1 / 39

TANet 竹苗區網 研習課程 網路安全系列 電腦網路病毒防治

TANet 竹苗區網 研習課程 網路安全系列 電腦網路病毒防治. 陳昌盛 技術師 交通大學計算機與網路中心 90.11.21. 課程概要. 電腦網路系統端的防護簡介 電腦病毒簡介 電腦病毒防護模式 怎樣偵測電腦病毒 ? 怎樣移除電腦病毒 ? 系統防護案例 參考資料. 1. 電腦網路系統端的防護簡介. 基本名詞 (term) Proxy server 代理伺服器 Firewall 防火牆 Agent 代理人 Computer Virus 電腦網路病毒 Network Worm SPAM Mail

lamya
Download Presentation

TANet 竹苗區網 研習課程 網路安全系列 電腦網路病毒防治

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TANet竹苗區網研習課程網路安全系列 電腦網路病毒防治 陳昌盛 技術師 交通大學計算機與網路中心 90.11.21 電腦網路病毒防治

  2. 課程概要 • 電腦網路系統端的防護簡介 • 電腦病毒簡介 • 電腦病毒防護模式 • 怎樣偵測電腦病毒? • 怎樣移除電腦病毒? • 系統防護案例 • 參考資料 電腦網路病毒防治

  3. 1.電腦網路系統端的防護簡介 • 基本名詞 (term) • Proxy server代理伺服器 • Firewall 防火牆 • Agent 代理人 • Computer Virus 電腦網路病毒 • Network Worm • SPAM Mail • IDS (Intrusion Detection System) 電腦網路病毒防治

  4. Network Intrusion Detection System 網路入侵偵測 External firewall Internet Application Server • SMTP, WWW, etc NIDS (e.g. snort) • Misuse Detection • --Port scan, CGI attacks, etc • Ipfw, ipchain, ipf Internal firewall • client MRTG Traffic monitor DNS Two-phase Anomaly Detection • Statistic Analysis • Aguri, Netflow, etc. • DNS Server Host 電腦網路病毒防治 LAN

  5. Network Infrastructure(網路基礎建設) • Hardware Infrastructure • Connection/Access Media • Router/switch/hub • Software Infrastructure • DNS (Domain Name System) • 140.113.1.1, 140.113.6.2, 140.113.250.135 • Directory System (Portal, Search Engine, …) • http://www.google.com • http://www.yam.com • http://www.yahoo.com 電腦網路病毒防治

  6. Network Protection System • Firewall • Packet filtering • proxy • Information Gateway • Proxy/Caching server • E-mail Filtering System (e.g. anti-spam, anti-virus, anti-worm) • Intrusion Detection System • IDS or NIDS ( Network Intrusion Detection System) • Misuse pattern matching • Anomaly detection 電腦網路病毒防治

  7. 網路流量分析與追蹤 • 了解各類主要應用的正常流量 (netflow) • 流量異常的可能原因 • 系統工作或設定不正常 • 系統被入侵, 當作攻擊他站的跳板 • 系統被偽裝使用 • e.g. 以 tcp port 25 跑其他非 SMTP 程式 • 其他 電腦網路病毒防治

  8. TANet 整體流量分布 2000.10 電腦網路病毒防治

  9. 2.電腦病毒概念簡介 • 什麼是 “電腦病毒” ? • 電腦病毒的傳染途徑. • 電腦病毒的簡單分類. • 如何防範電腦病毒. 電腦網路病毒防治

  10. 電腦病毒的基本定義 • 一般來說,病毒泛指一些能夠影響電腦正常運作的有害程式。 • 一九八六年,可令個人電腦的操作受到影響的電腦病毒首次被人發現。 此後,病毒的數目不斷上升。 • 病毒發作所造成的破壞程度參差不同,其影響可小至僅僅對屏幕的顯示 造成滋擾,以至電腦儲存的珍貴資料受到破壞。 電腦網路病毒防治

  11. 關於電腦網路病毒 • 電腦病毒與生物病毒有很多相似之處 • 兩者均需要貯 存在一個主體內。就電腦病毒而言,主體通常 指受感染的檔案∕磁碟。 • 兩者均可自行 衍生 ,由一個主體感染另一個主體。 • 最後, 通常兩類病毒均會對主體造成損害。 • 兩者之間最 少有一點是不同 • 電腦病毒是由人類編寫而 產生的,而生物病毒則是自然而生。 電腦網路病毒防治

  12. 電腦病毒入侵的途徑 • 幾個常見的散佈途徑 • 經由 e-mail 的夾帶檔 (attachment) • 經由網際網路的下載區 • 經由軟碟磁片或抽取可攜式硬碟 電腦網路病毒防治

