳輸,側錄封包,並分析其架構,就可以找到特徵碼,來架構安全的過濾機制。 • 不同協定,網路封包傳輸機制的不同。
四、研究結論 • 專題研究過程中,學習到IPS的原理架構,也學習到團隊的分工合作及時間配合等,許多的互助合作之應有的共識。
Web_ICQ簡介 一、Web_ICQ的簡介 二、Web_ICQ使用介紹 三、Web_ICQ應用的範圍
一、Web_ICQ的名稱 • ICQ是最早出現的即時通訊軟體之一。ICQ源自以色列特拉維夫的Mirabilis公司(成立於1996年7月),由幾個以色列青年在1996年11月發明。 • ICQ是英文「I SEEK YOU」諧音,中文意思是:我找你。
一、Web_ICQ的名稱 • ICQ是一款網路即時訊息傳呼軟體,支持在Internet上面聊天,以及發送消息、網址及文件等功能。朋友雙方裝上ICQ軟體,上網時可以互相聯絡。現時的還可以與朋友玩小遊戲、進行視訊。 • 應用程式,我們選擇Web ICQ,網頁版的ICQ,功能較精簡,一樣可以線上即時傳訊,但無法進行遊戲與視訊等等...
二、Web_ICQ使用介紹 • 下載J2RE1.4.2_11 For W32版本 ,https://sdlc1d.sun.com/ECom/docs/Download.jsp;jsessionid=213C998C6CF98FE9D6889F3045856028
按完成 二、Web_ICQ使用介紹 • 安裝J2RE1.4.2_11程式
二、Web_ICQ使用介紹 • 開啟Web ICQ網頁 (網址:http://www.icq.com/download/icq2go/) 點選ICQ2Go! Java
輸入ICQ帳號和密碼, 點選Connect 二、Web_ICQ使用介紹 • 輸入ICQ and Password, 按Connect
二、Web_ICQ使用介紹 • 開始使用網頁即時線上傳訊 如右圖示:登入成功
三、Web_ICQ應用的範圍 • 只要有安裝Java(J2RE程式) • 都可以透過網頁來執行Web IM(Instant messenger), • 不用特別安裝特定ICQ程式,透過網頁來執行,跨平台極為方便。
Web_iCQ帶來的資訊危害 • 病毒和蠕蟲透過IM散播 • 身份盜竊 • 穿透防火牆 • 資料安全漏洞 • 即時傳訊垃圾訊息(Spim)
Web_iCQ帶來的資訊危害 一、病毒和蠕蟲透過IM散播 病毒和蠕蟲的連結,透過IM達到更快的散播,加上公共IM的用戶端所使用IM版本有程式漏洞,更可以被用來散播攻擊,或者發起分散式阻斷服務攻擊(DDoS)。
Web_iCQ帶來的資訊危害 二、身份盜竊 IM不需透過E-mail往來,直接用匿稱辨識,因此有可能取極為相近的匿稱,假借他人名義,來騙取他人的信任,進而獲得相關資訊。例如:對象ID為billgate,攻擊者取名為billgates,假冒billgate身分,獲取billgate聯絡人清單的信任。
Web_iCQ帶來的資訊危害 三、穿透防火牆 可以有效的穿過防火牆,因為防火牆大都會開放port 80,為了瀏覽網頁所需要,但是Web IM是屬於Web服務,可以透過port 80來存取使用服務,造成防火牆無法有效控管。更可能透過https加密,來隱藏該Web IM的封包,防不勝防。
Web_iCQ帶來的資訊危害 四、資料安全漏洞 使公司在不知情的情況下,暴露出敏感資訊,並導致法律風險。 如:在公司資訊管理下,職員有可能利用IM傳送公司機密文件,甚者在不經意的聊天中洩露敏感資訊。因為IM難以追蹤,並有效過濾內容且及時發現。
Web_iCQ帶來的資訊危害 五、即時傳訊垃圾訊息(Spim) 「即時傳訊垃圾訊息」(IM加spam)被專家稱為「Spim」,即使是少量的spim,也帶給用戶極大的困擾,因為IM訊息一傳出,就即時顯現在電腦螢幕上,令收訊者束手無策。 IM濫發訊息也可能造成安全威脅。嵌入IM的超文字連結可能以免費獎品、特別折扣或內容下載等好康,誘拐使用者點選連結,導致病毒侵入企業內部網路。嚴重的spim可能導致網路壅塞,影響應用程式的執行效能。
