1 / 65

校園網路安全

校園網路安全. 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010. 大 綱. 網路攻擊模式 防禦機制 電腦病毒 網路安全資訊. 網路安全之重要性. 網際網路快速發展 駭客攻擊 校園網路人人有則 使用者 系統管理. 網路攻擊模式. 網路監聽 網路掃描 漏洞利用 密碼破解 惡意程式植入 DoS/DDoS 攻擊. 網路監聽. 取得攻擊或入侵目標的相關資訊 Sinffer 攔截網路上的封包 Distributed Network Sniffer

saniya
Download Presentation

校園網路安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 校園網路安全 台大計資中心 李美雯 Email : mli@ccms.ntu.edu.tw Phone : 3366-5010

  2. 大 綱 • 網路攻擊模式 • 防禦機制 • 電腦病毒 • 網路安全資訊

  3. 網路安全之重要性 • 網際網路快速發展 • 駭客攻擊 • 校園網路人人有則 • 使用者 • 系統管理

  4. 網路攻擊模式 • 網路監聽 • 網路掃描 • 漏洞利用 • 密碼破解 • 惡意程式植入 • DoS/DDoS攻擊

  5. 網路監聽 • 取得攻擊或入侵目標的相關資訊 • Sinffer • 攔截網路上的封包 • Distributed Network Sniffer • Client將收集的資訊傳給Server

  6. Distributed Network Sniffer

  7. 網路掃描 • 遠端掃描目標主機的系統 • 取得目標主機的資訊 • 利用系統漏洞入侵 • 網路管理者重視此問題

  8. 漏洞利用 • 利用程式或軟體的不當設計或實做 • 利用漏洞取得權限,進而破壞系統 • 緩衝區溢位(buffer overflow) • 網路安全網站公佈漏洞訊息

  9. 緩衝區溢位範例

  10. 密碼破解 • 利用系統弱點入侵取得密碼檔 • 利用破解程式破解使用者密碼 • 密碼的破解速度 • 取得使用者密碼可入侵該主機 • 取得系統管理者密碼可操控該主機

  11. 惡意程式碼植入 • 病毒(Virus) • 自我複製性與破壞性 • 後門程式(Backdoor) • 動機 • 遠端遙控 • 建立管理者權限之帳號 • 更改主機的系統啟動檔

  12. 惡意程式碼植入 • 利用電子郵件植入木馬程式 • 駭客利用木馬程式聆聽的port遠端遙控 • 更改木馬程式名稱與聆聽的port

  13. DoS / DDoS攻擊 • DoS攻擊(Denial of Service)-阻絕服務攻擊 • DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 • 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 • 2001年七月份美國白宮網站被攻擊

  14. DoS攻擊 • DoS : 系統資源被佔用,使得系統無法提供正常服務 • 系統資源包括主機的CPU使用率,硬碟空間,網路頻寬 • DoS攻擊利用同時傳送大量封包,造成網路或伺服器癱瘓

  15. DDoS攻擊 • DDoS攻擊是多層次的DoS攻擊 • 入侵其他主機,安裝攻擊程式 • 具備遠端遙控的功能 • 控制在同一時間內發動DoS攻擊

  16. DDoS多層次的攻擊架構

  17. DoS 的攻擊方式 • TCP SYN 攻擊 • UDP Flood 攻擊 • ICMP Flood 攻擊 • ICMP Smurf Flood攻擊

  18. TCP SYN 攻擊 • Client對Server發出大量的SYN請求 • Client對於Server發出的SYN + ACK置之不理 • Client假造來源IP位址 • Server永遠無法收到Client的ACK封包

  19. Three-Way Handshack

  20. UDP Flood 攻擊 • UDP是connectionless的網路協定 • 駭客發送大量UDP封包給echo Server A • 將來源IP偽造成另一台echo Server B • 造成A與B之間的網路流量持續存在

  21. 攻擊示意圖

  22. ICMP Flood 攻擊 • ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態 • 駭客假造來源IP並發送大量ICMP封包給被害者 • 被害者回應等量的ICMP封包給假造的來源IP網路 • 被害者與被假造來源IP的網路流量大增

  23. ICMP Smurf Flood 攻擊 • 駭客假造來源IP為broadcast address,如140.112.254.255 • 駭客發出ICMP echo request時,該子網域的機器都會回ICMP給ICMP echo reply給140.112.254.255 • 造成該子網域壅塞

  24. ICMP Smurf Flood 攻擊

  25. 防禦機制 • 防火牆(Firewall)的架設 • 入侵偵測系統(Intrusion Detection System)的架設 • IP Spoof的防治 • 伺服器的妥善管理 • 網路流量的即時分析

  26. 防火牆的架設 • 防火牆架設的位置 • 必須熟知攻擊或入侵的手法 • 防火牆影響網路效率 • 規劃DMZ(De-Militarized Zone)區 • 防火牆的缺點 • 無法阻擋新的攻擊模式 • 無法阻擋層出不窮的新病毒

  27. 防火牆的架設(Cont.) • 無法防範來自內部的破壞或攻擊 • 無法阻擋不經過防火牆的攻擊

  28. DMZ區示意圖

  29. 入侵偵測系統 • 依照偵測方法分為 : • Anomaly Detection : • 建立使用者與系統的正常使用標準 • 比對標準值,以判斷是否有入侵行為 • Misuse Detection : • 將各種已知的入侵模式或特徵建成資料庫 • 比對資料庫的pattern,以判斷是否有入侵行為