  13. 電腦病毒一般分類(1) • 開機磁區病毒 • 開機磁區病毒會感染軟碟內的開機磁區及硬碟,而且也能夠感染用戶硬碟內的主開機磁區。 • 一但電腦機件中毒,病毒已駐留在記憶體內,每一個經受感染電腦讀取過的軟碟都會受到感染。 • 檔案型病毒 • 檔案型病毒,又稱寄生病毒,運行於記憶體,通常感染執行檔案。每次執行受感染的檔案時,病毒便會發作:病毒會將自己複製到其他執行檔案並於發作後仍可長留在記憶體。 電腦網路病毒防治

  14. 電腦病毒一般分類(2) • 複合型病毒 • 具有開機磁區病毒和檔案型病毒的雙重特點。 • 巨集病毒 • 巨集病毒專門針對特定的應用軟體,可感染依附於某些應用軟件內的巨集指令,如Microsoft Word 和Excel。巨集病毒採用程式語言撰寫,例如Visual Basic 或 Corel Draw,而這些又是易於掌握的程式語言。 電腦網路病毒防治

  15. 電腦病毒一般分類(3) • worm (蠕蟲) • 蠕蟲是一種會自我複製, 經由網路擴散的程式。 • 它跟病毒有所不同,它不會附在一個主程式內。 • 它會用盡電腦資源、修改系統設定及最終令系統「死機」。 • 隨著互聯網的普及,蠕蟲利用電郵系統去複製,例如把自己隱藏於附件並於短時間內電郵予多個用戶。 • 近期知名例子 • SirCam (E-mail), Code Red (IIS), Nimda (IIS, TFTP, …)等 電腦網路病毒防治

  16. 電腦病毒一般分類(4) • Trojan horse (特洛伊木馬) 程式 • 特洛伊或特洛伊木馬是一個看似正當的程式,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據。與病毒的分別是特洛伊不會複製自己,只會駐留在電腦內作破壞或讓黑客作遠程遙控。特洛伊通常隱藏在一些免費遊戲或工具程式。 • 典型例子:Back Orifice (或 NetBus)特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制台或視窗應用程式,透過TCP/IP去遠程遙控電腦。 電腦網路病毒防治

  17. 電腦病毒一般分類(5) • 其他新型病毒/惡性代碼  • Java 病毒 • ActiveX objects • VB Script 病毒 • 超文本標示語言 (英文簡稱「HTML) 病毒 電腦網路病毒防治

  18. 3.電腦病毒防護模式 • 運作模式 • 個人用戶 • ISP 線上掃毒 • 網路系統篇 電腦網路病毒防治

  19. 電腦病毒防護基本素養 • 不隨意打開郵件內夾帶的程式或檔案 • 不隨意轉寄不明軟體 • 定期利用掃毒軟體, 掃描系統 • 定期修補系統漏洞 電腦網路病毒防治

  20. 常見防毒軟體及系統供應商 • Symantec (Norton; 賽門鐵克) • McAfee • PC-Cillin (Trend Micro ;趨勢科技 ) 電腦網路病毒防治

  21. 4.怎樣偵測電腦病毒? • 病毒及預防病毒的唯一真理, 是沒有絕對安全的保安措施。 • 以下是一些偵測病毒的方法: • 留意任何電腦操作上的異動 • 使用常駐記憶體的防毒軟體,持續監察電腦是否受病毒感染 。 • 使用防毒軟體對硬碟機進行掃描。確保使用最新的病毒碼,而用戶最少每週更新病毒碼一次。 • 使用伺服器專用的防毒軟體保護網絡。此外,可考慮使用以應用系統為本的防毒軟體 。 電腦網路病毒防治

  22. 電腦病毒感染的癥候 • 程式的執行時間比正常的需時較久 • 可用記憶體或硬碟空間突然減少 • 不正常的訊息, 顯示在電腦螢幕上 • 不定期, 出現不正常的聲響或音樂 • 硬碟的名稱, 突然變調了 電腦網路病毒防治

  23. 5.怎樣移除電腦病毒? • 立即停止使用受感染的電腦,(並且停止把電腦與網路接駁)因為病毒會隨時發作。繼續使用受感染的電腦,只會加速該病毒的擴散。 • 以備份檔案恢復系統是最穩妥而有效的方法 。 • 在某些情況,可使用緊急恢復磁碟把開機磁區、分割控制表以至基本輸入輸出系統的數據恢復 。 • 如果沒有最新的備份檔案,可嘗試使用防毒軟體把病毒移 除。 電腦網路病毒防治