網路環境架構 網際網路 (WEB_ICQ伺服端) • 網路架構 測試電腦串聯硬體IPS後再與網際網路做連結;測試電腦與網際網路均需通過硬體IPS才能對彼此傳遞網路封包,而IPS由BEMS系統所建構的封包政策來對欲通過IPS的封包做逐一的特徵比對,如果發現特定封包便會依照BEMS系統的所指示的方式對該封包進行處理。 測試電腦 (執行WEB_ICQ程式) 硬體IPS BEMS系統 (封包政策制定)
特徵碼分析 Web_ICQ_login封包 Web_ICQ_logout封包 Web_ICQ_addnewfriend封包 Web_ICQ_addnewgroup封包 Web_ICQ_SendMsg封包
一、Web_ICQ_login特徵辨識碼封包分析 • 通訊協定:TCP Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 • 來源埠:大於1023 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 • 目的埠:大於79 Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 • 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248(205.188.213.248) 因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外 • 比對位移:不指定 • 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload • 比對內容: 比對內容1:toc2 比對內容2:login 比對內容3:Revision 比對內容4:preakness
一、 Web_ICQ_login完整封包擷取內容 • nternet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) • Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq: 34, Ack: 11, Len: 155 • Secure Socket Layer 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E. 0010 00 c3 3b d6 40 00 80 06 71 19 ac 11 fd 7e cd bc ..;.@...q....~.. 0020 d5 f8 08 cd 01 bb 5a ed 80 33 88 9a 46 5d 50 18 ......Z..3..F]P. 0030 af be 2c 1c 00 00 2a 02 f0 03 00 95 74 6f 63 32 ..,...*.....toc2 0040 5f 6c 6f 67 69 6e 20 6c 6f 67 69 6e 2e 69 63 71 _login login.icq 0050 2e 63 6f 6d 20 35 31 39 30 20 34 33 30 39 36 38 .com 5190 430968 0060 31 34 35 20 30 78 33 35 30 30 30 37 35 63 33 35 145 0x3500075c35 0070 35 61 35 32 36 33 20 22 65 6e 22 20 22 49 43 51 5a5263 "en" "ICQ 0080 54 49 43 3a 33 30 2e 32 2e 33 32 31 5c 24 52 65 TIC:30.2.321\$Re 0090 76 69 73 69 6f 6e 3a 20 31 2e 30 5c 24 22 20 31 vision: 1.0\$" 1 00a0 33 35 20 22 54 57 22 20 22 22 20 22 22 20 33 30 35 "TW" "" "" 30 00b0 20 32 20 33 32 31 20 2d 75 74 66 38 20 2d 70 72 2 321 -utf8 -pr 00c0 65 61 6b 6e 65 73 73 20 33 38 38 31 38 36 32 34 eakness 38818624 00d0 00 .
