1、校園網路安全,台大計資中心李美雯Email : mliccms.ntu.edu.twPhone : 3366-5010,大 綱,網路攻擊模式防禦機制電腦病毒網路安全資訊,網路安全之重要性,網際網路快速發展駭客攻擊校園網路人人有則使用者系統管理,網路攻擊模式,網路監聽網路掃描漏洞利用密碼破解惡意程式植入DoS/DDoS攻擊,網路監聽,取得攻擊或入侵目標的相關資訊Sinffer攔截網路上的封包Distributed Network SnifferClient將收集的資訊傳給Server,istributed Network Sniffer,網路掃描,遠端掃描目標主機的系統取得目標主機的資訊利用系統
2、漏洞入侵網路管理者重視此問題,漏洞利用,利用程式或軟體的不當設計或實做利用漏洞取得權限,進而破壞系統緩衝區溢位(buffer overflow)網路安全網站公佈漏洞訊息,緩衝區溢位範例,密碼破解,利用系統弱點入侵取得密碼檔利用破解程式破解使用者密碼密碼的破解速度取得使用者密碼可入侵該主機取得系統管理者密碼可操控該主機,惡意程式碼植入,病毒(Virus)自我複製性與破壞性後門程式(Backdoor)動機遠端遙控建立管理者權限之帳號更改主機的系統啟動檔,惡意程式碼植入,利用電子郵件植入木馬程式駭客利用木馬程式聆聽的port遠端遙控更改木馬程式名稱與聆聽的port,DoS / DDoS攻擊,DoS攻
3、擊(Denial of Service)-阻絕服務攻擊DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊2001年七月份美國白宮網站被攻擊,DoS攻擊,DoS : 系統資源被佔用,使得系統無法提供正常服務系統資源包括主機的CPU使用率,硬碟空間,網路頻寬DoS攻擊利用同時傳送大量封包,造成網路或伺服器癱瘓,DDoS攻擊,DDoS攻擊是多層次的DoS攻擊入侵其他主機,安裝攻擊程式具備遠端遙控的功能控制在同一時間內發動DoS攻擊,DDoS多層次的攻擊架構,
4、DoS 的攻擊方式,TCP SYN 攻擊UDP Flood 攻擊ICMP Flood 攻擊ICMP Smurf Flood攻擊,TCP SYN 攻擊,Client對Server發出大量的SYN請求Client對於Server發出的SYN + ACK置之不理Client假造來源IP位址Server永遠無法收到Client的ACK封包,Three-Way Handshack,UDP Flood 攻擊,UDP是connectionless的網路協定駭客發送大量UDP封包給echo Server A將來源IP偽造成另一台echo Server B造成A與B之間的網路流量持續存在,攻擊示意圖,ICMP
5、Flood 攻擊,ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態駭客假造來源IP並發送大量ICMP封包給被害者被害者回應等量的ICMP封包給假造的來源IP網路被害者與被假造來源IP的網路流量大增,ICMP Smurf Flood 攻擊,駭客假造來源IP為broadcast address,如140.112.254.255駭客發出ICMP echo request時,該子網域的機器都會回ICMP給ICMP echo reply給140.112.254.255造成該子網域壅塞,ICMP Smurf Flood 攻擊,防禦機制,防火牆(Fi
6、rewall)的架設入侵偵測系統(Intrusion Detection System)的架設IP Spoof的防治伺服器的妥善管理網路流量的即時分析,防火牆的架設,防火牆架設的位置必須熟知攻擊或入侵的手法防火牆影響網路效率規劃DMZ(De-Militarized Zone)區防火牆的缺點無法阻擋新的攻擊模式無法阻擋層出不窮的新病毒,防火牆的架設(Cont.),無法防範來自內部的破壞或攻擊無法阻擋不經過防火牆的攻擊,DMZ區示意圖,入侵偵測系統,依照偵測方法分為 :Anomaly Detection : 建立使用者與系統的正常使用標準比對標準值,以判斷是否有入侵行為Misuse Detecti
