1 / 81

92 學年度 教育部 委辦 計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 )

92 學年度 教育部 委辦 計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 ). 執行單位 : 中央大學電算中心 計劃主持人 : 曾黎明 教授 陳奕明 教授 劉秋美 組長 報告者 : 楊素秋. 大 綱. 1. 前言 2. 網路攻擊與病蟲 3.X-Attack 攻擊訊務的監測 4.Nimda 攻擊訊務的監測 5. 異常 SMTP 訊務的監測 6. 結語. 1. 前言. 開放的 Internet 傳輸協定 網路攻擊問題

tex
Download Presentation

92 學年度 教育部 委辦 計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 92學年度 教育部委辦計劃TANet 骨幹流量統計、維護及管理 (III)(網路攻擊訊務的監測與自動阻絕) 執行單位: 中央大學電算中心 計劃主持人: 曾黎明 教授 陳奕明 教授 劉秋美 組長 報告者: 楊素秋 Susan Yang (NCU-CC)

  2. 大 綱 • 1.前言 • 2.網路攻擊與病蟲 • 3.X-Attack攻擊訊務的監測 • 4.Nimda攻擊訊務的監測 • 5.異常SMTP訊務的監測 • 6.結語 Susan Yang (NCU-CC)

  3. 1.前言 • 開放的Internet 傳輸協定 • 網路攻擊問題 • X-Attack大量攻擊訊務,癱瘓網路服務 • DDoS分散式的攻擊訊務 • 隨著病蟲的感染快速散播 • 攻擊訊務監測工具的缺乏 • 藉由具體的攻擊相關訊務數據 • 用戶共同監測,及時修護攻擊主機漏洞 Susan Yang (NCU-CC)

  4. 利用連網閘門的位置優勢,監測攻擊訊務 • Router座於 WAN網路的閘門位置 • 負責轉送匯集的Internet封包 • 暫存/加總每一過境封包的header資訊. • Flow-based的 Netflow • light-weight訊務統計與多樣的訊務特徵追蹤 • Source_IP,source_port & destination_IP. Destination_port • source & destination interface • protocol identifier • packet count / byte count Susan Yang (NCU-CC)

  5. 利用router Netflow log • 監測 X-Attack /Nimda 攻擊訊務 • 自動阻絕X-Attack 超量攻擊訊務 • Blaster ICMP Flooding訊務的監測 Susan Yang (NCU-CC)

  6. 2.典型的攻擊程式 • Nestea • Stupid remote DOS attack • April 1998 • Send massive UDP attack packets to the target victim • The loop usleep parameter • Send attack packets with hundreds of spoofed IP source addresses • Nestea 10.1.1.1 153.35.85.1 153.35.85.254 –s 4444 –t 5555 –n 500 Susan Yang (NCU-CC)

  7. DOS網路攻擊 • DOS (Denial Of Service) Attack • Consume the resources of a remote host or networks • Degrading services to legitimate users • Introduce hardest security problem • Simple to implement • Hard to prevent • Snooped IP addresses • Difficult to trace Susan Yang (NCU-CC)

  8. DDOS • Distributed DOS • to saturate the bandwidth of a network link or crash network devices • zombie • plants a daemon on a server to transform it • Listen for commands sent by the hacker to launch an attack Susan Yang (NCU-CC)

  9. DRDOS • Distributed Reflector DOS • A simple script • be constructed to collect a large number of SYN packet reflections • Routers or servers • Billions of packets were blocked to server • Packet bounce Distributed DDOS • Spoofed source IP addresses http://www.unixeunuchs.com Susan Yang (NCU-CC)

  10. Susan Yang (NCU-CC)

  11. Network Worm • W32.CodeRed • Utilize .ida (indexing service) vulnerability in Microsoft Internet Information Server (IIS) • Found in July 2001. • buffer overflow allows the worm • To execute code within IIS server • Spread it & deface the server’s home page • Randomly attack other web servers • Perform DOS attack Susan Yang (NCU-CC)

  12. Code Red worm execute only in memory • First start 100 worm threads in memory • executed attack at the same time • Each thread of the worm creating an effective DOS attack • N * 100 Susan Yang (NCU-CC)

