校园网路安全.ppt_三一文库31doc.com

资源描述

《校园网路安全.ppt》由会员分享，可在线阅读，更多相关《校园网路安全.ppt（65页珍藏版）》请在三一文库上搜索。

1、校園網路安全,台大計資中心李美雯 Email : mliccms.ntu.edu.tw Phone : 3366-5010,大綱,網路攻擊模式防禦機制電腦病毒網路安全資訊,網路安全之重要性,網際網路快速發展駭客攻擊校園網路人人有則使用者系統管理,網路攻擊模式,網路監聽網路掃描漏洞利用密碼破解惡意程式植入 DoS/DDoS攻擊,網路監聽,取得攻擊或入侵目標的相關資訊 Sinffer 攔截網路上的封包 Distributed Network Sniffer Client將收集的資訊傳給Server,istributed Network Sniffer,網路掃描,遠端掃描目

2、標主機的系統取得目標主機的資訊利用系統漏洞入侵網路管理者重視此問題,漏洞利用,利用程式或軟體的不當設計或實做利用漏洞取得權限，進而破壞系統緩衝區溢位(buffer overflow) 網路安全網站公佈漏洞訊息,緩衝區溢位範例,密碼破解,利用系統弱點入侵取得密碼檔利用破解程式破解使用者密碼密碼的破解速度取得使用者密碼可入侵該主機取得系統管理者密碼可操控該主機,惡意程式碼植入,病毒(Virus) 自我複製性與破壞性後門程式(Backdoor) 動機遠端遙控建立管理者權限之帳號更改主機的系統啟動檔,惡意程式碼植入,利用電子郵件植入木馬程式駭客利用木馬程式聆聽的port遠端

3、遙控更改木馬程式名稱與聆聽的port,DoS / DDoS攻擊,DoS攻擊(Denial of Service)-阻絕服務攻擊 DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊,DoS攻擊,DoS : 系統資源被佔用，使得系統無法提供正常服務系統資源包括主機的CPU使用率，硬碟空間，網路頻寬 DoS攻擊利用同時傳送大量封包，造成網路或伺服器癱瘓,DDoS攻擊,DDoS攻擊是多層次的DoS攻擊入侵其他主機，安

4、裝攻擊程式具備遠端遙控的功能控制在同一時間內發動DoS攻擊,DDoS多層次的攻擊架構,DoS 的攻擊方式,TCP SYN 攻擊 UDP Flood 攻擊 ICMP Flood 攻擊 ICMP Smurf Flood攻擊,TCP SYN 攻擊,Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包,Three-Way Handshack,UDP Flood 攻擊,UDP是connectionless的網路協定駭客發送大量UDP封包給echo Server A

5、將來源IP偽造成另一台echo Server B 造成A與B之間的網路流量持續存在,攻擊示意圖,ICMP Flood 攻擊,ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態駭客假造來源IP並發送大量ICMP封包給被害者被害者回應等量的ICMP封包給假造的來源IP網路被害者與被假造來源IP的網路流量大增,ICMP Smurf Flood 攻擊,駭客假造來源IP為broadcast address，如140.112.254.255 駭客發出ICMP echo request時，該子網域的機器都會回ICMP給ICMP echo rep

6、ly給140.112.254.255 造成該子網域壅塞,ICMP Smurf Flood 攻擊,防禦機制,防火牆(Firewall)的架設入侵偵測系統(Intrusion Detection System)的架設 IP Spoof的防治伺服器的妥善管理網路流量的即時分析,防火牆的架設,防火牆架設的位置必須熟知攻擊或入侵的手法防火牆影響網路效率規劃DMZ(De-Militarized Zone)區防火牆的缺點無法阻擋新的攻擊模式無法阻擋層出不窮的新病毒,防火牆的架設(Cont.),無法防範來自內部的破壞或攻擊無法阻擋不經過防火牆的攻擊,DMZ區示意圖,入侵偵測系統,依照偵測方