7、on :將各種已知的入侵模式或特徵建成資料庫比對資料庫的pattern,以判斷是否有入侵行為,入侵偵測系統(cont.),相關功能:攻擊程式多數為Open Source,可建立封包過濾的pattern阻隔可能的攻擊來源對可能的來源攻擊下“停止攻擊”指令,IP Spoof的防治,IP Spoof : 偽造封包的來源IP位址以送RAW Socket方式偽造來源IP位址防治方式 : 在router或防火牆設定ACL管理規則禁止外來封包的來源位址是內部網路的位址禁止非內部網路位址的封包流到外部,伺服器的妥善管理,管理不善的伺服器 = 駭客攻擊跳板系統管理者應做好系統的修補工作網路管理人員評估校園網路安
8、全與否:弱點評估工具掃描工具,網路流量的即時分析,利用流量圖可找出攻擊來源之大方向,電腦病毒的特性,繁殖性記憶體常駐寄居性傳染性多型態事件觸發,電腦病毒的種類,檔案型開機型復合型巨集指令型命令處理型,電腦病毒 Case Study,紅色警戒 Code Red娜坦病毒 Nimda求職信病毒 KlezSircam病毒,Code Red行為分析,利用Indexing Service的buffer overflow漏洞入侵IIS Server九十九個threads用來感染其他主機最後一個thread檢查作業系統的語系與版本每個月的20日到28日,攻擊美國白宮的www1.whitehouse.gov網站
9、,Code Red II行為分析,感染系統建立300個thread,如為中文系統建立600個thread呼叫植入木馬的程式碼重新開機,留下後門與木馬程式散播病毒產生一組亂數IP位址,利用八組網路遮罩,與系統IP及亂數IP進行運算,以產生下一個攻擊目標,Code Red II行為分析(Cont.),快速連接目標,並送出一份病毒碼植入木馬當系統重新開機後,下一個使用者登入時,會執行木馬程式explorer.exe開啟後門,讓駭客遠端遙控電腦,紅色警戒(Cont.),解決方法檢查與清除病毒http:/ 自行研發的清除程式http:/ 需更新至 SP1 以上,NT4.0 需更新至 SP6a。作以上動作
10、時請先拔除網路線, 做完後再插上,紅色警戒(Cont.),建議事項系統管理者定期檢視伺服器漏洞並修正設定防火牆,限制伺服器向外部建立連線,Top 10 CountriesCountry # %-US 157694 43.91KR 37948 10.57CN 18141 5.05TW 15124 4.21CA 12469 3.47UK 11918 3.32DE 11762 3.28AU 8587 2.39JP 8282 2.31NL 7771 2.16,統計資料,Top 10 DomainsDomain # %-Unknown 169584 10610 5862 1.63t- 5514 3
11、937 3653 3595 3491 0.97net.tw 3401 0.95edu.tw 2942 0.82,統計資料,Nimda,行為模式修改網頁內容透過電子郵件自行散發病蟲網路掃描改變檔案格式並取代正常的檔案入侵電腦竊取私人資料,Nimda (Cont.),散播方式:利用email傳染利用資源分享傳染利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點,以及”Code Red II”病毒所留下的後門 透過瀏覽器從已感染的web server傳染,Nimda (Cont.),預防感染對策不要開啟來歷不明的附加檔案(附檔名為.exe/.eml
12、的檔案)升級IE版本至5.01 SP2/5.5 SP2/6.0以上http:/ (註:IE5.01SP2及IE5.5 SP2則無須安裝此修正程式)http:/ 關閉檔案共享功能,Nimda (Cont.),Outlook 2000以及2002請安裝修正程式 http:/ http:/ (Cont.),清除Code Red II的後門程式http:/ 預防IE6感染Nimda病蟲http:/ (Cont.),檢視系統安全設定之工具http:/ 4.0 Workstation, Windows 2000 Professional, and Windows XP workstations http:
13、/ 適用於Windows NT 4.0, Windows 2000, and Windows XP, as well as hotfixes for Internet Information Server 4.0,5.0 (IIS), SQL Server 7.0, SQL Server 2000,Nimda (Cont.),移除工具http:/ http:/ http:/.tw/corporate/techsupport/cleanutil/index.htm 偵測工具http:/ 啟動防毒軟體之病毒碼即時更新功能 關閉outlook/outlook express 預覽信件功能 outlo
