校园网路安全.ppt

《校园网路安全.ppt》由会员分享，可在线阅读，更多相关《校园网路安全.ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校園網路安全台大計資中心李美雯Email:mliccms.ntu.edu.twPhone:3366-5010大 綱n網路攻擊模式n防禦機制n電腦病毒n網路安全資訊網路安全之重要性n網際網路快速發展n駭客攻擊n校園網路人人有則n使用者n系統管理網路攻擊模式n網路監聽n網路掃描n漏洞利用n密碼破解n惡意程式植入nDoS/DDoS攻擊網路監聽n取得攻擊或入侵目標的相關資訊nSinffern攔截網路上的封包nDistributed Network SniffernClient將收集的資訊傳給Serveristributed Network Sniffer網路掃描n遠端掃描目標主機的系統n取得目標主機的

2、資訊n利用系統漏洞入侵n網路管理者重視此問題漏洞利用n利用程式或軟體的不當設計或實做n利用漏洞取得權限，進而破壞系統n緩衝區溢位(buffer overflow)n網路安全網站公佈漏洞訊息緩衝區溢位範例密碼破解n利用系統弱點入侵取得密碼檔n利用破解程式破解使用者密碼n密碼的破解速度n取得使用者密碼可入侵該主機n取得系統管理者密碼可操控該主機惡意程式碼植入n病毒(Virus)n自我複製性與破壞性n後門程式(Backdoor)n動機n遠端遙控n建立管理者權限之帳號n更改主機的系統啟動檔惡意程式碼植入n利用電子郵件植入木馬程式n駭客利用木馬程式聆聽的port遠端遙控n更改木馬程式名稱與聆聽的port

3、DoS/DDoS攻擊nDoS攻擊(Denial of Service)-阻絕服務攻擊nDDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊n2000年二月份知名網站(Yahoo,amazon,ebay,CNN,E-trade)被攻擊n2001年七月份美國白宮網站被攻擊DoS攻擊nDoS:系統資源被佔用，使得系統無法提供正常服務n系統資源包括主機的CPU使用率，硬碟空間，網路頻寬nDoS攻擊利用同時傳送大量封包，造成網路或伺服器癱瘓DDoS攻擊nDDoS攻擊是多層次的DoS攻擊n入侵其他主機，安裝攻擊程式n具備遠端遙控的功能n控制在同一時間內發動DoS攻

4、擊DDoS多層次的攻擊架構DoS 的攻擊方式nTCP SYN 攻擊nUDP Flood 攻擊nICMP Flood 攻擊nICMP Smurf Flood攻擊TCP SYN 攻擊nClient對Server發出大量的SYN請求nClient對於Server發出的SYN+ACK置之不理nClient假造來源IP位址nServer永遠無法收到Client的ACK封包Three-Way HandshackUDP Flood 攻擊nUDP是connectionless的網路協定n駭客發送大量UDP封包給echo Server An將來源IP偽造成另一台echo Server Bn造成A與B之間的網路流

5、量持續存在攻擊示意圖ICMP Flood 攻擊nICMP(Internet Control Message Protocol):偵測與回報網路的狀態n駭客假造來源IP並發送大量ICMP封包給被害者n被害者回應等量的ICMP封包給假造的來源IP網路n被害者與被假造來源IP的網路流量大增ICMP Smurf Flood 攻擊n駭客假造來源IP為broadcast address，如140.112.254.255n駭客發出ICMP echo request時，該子網域的機器都會回ICMP給ICMP echo reply給140.112.254.255n造成該子網域壅塞ICMP Smurf Flood

6、 攻擊防禦機制n防火牆(Firewall)的架設n入侵偵測系統(Intrusion Detection System)的架設nIP Spoof的防治n伺服器的妥善管理n網路流量的即時分析防火牆的架設n防火牆架設的位置n必須熟知攻擊或入侵的手法n防火牆影響網路效率n規劃DMZ(De-Militarized Zone)區n防火牆的缺點n無法阻擋新的攻擊模式n無法阻擋層出不窮的新病毒防火牆的架設(Cont.)n無法防範來自內部的破壞或攻擊n無法阻擋不經過防火牆的攻擊DMZ區示意圖入侵偵測系統n依照偵測方法分為:nAnomaly Detection:n建立使用者與系統的正常使用標準n比對標準值，以判斷