  13. W32.Nimda • A complex virus • Found in Sep 2001. • uses the Unicode exploit to infect IIS web servers • The actual lifecycle of Nimda can be split to four parts: • 1) Infecting files • 2) Mass mailing • 3) Web worm • 4) LAN propagation Susan Yang (NCU-CC)

  14. Susan Yang (NCU-CC)

  15. Distribution: • Name of attachment: README.EXE • Size of attachment: 57344 • Ports: 69 • Shared drives: Opens network shares • Target of infection: Attempts to infect un-patched IIS servers Susan Yang (NCU-CC)

  16. FreeBSD.Scalper • Use the Apache HTTP Server chunk encoding stack vulnerability • Discovered in Jun. 2002 • Target IP host • Hard coded in the worm • Randomly generated • Scanned incrementally • listen for remote instructions Susan Yang (NCU-CC)

  17. Remote instructions perform one of the following functions: • Simulate a handshake between the infected computer and the vulnerable computer • Send email messages (spam) ** • Collect email addresses from the infected computer,Web pages • TCP, UDP, DNS Flooding ** • Execution of shell commands ** • Other Denial of Service functions ** Susan Yang (NCU-CC)

  18. Linux.Slapper • Discovered in Sep. 2002 • Use a flaw in OpenSSL libraries • Affect the Linux Apache web server and OpenSSL enabled • The infected machine can • remotely be instructed • launch a wide variety DDOS to the Online-commerce, banking, privacy applications • Very similar to theScalper Apache Worm Susan Yang (NCU-CC)

  19. Variant: Slapper.A • Contained a backdoor listens to UDP port 2002, to be controlled remotely • Variant: Slapper.B • download a copy of its source code from web site • added itself to crontab file to restart the worm hourly • Variant: Slapper.C • sends IP addresses of infected hosts via email probably to the virus writer Susan Yang (NCU-CC)

  20. W32.Slammer • Take advantage of a buffer overflow vulnerability in Microsoft SQL Server 2000 • (Found in Jan 2003) • Randomly attack The SQL server • Random generated IP address • 1433/1434 service ports • Attempt to perform UDP floods DOS attack • Influx of UDP traffic • Traffic volume increase rapidly • Memory resident worm • Infected over and over again Susan Yang (NCU-CC)

  21. W32.HLLW.Lioten** • A simple program attempting to find machines to infect (Found in Dec 2002) • Query 445/tcp port • Create 100 threads • generate IP addresses • [0-255].[0-127].[0-255].[0-127] • Try to get access system using 12 different passwords • To run the worm at a specified time and date Susan Yang (NCU-CC)

  22. W32.Deloder • Exploit the null or weak administrator password on Server Message Block (MSB) file shares on Windows 2000 or XP • Found in Mar 2003 • Used to share files and printer resources with other computers on 445/TCP service port • Exploiting the null or weak passwords • To gain access to administrator account • Regist the automatic execution • Open a backdoor for remote access Susan Yang (NCU-CC)

  23. Susan Yang (NCU-CC)

  24. 3. X-Attack攻擊訊務的監測 • X-Attack攻擊 • 傳送鉅量封包或網路連接 • 耗損資料傳送沿徑的網路介面的processing資源 • 沿徑網段連線頻寬 • 針對X-Attack 快速耗損網路資源的特質 • 實作攻擊訊務監測網頁,Monitoring • UDP / ICMP X-Attack Traffic • DNS DoS Attack Traffic • 超量訊務的自動阻絕與通告 Susan Yang (NCU-CC)

  25. a. X-Attack 攻擊特性 • 沿徑routing processing與頻寬資源 • 傳送超高 Packet count/ Byte count訊務 • router封包轉送效能 (106 ~ 108 pps) • UDP/ICMP competitive traffic • Target server 連網資源 • 結合大量Target IP hosts • 建立大量Flow連接或大量UDP/ICMP Flooding • DoS/DDoS/DRDoS attack • 統計超量的Flows ,Packets, Bytes Susan Yang (NCU-CC)