14、ok : 關閉 “檢視/預覽窗格” 及 “檢視/自動預覽” outlook express : 關閉 檢視/版面配置/預覽窗格/顯示預覽窗格,求職信病毒(Cont.),清除病毒的方法 關閉資源分享功能。 IE 5.01 及 5.5用戶更新修正程式 關閉所有正在執行的程式,包括防毒軟體 下載清除程式 fix_klez401.zip 開啟MS-Dos模式 ,執行CLN_KLEZ.BAT 重新啟動電腦並使用掃瞄軟體掃瞄所有檔案,並將掃瞄的受感染檔案刪除,Sircam,病毒描述藉由電子郵件進行散播執行附加檔案後,病毒利用通訊錄中的名單自動發送病毒郵件郵件主旨及附加檔案名稱不固定郵件內容第一行與最後一行
15、為:Hi! How are you?See you later. Thanks!,Sircam(cont.),防毒方式設定收件原則過濾電子郵件選取:郵件/從郵件建立規則選擇規則的條件:勾選郵件本文包含的文字選擇規則的動作:勾選刪除規則說明:按一下底線文字進行編輯,將Hi! How are you?等英文字輸入。按確定即可。,Sircam(cont.),移除工具至 http:/ 下載 F執行這個工具時先關掉其他程式,包括防毒程式的自動防護如果使用Windows Me,關掉System Restore (在My Computer-Performance-File System-Troublesho
16、oting)執行 F如果您使用 Windows Me,最後請再開啟 System Restore,Mail Relay,Unix System測試: www.edu.tw/tanet/spam.html請升級send mail版本至 8.9 以上建立正確的access file & makemapExample for access file: 140.112 relayntu.edu.tw relay利用makemap建立sendmail的database,Mail Relay(Cont.),Windows測試telnet 140.112.3.90 25helo mlimail from:m
17、liccms.ntu.edu.twrcpt to:mliccms.ntu.edu.twdatatest.請更新mail server版本建立正確的使用者清單,SNMP v1 安全漏洞,行為分析入侵者可遠端操控攻擊行為造成設備的阻斷服務、緩衝區溢位入侵系統、竊取資料或是作為攻擊他人電腦的跳板受影響的設備:使用SNMP version 1的電腦主機、伺服器、路由器、交換器、防火牆等網路設備,SNMP v1 安全漏洞(Cont.),補救方法掃描SNMP服務工具SNScan http:/ SNMPing http:/www.sans.org/snmp/tool.php 安裝廠商提供的修補程式關閉SNM
18、P服務,SNMP v1 安全漏洞(Cont.),更改SNMP預設群組名稱預設名稱:snmp-server community public ROsnmp-server community private RW以防火牆或router ACL過濾SNMP連線過濾或阻擋SNMP相關的161、 162、 1993等TCP/UDP port的存取access-list 101 deny tcp any any eq 161 logaccess-list 101 deny udp any any eq 161 logaccess-list 101 permit ip any any,SNMP v1 安全漏洞(Cont.),限制特定IP可存取access-list 10 permit 140.112.3.100snmp-server community ntu RO 10啟動入侵偵測系統進行監控,個人電腦保全要領,安裝防毒軟體更新Windows應用程式版本設定Windows檔案共享的權限不開啟來歷不明的信件與附加檔注意系統漏洞與病毒的最新消息妥善管理伺服器,台大資通安全服務中心網頁,網址 : http:/cert.ntu.edu.tw內容介紹:最新消息違規主機名單病毒專區系統漏洞相關文件,