7、是否有入侵行為nMisuse Detection:n將各種已知的入侵模式或特徵建成資料庫n比對資料庫的pattern，以判斷是否有入侵行為入侵偵測系統(cont.)n相關功能:n攻擊程式多數為Open Source，可建立封包過濾的patternn阻隔可能的攻擊來源n對可能的來源攻擊下“停止攻擊”指令IP Spoof的防治nIP Spoof:偽造封包的來源IP位址n以送RAW Socket方式偽造來源IP位址n防治方式:在router或防火牆設定ACL管理規則n禁止外來封包的來源位址是內部網路的位址n禁止非內部網路位址的封包流到外部伺服器的妥善管理n管理不善的伺服器=駭客攻擊跳板n系統管理者應

8、做好系統的修補工作n網路管理人員評估校園網路安全與否:n弱點評估工具n掃描工具網路流量的即時分析利用流量圖可找出攻擊來源之大方向電腦病毒的特性n繁殖性n記憶體常駐n寄居性n傳染性n多型態n事件觸發電腦病毒的種類n檔案型n開機型n復合型n巨集指令型n命令處理型電腦病毒 Case Studyn紅色警戒 Code Redn娜坦病毒 Nimdan求職信病毒 KleznSircam病毒Code Red行為分析n利用Indexing Service的buffer overflow漏洞入侵IIS Servern九十九個threads用來感染其他主機n最後一個thread檢查作業系統的語系與版本n每個月的20

9、日到28日，攻擊美國白宮的www1.whitehouse.gov網站Code Red II行為分析n感染系統n建立300個thread，如為中文系統建立600個threadn呼叫植入木馬的程式碼n重新開機，留下後門與木馬程式n散播病毒n產生一組亂數IP位址，利用八組網路遮罩，與系統IP及亂數IP進行運算，以產生下一個攻擊目標Code Red II行為分析(Cont.)n快速連接目標，並送出一份病毒碼n植入木馬n當系統重新開機後，下一個使用者登入時，會執行木馬程式explorer.exen開啟後門，讓駭客遠端遙控電腦紅色警戒(Cont.)n解決方法n檢查與清除病毒nhttp:/ 自行研發的清除程

10、式nhttp:/ 需更新至 SP1 以上，NT4.0 需更新至 SP6a。n作以上動作時請先拔除網路線,做完後再插上 紅色警戒(Cont.)n建議事項n系統管理者定期檢視伺服器漏洞並修正n設定防火牆，限制伺服器向外部建立連線Top 10 CountriesCountry#%-US 157694 43.91KR 37948 10.57CN 18141 5.05TW 15124 4.21CA 12469 3.47UK 11918 3.32DE 11762 3.28AU 8587 2.39JP 8282 2.31NL 7771 2.16 統計資料Top 10 DomainsDomain#%-Unkn

11、own 169584 10610 5862 1.63t- 5514 3937 3653 3595 3491 0.97net.tw 3401 0.95edu.tw 2942 0.82統計資料Nimda n行為模式n修改網頁內容n透過電子郵件自行散發病蟲n網路掃描n改變檔案格式並取代正常的檔案n入侵電腦竊取私人資料Nimda(Cont.)n散播方式:n利用email傳染n利用資源分享傳染n利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點，以及”Code Red II”病毒所留下的後門 n透過瀏覽器從已感染的web server傳染Nimda(Cont

12、.)n預防感染對策n不要開啟來歷不明的附加檔案(附檔名為.exe/.eml的檔案)n升級IE版本至5.01 SP2/5.5 SP2/6.0以上nhttp:/ SP2則無須安裝此修正程式)nhttp:/ n關閉檔案共享功能Nimda(Cont.)nOutlook 2000以及2002請安裝修正程式 nhttp:/ nhttp:/ Nimda(Cont.)n清除Code Red II的後門程式nhttp:/ n預防IE6感染Nimda病蟲nhttp:/ 4.0 Workstation,Windows 2000 Professional,and Windows XP workstations nht

13、tp:/ n適用於Windows NT 4.0,Windows 2000,and Windows XP,as well as hotfixes for Internet Information Server 4.0,5.0(IIS),SQL Server 7.0,SQL Server 2000 Nimda(Cont.)n移除工具nhttp:/ nhttp:/ nhttp:/.tw/corporate/techsupport/cleanutil/index.htm n偵測工具nhttp:/ 求職信病毒n行為分析n利用微軟outlook郵件預覽功能n利用IE5系統漏洞n利用通訊錄名單寄發病毒信n冒