二、Web_ICQ_logout特徵辨識碼封包分析 • 通訊協定:TCP Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq:0, Ack: 0, Len: 55 • 來源埠:大於1023 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 • 目的埠:大於79 Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 • 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外 • 比對位移:不指定 • 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload • 比對內容: 比對內容1:toc2 比對內容5:ICQTIC 比對內容2:set 比對內容3:client 比對內容4:pref
二、Web_ICQ_logout完整封包擷取內容 • Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) • Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 55 • Hypertext Transfer Protocol 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E. 0010 00 5f 46 7c 40 00 80 06 66 d7 ac 11 fd 7e cd bc ._F|@...f....~.. 0020 d5 f8 09 af 1f 90 7b 7b 54 ea 10 f0 aa 6b 50 18 ......{{T....kP. 0030 ac 72 05 80 00 00 2a 02 58 e7 00 31 74 6f 63 32 .r....*.X..1toc2 0040 5f 73 65 74 5f 63 6c 69 65 6e 74 5f 70 72 65 66 _set_client_pref 0050 20 49 43 51 54 49 43 20 22 33 36 30 38 2c 30 2c ICQTIC "3608,0, 0060 30 2c 30 2c 36 30 2c 6e 75 6c 6c 22 00 0,0,60,null".
三、Web_ICQ_addfriend特徵辨識碼封包分析 • 通訊協定:TCP Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 • 來源埠:大於1023 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 • 目的埠:大於79 Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 • 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外 • 比對位移:不指定 • 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload • 比對內容: 比對內容1:toc2 比對內容2:new 比對內容3:buddy
三、Web_ICQ_addfriend完整封包擷取內容 • Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) • Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq: 44, Ack: 108, Len: 58 • Secure Socket Layer 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E. 0010 00 62 3c bc 40 00 80 06 70 94 ac 11 fd 7e cd bc .b<.@...p....~.. 0020 d5 f8 08 d7 01 bb 98 40 84 8f 13 0d b7 75 50 18 .......@.....uP. 0030 af 47 49 a4 00 00 2a 02 cc 30 00 34 74 6f 63 32 .GI...*..0.4toc2 0040 5f 6e 65 77 5f 62 75 64 64 79 20 22 34 36 31 33 _new_buddy "4613 0050 30 39 34 34 38 22 20 22 42 75 64 64 69 65 73 22 09448" "Buddies“ 0060 20 22 6e 69 75 73 68 6f 6d 65 77 6f 72 6b 22 00 "niushomework".
四、Web_ICQ_newgroup特徵辨識碼封包分析 • 通訊協定:TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 • 來源埠:大於1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 • 目的埠:大於79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 • 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外 • 比對位移:不指定 • 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload • 比對內容: 比對內容1:toc2 比對內容2:new 比對內容3:group
四、Web_ICQ_newgroup完整封包擷取內容 • Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) • Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 28 • Hypertext Transfer Protocol • Data (28 bytes) 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E. 0010 00 44 46 f7 40 00 80 06 66 77 ac 11 fd 7e cd bc .DF.@...fw...~.. 0020 d5 f8 09 b8 1f 90 54 ca 90 c5 9d 47 56 5a 50 18 ......T....GVZP. 0030 ac 91 a5 00 00 00 2a 02 ed 71 00 16 74 6f 63 32 ......*..q..toc2 0040 5f 6e 65 77 5f 67 72 6f 75 70 20 22 61 6a 6f 79 _new_group "ajoy 0050 22 00 ".
五、Web_ICQ_SendMsg特徵辨識碼封包分析 • 通訊協定:TCP Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 • 來源埠:大於1023 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 • 目的埠:大於79 Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 • 方向性:由內向外 Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) 因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外 • 比對位移:不指定 • 比對長度:不指定 比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload • 比對內容: 比對內容1:toc2 比對內容2:send 比對內容3:im
五、Web_ICQ_SendMsg完整封包擷取內容 • Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248 (205.188.213.248) • Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq: 0, Ack: 0, Len: 48 • Hypertext Transfer Protocol • Data (48 bytes) 0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E. 0010 00 58 48 fb 40 00 80 06 64 5f ac 11 fd 7e cd bc .XH.@...d_...~.. 0020 d5 f8 09 b8 1f 90 54 ca 91 8c 9d 47 56 b4 50 18 ......T....GV.P. 0030 ac 37 9b 84 00 00 2a 02 ed 78 00 2a 74 6f 63 32 .7....*..x.*toc2 0040 5f 73 65 6e 64 5f 69 6d 20 34 36 31 33 30 39 34 _send_im 4613094 0050 34 38 20 22 6e 69 75 77 6f 72 64 31 22 20 6f 66 48 "niuword1" of 0060 66 6c 69 6e 65 00 fline.