  24. 6.系統防護案例 • 電腦網路系統端的防護措施 • 基本網路防護架構 • 從 Code Red (Worm) 談 web proxy, router 等系統防護 • 從 SirCam (E-mail virus) 談 SMTP server 等系統的防護 電腦網路病毒防治

  25. WCCP 協定簡介 電腦網路病毒防治

  26. Transparent Proxy/caching 運作示意圖 • Proxy/Caching Server HD cache 7a 7b 3 2 6 4 1 5 • Router/Layer4 SW Internet • 優點: 用戶設定簡單 • (甚至不用任何設定) • 缺點: 使用效率較差(router/switch) 電腦網路病毒防治

  27. Reverse Transparent Proxy 運作示意圖 • 優點: 可以過濾不當的輸入連線 • (e.g.病毒攻擊) • 缺點: 使用效率較差(router/switch) Internet 1 2 • Router/Layer4 SW 8 7 3 6 4 • Proxy/Caching Server 5 • WWW server 電腦網路病毒防治

  28. 系統規劃與建置 • CodeRed • Common TCP Port 80 • Breeding but not destroying • 快速變化 destination IP address • 留下後門 • Nimda • 多重感染途徑 • Log 分析與追蹤 • Squid access log • Router access list • 人工通知 電腦網路病毒防治

  29. 系統規劃與建置 (Cont.) • Cisco Router 6000 • Proxy Server Farm • Squid • PC*10 • Log 分析與追蹤 • Squid access log • Router access list • 人工通知 電腦網路病毒防治

  30. 效能評估 • Proxy Server • Load -> 1.0 • 最大 9.6 Mbits / sec • 最大 2000 pps • Router • CPU 100% • 最大 12000 pps • Router (with filter) • CPU 40% 電腦網路病毒防治

  31. 效能評估 (Cont.) • 效能瓶頸 • WCCP redirection • 使用硬體 WCCP module • Higher-level Router • PC processing power • CPU, NIC • Nimda • 34 hosts, 294367 attacks/min • 10 hosts, 21549 attacks/min • 3 hosts, 8810 attacks/min 電腦網路病毒防治

  32. Threats to the Operation of a Typical Mail System • SPAM Mail • internal or external • UCE/UBE • Unsolicited Commercial Mail • Unsolicited Bulk Mail • E-mail Virus • Other DoS attacks 電腦網路病毒防治

  33. Generic E-mail Transmission Path • Outgoing • SMTP Gateway SMTP • source Firewall, filtering 2 3 1 4 5 6 Firewall, filtering • Incoming • SMTP Gateway • SMTP • POP3/IMAP • destination 電腦網路病毒防治

  34. Anti-SPAM & Anti-virus Mail 流程示意 • Mail Server Internet sendmail procmail POP3/IMAP server Mail spool • 用戶 PC Netscape/MS-IE 用戶 Mail 存放區 掃毒軟體 電腦網路病毒防治

  35. E-mail Virus Filtering on Incoming Mail Gateways • Incoming Mail Gateway Internet Level-1 SMTP server (e.g. Sendmail) E-mail Virus Checker (procmail) • Virus code • captured • Virus-free • messages • Body-based • filtering Level-2 SMTP server IMAP/POP3 server • Mail Spool 電腦網路病毒防治

  36. The Concept for Filtering of Outgoing Messages • IP-based filtering SPAM or E-mail Virus Detected • Packet-layer Firewall • Header-based filtering Out-going SMTP server Systems Reconfiguration Internet 電腦網路病毒防治

  37. 電腦網路安全相關網站(1) • CERT: • TWCERT, http://www.cert.org.tw • CERT, http://www.cert.org • 香港資訊科技署, http://www.itsd.gov.hk/itsd/virus/chinese/cant_vir.htm 電腦網路病毒防治

  38. 電腦網路安全相關網站(2) • PC 個人防毒軟體及 ISP 線上掃毒 • Symantec, http://www.symantec.com. • Trend Micro, http://www.trend.com.tw • 網路系統病毒掃描 (Unix) • Sendmail + Procmail-sanitizer • Procmail-sanitizer, http://www.impsec.org/email-tools/procmail-security.html 電腦網路病毒防治

  39. 電腦網路安全相關網站(3) • 其他相關網站 • http://content.edu.tw/primary/info_edu/cy_sa/content/5/5-3.htm • http://dir.pchome.com.tw/computer/software/nonvirus/ • Bruce, Stewart, “How to protect Against Computer Viruses” • http://www.zdnet.com 電腦網路病毒防治

More Related