7、法分為 : Anomaly Detection : 建立使用者與系統的正常使用標準比對標準值，以判斷是否有入侵行為 Misuse Detection : 將各種已知的入侵模式或特徵建成資料庫比對資料庫的pattern，以判斷是否有入侵行為,入侵偵測系統(cont.),相關功能: 攻擊程式多數為Open Source，可建立封包過濾的pattern 阻隔可能的攻擊來源對可能的來源攻擊下“停止攻擊”指令,IP Spoof的防治,IP Spoof : 偽造封包的來源IP位址以送RAW Socket方式偽造來源IP位址防治方式 : 在router或防火牆設定ACL管理規則禁止外來封包的來源

8、位址是內部網路的位址禁止非內部網路位址的封包流到外部,伺服器的妥善管理,管理不善的伺服器 = 駭客攻擊跳板系統管理者應做好系統的修補工作網路管理人員評估校園網路安全與否: 弱點評估工具掃描工具,網路流量的即時分析,利用流量圖可找出攻擊來源之大方向,電腦病毒的特性,繁殖性記憶體常駐寄居性傳染性多型態事件觸發,電腦病毒的種類,檔案型開機型復合型巨集指令型命令處理型,電腦病毒 Case Study,紅色警戒 Code Red 娜坦病毒 Nimda 求職信病毒 Klez Sircam病毒,Code Red行為分析,利用Indexing Service的buffer overf

9、low漏洞入侵IIS Server 九十九個threads用來感染其他主機最後一個thread檢查作業系統的語系與版本每個月的20日到28日，攻擊美國白宮的www1.whitehouse.gov網站,Code Red II行為分析,感染系統建立300個thread，如為中文系統建立600個thread 呼叫植入木馬的程式碼重新開機，留下後門與木馬程式散播病毒產生一組亂數IP位址，利用八組網路遮罩，與系統IP及亂數IP進行運算，以產生下一個攻擊目標,Code Red II行為分析(Cont.),快速連接目標，並送出一份病毒碼植入木馬當系統重新開機後，下一個使用者登入時，會執行木馬

10、程式explorer.exe 開啟後門，讓駭客遠端遙控電腦,紅色警戒(Cont.),解決方法檢查與清除病毒 http:/ Microsoft 自行研發的清除程式 http:/ 新的Patch檔,紅色警戒(Cont.),http:/ 注意事項請先更新作業系統，Win2000 需更新至 SP1 以上，NT4.0 需更新至 SP6a。作以上動作時請先拔除網路線, 做完後再插上,紅色警戒(Cont.),建議事項系統管理者定期檢視伺服器漏洞並修正設定防火牆，限制伺服器向外部建立連線,Top 10 Countries Country # %- US 157694 43.91 KR 37948 1

11、0.57 CN 18141 5.05 TW 15124 4.21 CA 12469 3.47 UK 11918 3.32 DE 11762 3.28 AU 8587 2.39 JP 8282 2.31 NL 7771 2.16,統計資料,Top 10 Domains Domain # %- Unknown 169584 47.22 10610 2.95 5862 1.63 t- 5514 1.54 3937 1.10 3653 1.02 3595 1.00 3491 0.97 net.tw 3401 0.95 edu.tw 2942 0.82,統計資料,Nimda,行為模式修改網

12、頁內容透過電子郵件自行散發病蟲網路掃描改變檔案格式並取代正常的檔案入侵電腦竊取私人資料,Nimda (Cont.),散播方式: 利用email傳染利用資源分享傳染利用”Microsoft IIS 4.0/5.0 directory traversal”的弱點，以及”Code Red II”病毒所留下的後門透過瀏覽器從已感染的web server傳染,Nimda (Cont.),預防感染對策不要開啟來歷不明的附加檔案(附檔名為.exe/.eml的檔案) 升級IE版本至5.01 SP2/5.5 SP2/6.0以上 http:/ (註：IE5.01SP2及IE5.5 SP2則無須安裝

13、此修正程式) http:/ 關閉檔案共享功能,Nimda (Cont.),Outlook 2000以及2002請安裝修正程式 http:/ http:/ 修補IIS伺服器的安全漏洞 http:/ http:/ (Cont.),清除Code Red II的後門程式 http:/ 預防IE6感染Nimda病蟲 http:/ (Cont.),檢視系統安全設定之工具 http:/ 適用於NT 4.0 Workstation, Windows 2000 Professional, and Windows XP workstations http:/ 適用於Windows NT 4.0, Windows