14、名發送病毒信n移除防毒軟體的病毒定義碼檔案n即使不開啟電子郵件程式，仍可寄發病毒信求職信病毒(Cont.)n預防感染對策n安裝IE5修補程式，或升級到IE6http:/ n啟動防毒軟體之病毒碼即時更新功能 n關閉outlook/outlook express 預覽信件功能 noutlook:關閉“檢視/預覽窗格”及“檢視/自動預覽”noutlook express:關閉 檢視/版面配置/預覽窗格/顯示預覽窗格 求職信病毒(Cont.)n清除病毒的方法 n關閉資源分享功能。nIE 5.01 及 5.5用戶更新修正程式 n關閉所有正在執行的程式，包括防毒軟體 n下載清除程式 fix_klez401

15、.zip n開啟MS-Dos模式，執行CLN_KLEZ.BAT n重新啟動電腦並使用掃瞄軟體掃瞄所有檔案，並將掃瞄的受感染檔案刪除 Sircamn病毒描述n藉由電子郵件進行散播n執行附加檔案後，病毒利用通訊錄中的名單自動發送病毒郵件n郵件主旨及附加檔案名稱不固定n郵件內容第一行與最後一行為:nHi!How are you?nSee you later.Thanks!Sircam(cont.)n防毒方式n設定收件原則過濾電子郵件n選取：郵件/從郵件建立規則n選擇規則的條件：勾選郵件本文包含的文字n選擇規則的動作：勾選刪除n規則說明：按一下底線文字進行編輯，將Hi!How are you?等英文字

16、輸入。n按確定即可。Sircam(cont.)n移除工具n至 http:/ 下載 Fn執行這個工具時先關掉其他程式，包括防毒程式的自動防護n如果使用Windows Me，關掉System Restore(在My Computer-Performance-File System-Troubleshooting)n執行 Fn如果您使用 Windows Me，最後請再開啟 System RestoreMail RelaynUnix Systemn測試:www.edu.tw/tanet/spam.htmln請升級send mail版本至 8.9 以上n建立正確的access file&makemapn

17、Example for access file:n140.112 relaynntu.edu.tw relayn利用makemap建立sendmail的databaseMail Relay(Cont.)nWindowsn測試ntelnet 140.112.3.90 25nhelo mlinmail from:mliccms.ntu.edu.twnrcpt to:mliccms.ntu.edu.twndatantestn.n請更新mail server版本n建立正確的使用者清單SNMP v1 安全漏洞n行為分析n入侵者可遠端操控攻擊行為n造成設備的阻斷服務、緩衝區溢位n入侵系統、竊取資料或是作為

18、攻擊他人電腦的跳板n受影響的設備:使用SNMP version 1的電腦主機、伺服器、路由器、交換器、防火牆等網路設備SNMP v1 安全漏洞(Cont.)n補救方法n掃描SNMP服務工具nSNScan n http:/ nSNMPing nhttp:/www.sans.org/snmp/tool.php n安裝廠商提供的修補程式n關閉SNMP服務SNMP v1 安全漏洞(Cont.)n更改SNMP預設群組名稱n預設名稱:nsnmp-server community public ROnsnmp-server community private RWn以防火牆或router ACL過濾SNMP

19、連線n過濾或阻擋SNMP相關的161、162、1993等TCP/UDP port的存取naccess-list 101 deny tcp any any eq 161 lognaccess-list 101 deny udp any any eq 161 lognaccess-list 101 permit ip any anySNMP v1 安全漏洞(Cont.)n限制特定IP可存取naccess-list 10 permit 140.112.3.100nsnmp-server community ntu RO 10n啟動入侵偵測系統進行監控個人電腦保全要領n安裝防毒軟體n更新Windows應用程式版本n設定Windows檔案共享的權限n不開啟來歷不明的信件與附加檔n注意系統漏洞與病毒的最新消息n妥善管理伺服器台大資通安全服務中心網頁n網址:http:/cert.ntu.edu.twn內容介紹:n最新消息n違規主機名單n病毒專區n系統漏洞n相關文件