  26. b. X-Attack訊務的量測 • 以 host pair為攻擊訊務量測indexing • Indexing with IP Communication partner • Source_IP > Destination_IP • (Not flow, Not session) • 躲避firewall及管理人員的過濾 • 網路攻擊程式 • 採動態的 src_port, dst_port • 動態的攻擊/休眠時間 • Spoofed Source IP address Susan Yang (NCU-CC)

  27. 讀取Netflow log 檔 • 累計各source / destination IP pair訊務 • UDP packet count • flow count • byte count • 存入相關的訊務變量 • udp_flows[pairi], • udp_packets[pairi], • udp_bytes[pairi] Susan Yang (NCU-CC)

  28. 過濾高於threshold的X-Attack 攻擊訊務數據 • 超高攻擊訊務threshold值 • udp_flow[pairi] / hour > 900 • udp_packet[pairi] / hour > 10,000,000 • 排序/篩選/顯示單日各小時的超高傳訊數據 • host_pair • netflow log數 • Packet_Size • Packet封包數 • Bytes總量 Susan Yang (NCU-CC)

  29. 透過Hypertext Preprocessor (PHP) scripting網頁程式 • 提供用戶監測X-Attack攻擊訊務 • 用戶輸入查詢日期後, invoke PHP 程式讀取對應日期的攻擊訊務數據顯示於網頁. Susan Yang (NCU-CC)

  30. c. UDP X-Attack 攻擊訊務 • 140.123.102.184與140.136.200.11 • 攻擊主機的超大量攻擊封包 • 每小時可送出高達107 ~ 108的UDP封包 • 挑戰連網router processing資源,遲緩其訊務轉送功能. • 依據攻擊主機IP位址(source IP),回頭過濾 netflow logs • X-Attack封包大都針對destination host的well-know service,傳送超量packets. • 80/UDP、8080/UDP、53/UDP 等port • 逐次調小packet size強化其癱瘓網路設備的威力 Susan Yang (NCU-CC)

  31. Susan Yang (NCU-CC)

  32. Susan Yang (NCU-CC)  攻擊訊務原始紀錄的追蹤

  33. DOS Attack • 藉快速建立超量UDP flow連接, 耗損destination主機的processing與network資源 • 每小時高達102-106 flows • DDOS Attack • 誘發同一 Class C IP 網段的百餘部主機, 以上百倍的冒充UDP 封包,擴增對單一destination主機的攻擊威力 • 感染主機的用戶大都未能察覺其攻擊的發動原因 • 選擇重新安裝系統,或提高security等級 • 防患系統再次被寄生病毒. Susan Yang (NCU-CC)

  34. 調降攻擊訊務threshold值, • 監測high-bandwidth MediaPlayer / Game UDP訊務 • 163.13.10.141與61.171.38.242 • Counter_Strike servers • (27015/UDP service port)的訊務 • Game 平均封包大小約為70 ~200 Bytes/Packet • 218.146.254.203、 64.95.80.9 • MediaPlayerservers • 每小時送出的數十Mbytes的高訊務量 • 平均封包大小約為1400 Bytes/Packet Susan Yang (NCU-CC)

  35. 203.242.146.143 > 203.72.179.12 flow • 感染主機持續送出的TFtp封包, • mean packet size約為 544 Byte/Packet. • 依據主機IP位址再次篩選netflow logs, • 該主機也同時對數部主機的 httpd service port ( 80/TCP) 發出頻仍 SYN連接 • (packet size為 48 Bytes), • 傳訊行為吻合Nimda virus攻擊特徵 Susan Yang (NCU-CC)

  36. d. ICMP X-Attack 攻擊訊務 • 除了ping 與traceroute 網路偵錯訊務外, ICMP並無承載其他網路應用協定封包. • 惡意的攻擊程式 • 快速傳輸無用的ICMP封包,或建立大量ICMP連接 • 挑戰連網設備網路及服務主機的計算資源極限 • 壅塞,甚至癱瘓連網訊務或server開放的服務. • 不論destination hosts是否真的存在 • 巨大的ICMP攻擊訊務都會耗損沿徑WAN網段routing process及頻寬資源 • 嚴重干擾destination hosts開放服務 Susan Yang (NCU-CC)