心得與經驗 • 對ICQ的了解。 • 對TCP/IP協定的重新認識。 • 培養解決問題的能力。 • IPS的管理與應用 • 更進一步認識到資訊安全的重要性
一、對ICQ的了解 之前並不了解什麼是ICQ,而且也不太清楚何謂Web_ICQ,這是最早出來的即時通訊軟體,但是接觸即時通訊軟體時間,卻是在MSN和雅虎即時通熱門的時候,因此ICQ未曾使用過,當然也就不清楚何謂ICQ的服務。在製作專題時開始去找一些ICQ程式介紹,搜尋相關資訊,才對ICQ有了進一步的了解。
二、對TCP/IP協定的重新認識。 • 三向握手協定 在觀察WEB_ICQ的封包串流時發現,在執行個別不同的動作時,都會先執行一次三項握手協定,來確定這些不同動作的資料傳送同步的時間。 • 封包串流 在擷取封包的時候常常會擷取到一些非報告所需的封包,這時便會使用到封包串流的觀念,針對我們所需的動作利用封包串流的概念進而過濾掉其餘不必要的封包,這使得原本十分龐大且複雜的網路封包,便得更容易觀察與分析。
三、培養解決問題的能力 • 註冊並使用該Web ICQ服務時,在利用Ethereal軟體側錄Web_ICQ網路封包時候,卻發生封包無法順匯出的問題,出現未知錯誤,故推測有可能是舊版軟體產生的問題,因此去發掘到新版的Ethereal軟體並下載使用。 • 新版的Ethereal跟原本的Ethereal有點不太一樣,因為網路協定分析程式 Ethereal 的主要開發人員 Gerald Combs 從 NIS 跳槽到 CACE,結果因為Ethereal的商標是 NIS 公司的,而NIS公司並沒有打算要放棄商標。
三、培養解決問題的能力 • 在這情況下,Gerald Combs 只好公告說這個網路協定分析程式的名稱改叫 Wireshark,而因為他現在已經沒有管理NIS 那台機器的權限了,所以他也無法在NIS原站台上面公告,因此才會有相同的程式架構,卻有不同的名字出現,當然舊版的Ethereal也早已經暫停更新了。 • 後來利用Wireshark,就能順利匯出封包,進行封包分析和特徵碼的製作。
四、IPS的管理與應用 • 清楚的了解到BEMS的安裝流程 • 網路封包如何製作特徵碼 • 透過IPS攔截過濾特定的規則封包 • 更多的網路攻擊手法及預防
五、認識到資訊安全的重要性 • 沒有不安全的系統,只有不安全的人,每個系統都是安全的,但是今天管理系統和操作系統的都是人,因為人的管理不當,使用者的操作不當,就造成嚴重的資訊安全問題,輕者個人資料外洩,重者國家機密外露,威脅國家安全,重點並不是單純學習管理IPS系統,而是IPS只是輔助,真正要負起落實資訊安全觀念,是每個網路使用者的責任。
參考網址 維基百科 • http://zh.wikipedia.org/w/index.php?title=ICQ&variant=zh-tw wireshark官網 • http://www.wireshark.org/ 苦牢之最後一年 • http://blog.ijliao.info/archives/2006/06/10/2358/ Top 5 IM security risks • http://www.networkworld.com/research/2004/0628imfeat5.html CNET新聞 • http://taiwan.cnet.com/news/software/0,2000064574,20088667,00.htm
報告完畢! 謝謝大家,請多指教~