  30. 入侵偵測系統(cont.) • 相關功能: • 攻擊程式多數為Open Source,可建立封包過濾的pattern • 阻隔可能的攻擊來源 • 對可能的來源攻擊下“停止攻擊”指令

  31. IP Spoof的防治 • IP Spoof : 偽造封包的來源IP位址 • 以送RAW Socket方式偽造來源IP位址 • 防治方式 : 在router或防火牆設定ACL管理規則 • 禁止外來封包的來源位址是內部網路的位址 • 禁止非內部網路位址的封包流到外部

  32. 伺服器的妥善管理 • 管理不善的伺服器 = 駭客攻擊跳板 • 系統管理者應做好系統的修補工作 • 網路管理人員評估校園網路安全與否: • 弱點評估工具 • 掃描工具

  33. 網路流量的即時分析 利用流量圖可找出攻擊來源之大方向

  34. 電腦病毒的特性 • 繁殖性 • 記憶體常駐 • 寄居性 • 傳染性 • 多型態 • 事件觸發

  35. 電腦病毒的種類 • 檔案型 • 開機型 • 復合型 • 巨集指令型 • 命令處理型

  36. 電腦病毒 Case Study • 紅色警戒 Code Red • 娜坦病毒 Nimda • 求職信病毒 Klez • Sircam病毒

  37. Code Red行為分析 • 利用Indexing Service的buffer overflow漏洞入侵IIS Server • 九十九個threads用來感染其他主機 • 最後一個thread檢查作業系統的語系與版本 • 每個月的20日到28日,攻擊美國白宮的www1.whitehouse.gov網站

  38. Code Red II行為分析 • 感染系統 • 建立300個thread,如為中文系統建立600個thread • 呼叫植入木馬的程式碼 • 重新開機,留下後門與木馬程式 • 散播病毒 • 產生一組亂數IP位址,利用八組網路遮罩,與系統IP及亂數IP進行運算,以產生下一個攻擊目標

  39. Code Red II行為分析(Cont.) • 快速連接目標,並送出一份病毒碼 • 植入木馬 • 當系統重新開機後,下一個使用者登入時,會執行木馬程式explorer.exe • 開啟後門,讓駭客遠端遙控電腦

  40. 紅色警戒(Cont.) • 解決方法 • 檢查與清除病毒 • http://www.microsoft.com/Taiwan/HOTFIX.htm • Microsoft 自行研發的清除程式 • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redfix.asp • 新的Patch檔

  41. 紅色警戒(Cont.) • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp • 注意事項 • 請先更新作業系統,Win2000 需更新至 SP1 以上,NT4.0 需更新至 SP6a。 • 作以上動作時請先拔除網路線, 做完後再插上

  42. 紅色警戒(Cont.) • 建議事項 • 系統管理者定期檢視伺服器漏洞並修正 • 設定防火牆,限制伺服器向外部建立連線

  43. 統計資料 Top 10 Countries Country # %-------------------------- US 157694 43.91 KR 37948 10.57 CN 18141 5.05 TW 15124 4.21 CA 12469 3.47 UK 11918 3.32 DE 11762 3.28 AU 8587 2.39 JP 8282 2.31 NL 7771 2.16

  44. 統計資料 Top 10 Domains Domain # %------------------------------------ Unknown 169584 47.22 home.com 10610 2.95 rr.com 5862 1.63 t-dialin.net 5514 1.54 pacbell.net 3937 1.10 uu.net 3653 1.02 aol.com 3595 1.00 hinet.net 3491 0.97 net.tw 3401 0.95 edu.tw 2942 0.82

  45. Nimda • 行為模式 • 修改網頁內容 • 透過電子郵件自行散發病蟲 • 網路掃描 • 改變檔案格式並取代正常的檔案 • 入侵電腦竊取私人資料

  46. Nimda (Cont.) • 散播方式: • 利用email傳染 • 利用資源分享傳染 • 利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點,以及”Code Red II”病毒所留下的後門 • 透過瀏覽器從已感染的web server傳染

  47. Nimda (Cont.) • 預防感染對策 • 不要開啟來歷不明的附加檔案(附檔名為.exe/.eml的檔案) • 升級IE版本至5.01 SP2/5.5 SP2/6.0以上 • http://www.microsoft.com/technet/security/bulletin/MS01-020.asp (註:IE5.01SP2及IE5.5 SP2則無須安裝此修正程式) • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp • 關閉檔案共享功能

  48. Nimda (Cont.) • Outlook 2000以及2002請安裝修正程式 • http://office.microsoft.com/downloads/2000/outlctlx.aspx • http://office.microsoft.com/downloads/2002/OLK1003.aspx • 修補IIS伺服器的安全漏洞 • http://www.microsoft.com/downloads/Release.asp?ReleaseID=32061 • http://www.microsoft.com/downloads/Release.asp?ReleaseID=32011

  49. Nimda (Cont.) • 清除Code Red II的後門程式 • http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 • 預防IE6感染Nimda病蟲 • http://www.microsoft.com/technet/security/topics/NimdaIE6.asp

  50. Nimda (Cont.) • 檢視系統安全設定之工具 • http://www.microsoft.com/technet/mpsa/start.asp • 適用於NT 4.0 Workstation, Windows 2000 Professional, and Windows XP workstations • http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215#1 • 適用於Windows NT 4.0, Windows 2000, and Windows XP, as well as hotfixes for Internet Information Server 4.0,5.0 (IIS), SQL Server 7.0, SQL Server 2000

More Related