  37. Susan Yang (NCU-CC)

  38. Susan Yang (NCU-CC)

  39. e. Welchia ICMP Flooding 訊務 • W32.Welchia • also known as WORM_MSBLAST.D • a worm that exploits the DCOM RPC the Web vulnerability • It checks for active machines to infect by sending an ICMP echo request • result in increased ICMP traffic. Susan Yang (NCU-CC)

  40. It selects the victim IP address in two different ways • uses either A.B.0.0 from the infected machine's IP of A.B.C.D • construct a random IP address based on some hard coded addresses • After selecting the start address, the worm counts up through a range of Class B-sized networks • If the worm starts to send an ICMP echo request to A.B.0.0, it will count up to at least A.B.255.255, Susan Yang (NCU-CC)

  41. Susan Yang (NCU-CC)

  42. e. X-Attack 訊務的自動阻絕與通告 • 長時期的攻擊訊務監測 • X-Attack host pair間傳送的超量攻擊packet封包數與訊務量均異常高於一般網路應用 • 群集式 X-Attack攻擊 • 結合數部具高連接頻寬的 IP 主機 • 同時傳送超量無用封包往同一victim主機 • 實作自動化的攻擊訊務阻絕與通告系統 • 統計UDP/ICMP非自律性訊務的Packet/Byte標準差,提供方便的攻擊訊務監測指標 Susan Yang (NCU-CC)

  43. 依據統計的Top-N ICMP/UDP 流量 • 監測異常的 X-Attack訊務量及傳訊特徵. • 攻擊訊務的自動阻絕 • 篩選高於 threshold 值之訊務紀錄 • icmp_flow [pairi] / hour > 5000 • icmp_packet [pairi] / hour > 10,000,000 • 連接區網 router • 設定 Access Control Lists (ACLs) 限制檢測攻擊主機傳訊 Susan Yang (NCU-CC)

  44. 攻擊事件的自動通告 • 自動連接RWhois IP管理資訊查詢伺服主機 • 查詢攻擊source IP主機的管理/用戶mail address • 將檢測的攻擊訊務數據,發信通知管理員/用戶 • 加速感染系統的修復,根本排除X-Attack 攻擊起源 • 統計UDP訊務的Packet/Byte標準差 • X-Attack 攻擊packet數與訊務量均異常高於一般網路應用 • 累計的ICMP/UDP host pairs訊務list 資訊 • 提供方便的攻擊訊務監測指標 Susan Yang (NCU-CC)

  45. , i = 0, 1, 2, ... , n , i = 0, 1, 2, ... , n Susan Yang (NCU-CC)

  46. Susan Yang (NCU-CC)

  47. Susan Yang (NCU-CC)

  48. 4. Nimda攻擊訊務的監測 • Nimda攻擊訊務的辨識 • Top-N WWWDoS攻擊 • Top-N TFtp 訊務 • 網路入侵者只需稍微具備Socket程式概念,即可蒐集大量的網路攻擊程式碼;並藉由傳訊參數的修改,大幅提升攻擊威力. • 透過source IP的冒充,發動 Smurf 攻擊 • 更改protocol 代碼,躲避 firewall的過濾 • 更改重複攻擊次數/間隔時間參數 Susan Yang (NCU-CC)

  49. 網路病蟲快速搜尋random IP主機漏洞 • 植入後門程式 • 供入侵者遙控發動Distributes Denial of Service (DDoS)攻擊 • 暴露於Internet的well-known server主機最容易成為攻擊目標 • 攻擊TCP SYN Floods • UDP /ICMP Floods • Smurf Attack等多樣方式 Susan Yang (NCU-CC)

  50. 連網匯集點的優勢,檢測 Nimda感染主機 • 蒐集router cached的訊務轉送紀錄 • 統計 Top-N www DoS攻擊 • 統計超量TFtp訊務 • 通告用戶補強系統,防止病蟲持續蔓延. Susan Yang (NCU-CC)

More Related