1 / 24

台中縣網路病毒防制系統經驗與分享

台中縣網路病毒防制系統經驗與分享. 台中縣教育網路中心 黃國順. 一、序論. 現今網管的困難 分散式拒絕服務攻擊( Distributed denial of service) DDoS 難以阻擋的原因 攻擊來源數量大 使用偽裝 IP 技術 避免成為攻擊別人的「幫手」 DDoS 在發動之初必須,散佈大量攻擊程式 現今的手法是藉由電腦病毒來散佈. 主動積極的防制方式為: 1.定期更新修補作業系統或軟體的漏洞(如安裝 urh)。 2. 安裝防毒軟體並定散更新病毒碼。 3.安裝架設防火牆。

mare
Download Presentation

台中縣網路病毒防制系統經驗與分享

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 台中縣網路病毒防制系統經驗與分享 台中縣教育網路中心 黃國順

  2. 一、序論 • 現今網管的困難 • 分散式拒絕服務攻擊(Distributed denial of service) • DDoS難以阻擋的原因 • 攻擊來源數量大 • 使用偽裝IP技術 • 避免成為攻擊別人的「幫手」 • DDoS在發動之初必須,散佈大量攻擊程式 • 現今的手法是藉由電腦病毒來散佈

  3. 主動積極的防制方式為: • 1.定期更新修補作業系統或軟體的漏洞(如安裝urh)。 • 2.安裝防毒軟體並定散更新病毒碼。 • 3.安裝架設防火牆。 • 本篇報告的方法:藉由網管手段找出可能的網路病毒來源IP並加以封鎖隔離,以減少網路病毒散佈的範圍,降低其它電腦被感染的機率。

  4. Multi Router Traffic Grapher (MRTG)圖表

  5. MRTG無法提供更詳的資料 • Netflow分析 • 台南市網的作法http://www.tn.edu.tw/sammy/netflow/detect.htm • 阻擋中毒的電腦 • 設定cisco router ACL(access control list)的方法

  6. 先設定要阻擋的ip 的access-list • conf t • access-list 10 163.17.35.2 0.0.0.0 deny • ….. • ….. • access-list 10 permit any (最後一定要加這行, 否則會全擋) • ^z

  7. 針對往區網的interface 設定access-group例如: • conf t • int atm5/0/0.1000 • ip access-group 10 in • ip access-group 15 out • ^z

  8. 以人工方式比對、設定ACL 、通知連線單位網管人員、解除ACL整個過程繁瑣,對於擁有超過兩百三十個以上連線單位的台中縣教網來說,要做好網管真的很困難。

  9. 二、系統運作原理及架構 • Netflow流量記錄 sif sip dif dip P sport dport packets size 497 211.58.132.116 0 163.17.53.1 6 3746 139 3 144 497 211.58.132.116 0 163.17.53.2 6 3747 139 3 144 497 211.58.132.116 0 163.17.53.3 6 3748 139 3 144 497 211.58.132.116 0 163.17.53.4 6 3749 139 3 144 497 211.58.132.116 0 163.17.53.5 6 3750 139 3 144 497 211.58.132.116 0 163.17.53.6 6 3751 139 3 144 497 211.58.132.116 0 163.17.53.7 6 3752 139 3 144 497 211.58.132.116 0 163.17.53.8 6 3753 139 3 144 497 211.58.132.116 0 163.17.53.9 6 3754 139 3 144 497 211.58.132.116 0 163.17.53.10 6 3755 139 3 144 497 211.58.132.116 0 163.17.53.11 6 3756 139 3 144 497 211.58.132.116 0 163.17.53.12 6 3757 139 3 144 497 211.58.132.116 0 163.17.53.13 6 3758 139 3 144 497 211.58.132.116 0 163.17.53.14 6 3759 139 3 144 497 211.58.132.116 0 163.17.53.15 6 3760 139 3 144 497 211.58.132.116 0 163.17.53.16 6 3761 139 3 144 497 211.58.132.116 0 163.17.53.18 6 3763 139 3 144 497 211.58.132.116 0 163.17.53.19 6 3764 139 2 96 497 211.58.132.116 0 163.17.53.20 6 3765 139 3 144

  10. 運作架構圖

  11. 四、Netflow 流量分析架設 • 交大http://netflow.nctu.edu.tw/netflow.html及 • 台南市網http://www.tn.edu.tw/sammy/netflow/setup.htm

  12. 四、在資料庫中建立相關資料表 • m_unit:單位基本資料

  13. m_unit_ip:單位網路資料,用來判斷封包來源或目的IP所屬單位時使用m_unit_ip:單位網路資料,用來判斷封包來源或目的IP所屬單位時使用

  14. unit_service:單位伺服器資料,各單位登記其各類伺服器以減少誤判的發生unit_service:單位伺服器資料,各單位登記其各類伺服器以減少誤判的發生

  15. lock_type:鎖定類別。

  16. lk_addr_in:內部鎖定IP

  17. lk_addr_out:外部鎖定IP

  18. 五、網路病毒偵測程式 • flowscan_new.pl程式 • 1. 連結資料庫 • 2. 篩選累計 • 3. 排序擷取超過門檻值的IP • 4. 新增至資料庫及發送E-mail

  19. 目前中縣教網已撰寫好的副程式為: • likecodered • scanport137 • likenimda • likemailvirus • likeslapper • likeddos_dp_80_2_96 • likeddos_dp_445_2_96 • likeddos_dp_1434_1_404 • flowscan.pl

  20. 六、自動封鎖IP的機制 • 手動設定麻煩易出錯 • 如何自動設定ACL ? • 利用Expect這套軟體:將手動設定時與router間的 interactive 以程式自動化

  21. 命令 說明 exp_send 輸出字串給該程式 expect 核對該程式的輸出字串 spawn 執行一個程式 interact. 將控制權交給真人

  22. 自動封鎖IP的步驟 • 執行control65acl.pl由資料庫中查詢出需要封鎖的IP • 執行expect expect_acl • 設定crontab定時執行 • flowscan_new.pl • control65acl.pl • expect expect_acl

  23. 七、解除封鎖IP的機制 • 網管人員在修復電腦或查明原因後可自行解除被封鎖的IP。http://www.tcc.edu.tw

  24. 八、討論 • 誤判的可能 • 門檻值的設定 • 偵測系統的限制 • Q&A

More Related