1 / 30

殭屍網路偵測分析之比較

指導教授:葉禾田 教授 報告學生:碩資傳一甲 蔡昀璋. 殭屍網路偵測分析之比較. 報告大綱. 論文簡介 Botnet and DDoS 重大 DDoS 事件 防範方法 – 論文一 防範方法 – 論文二 方法比較 結論與建議. 論文簡介. 論文一 ( 2009 年資訊科技國際研討會論文集) 殭屍網路活動的偵測與阻絕工具研發 指導教授:楊中皇高雄師範大學 資訊教育研究所教授 發表學生:丁光立 資訊教育研究所研究生 論文二 ( TANet 2009 國際學術研討會 … ) 透過分析偵測並瓦解僵屍網路

hertz
Download Presentation

殭屍網路偵測分析之比較

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 指導教授:葉禾田 教授 報告學生:碩資傳一甲 蔡昀璋 殭屍網路偵測分析之比較

  2. 報告大綱 • 論文簡介 • Botnet and DDoS • 重大DDoS事件 • 防範方法 – 論文一 • 防範方法 – 論文二 • 方法比較 • 結論與建議

  3. 論文簡介 • 論文一(2009 年資訊科技國際研討會論文集) • 殭屍網路活動的偵測與阻絕工具研發 • 指導教授:楊中皇高雄師範大學 資訊教育研究所教授 • 發表學生:丁光立 資訊教育研究所研究生 • 論文二(TANet 2009 國際學術研討會…) • 透過分析偵測並瓦解僵屍網路 • Tian-Hao,Chen、Shi-Jia,Peng、Li-Ming,Tseng • Department of Computer Science and Information Engineering, National Central University

  4. Botnet and DDoS • Vint Cerf • 網際網路之父 • 全球「25%」的電腦為「殭屍」 • Botnet 簡介 • 殭屍網路,又稱喪屍網路 • 駭客常用攻擊手法之一

  5. Botnet and DDoS • Botnet 發展過程 • IRC「 Internet Relay Chat」 • Eggdrop • 90年代末 • IRC淪為殭屍網路的工具

  6. Botnet and DDoS • DDoS 簡介 • 「Distributed Denial of Service」 • 分散式阻斷服務攻擊,又稱洪水攻擊 • 利用TCP/IP的「三向交握」

  7. Botnet and DDoS • DDoS 攻擊流程示意圖 方法二 方法一

  8. Botnet and DDoS • DDoS 常見攻擊方式 • SYN flood • LAND attack • ICMP floods • Application level floods

  9. 重大事件DDoS • 2003年eBay • 遭受美國奧勒岡州駭客控制 2 萬台殭屍網路攻擊 • 2004年中國某音樂網站 • 遭受河北駭客操控 6 萬台殭屍網路攻擊 • 2008年巴哈姆特、遊戲基地等大型討論區 • 2009年Facebook、Tiwtter等社交網站 • 2009年美、韓網站被癱瘓 • ………枚不盛舉

  10. 防範方法 • 殭屍網路活動的偵測與阻絕工具研發 • 殭屍網路偵測的相關研究 • Honeypot and 雙重 Honeypot • 觀察 IRC 的固定Port 與Server 連結的client • 建置 BotSniffer 系統,由 bots 行為的一致性作判別

  11. 防範方法-(論文一) • 本研究提出之方法 • ntop 網路流量監控程式 • Perl • Shell Script

  12. 防範方法-(論文一) • 殭屍網路活動的偵測與阻絕工具研發 • Ntop修改 • Local to Local • Local to Remote • Remote to Local • IP Traffic • Host Activity • Activity TCP/UDP Sessions • 來源Port • 目標Port • 來源 IP • 目標IP

  13. 防範方法-(論文一) • 殭屍網路活動的偵測與阻絕工具研發 本機IP:10.1.142.10 目標IP:20.71.39.12 本端Port:2785 目標Port:5564 本機IP:10.1.142.5 目標IP:20.71.39.12 本端Port:2646 目標Port:5564 本機IP:10.1.142.15 目標IP:20.71.39.12 本端Port:2597 目標Port:5564

  14. 防範方法-(論文一) • 殭屍網路活動的偵測與阻絕工具研發 • 對Session管理 • 黑名單 • 白名單 • Email或其他方式提醒網路管理者

  15. 防範方法-(論文一) • 殭屍網路活動的偵測與阻絕工具研發

  16. 防範方法-(論文一) • 殭屍網路活動的偵測與阻絕工具研發

  17. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • 研究架構

  18. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • 實驗環境: • Host OS: Windows Server 2003 • Guest OS: Windows XP SP2 • Packet trace: Wireshark 1.0.0 • TcpViewPro v1.06 • 匝道路由器: • Os:Linux(kernel 2.4.9) • DNS Server: ISC BIND8.4.4 • IRC Server: • OS: Fedore Core 8 (Kernel 2.6.25) • IRC Server Software: ircd-hybird-7.2.3

  19. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • 系統架構圖 過濾、黑名單

  20. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路

  21. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • Honeynet流程 • 蒐集IRC-Based Botnet • 在VM上分析病毒產生的Traffic • Gateway封包過濾與轉向 • 黑名單比對 • 觀察是否為IRC Protocol

  22. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • 病毒解析 • 封包過濾與轉向 判斷資訊是否過時, 0則至FQDN更新ip位址 導至解毒伺服器 正常,通過過濾

  23. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路 • 解毒控制 • 步驟一 • 建立與病毒之 IRC Server 一樣的Channel name • 步驟二 • 更改Topic • 步驟三 • 等待中毒電腦

  24. 防範方法-(論文二) • 透過分析偵測並瓦解僵屍網路

  25. 方法比較 • 論文一之優點: • 使用封包分析較為精準 • 黑白名單功能 • 論文一之缺點: • 封包分析速度

  26. 方法比較 • 論文二之優點: • 攔截駭客控制殭屍網路 • 能對已成為殭屍網路之受害(駭)者提出警告 • 論文二之缺點: • 功能可能受限於區域網路 • 需架設IRC Server • 需架設FQDN Server • 成本較高

  27. 結論與建議 • 殭屍網路透過其他通訊協定傳染 • Http P2P • 減輕人工管理的困難度 • 黑白名單是很好的方式 • 搭配其他弱點偵測軟體效果更佳

  28. 結論與建議 • 兩者可相互搭配 • 搭配其他網管效果更好 • 防火牆 • 流量監測 • 使用者保持良好習慣 • 病毒 • 蠕蟲

  29. 拙見-新架構 OS:Linux 撰寫Shell Script: 將黑名單與Firewall結合 保持白名單功能 對付殭屍網路的 DNS與IRC Server

  30. 報告結束,謝謝大家

More Related