14、2000, and Windows XP, as well as hotfixes for Internet Information Server 4.0,5.0 (IIS), SQL Server 7.0, SQL Server 2000,Nimda (Cont.),移除工具 http:/ http:/ http:/.tw/corporate/techsupport/cleanutil/index.htm 偵測工具 http:/ 利用微軟outlook郵件預覽功能利用IE5系統漏洞利用通訊錄名單寄發病毒信冒名發送病毒信移除防毒軟體的病毒定義碼檔案即使不開啟電子郵件程式，仍可寄發病毒

15、信,求職信病毒(Cont.),預防感染對策安裝IE5修補程式，或升級到IE6 http:/ 啟動防毒軟體之病毒碼即時更新功能關閉outlook/outlook express 預覽信件功能 outlook : 關閉 “檢視/預覽窗格” 及 “檢視/自動預覽” outlook express : 關閉 “檢視/版面配置/預覽窗格/顯示預覽窗格“,求職信病毒(Cont.),清除病毒的方法關閉資源分享功能。 IE 5.01 及 5.5用戶更新修正程式關閉所有正在執行的程式，包括防毒軟體下載清除程式 fix_klez401.zip 開啟MS-Dos模式，執行CLN_KLEZ.BAT 重新啟

16、動電腦並使用掃瞄軟體掃瞄所有檔案，並將掃瞄的受感染檔案刪除,Sircam,病毒描述藉由電子郵件進行散播執行附加檔案後，病毒利用通訊錄中的名單自動發送病毒郵件郵件主旨及附加檔案名稱不固定郵件內容第一行與最後一行為: Hi! How are you? See you later. Thanks!,Sircam(cont.),防毒方式設定收件原則過濾電子郵件選取：郵件/從郵件建立規則選擇規則的條件：勾選郵件本文包含的文字選擇規則的動作：勾選刪除規則說明：按一下底線文字進行編輯，將Hi! How are you?等英文字輸入。按確定即可。,Sircam(cont.),移除工具至

17、http:/ 下載 F 執行這個工具時先關掉其他程式，包括防毒程式的自動防護如果使用Windows Me，關掉System Restore (在My Computer-Performance-File System-Troubleshooting) 執行 F 如果您使用 Windows Me，最後請再開啟 System Restore,Mail Relay,Unix System 測試: www.edu.tw/tanet/spam.html 請升級send mail版本至 8.9 以上建立正確的access file & makemap Example for access file: 1

18、40.112 relay ntu.edu.tw relay 利用makemap建立sendmail的database,Mail Relay(Cont.),Windows 測試 telnet 140.112.3.90 25 helo mli mail from:mliccms.ntu.edu.tw rcpt to:mliccms.ntu.edu.tw data test . 請更新mail server版本建立正確的使用者清單,SNMP v1 安全漏洞,行為分析入侵者可遠端操控攻擊行為造成設備的阻斷服務、緩衝區溢位入侵系統、竊取資料或是作為攻擊他人電腦的跳板受影響的設備:使用SNMP

19、version 1的電腦主機、伺服器、路由器、交換器、防火牆等網路設備,SNMP v1 安全漏洞(Cont.),補救方法掃描SNMP服務工具 SNScan http:/ SNMPing http:/www.sans.org/snmp/tool.php 安裝廠商提供的修補程式關閉SNMP服務,SNMP v1 安全漏洞(Cont.),更改SNMP預設群組名稱預設名稱: snmp-server community public RO snmp-server community private RW 以防火牆或router ACL過濾SNMP連線過濾或阻擋SNMP相關的161、 162、 19

20、93等TCP/UDP port的存取 access-list 101 deny tcp any any eq 161 log access-list 101 deny udp any any eq 161 log access-list 101 permit ip any any,SNMP v1 安全漏洞(Cont.),限制特定IP可存取 access-list 10 permit 140.112.3.100 snmp-server community ntu RO 10 啟動入侵偵測系統進行監控,個人電腦保全要領,安裝防毒軟體更新Windows應用程式版本設定Windows檔案共享的權限不開啟來歷不明的信件與附加檔注意系統漏洞與病毒的最新消息妥善管理伺服器,台大資通安全服務中心網頁,網址 : http:/cert.ntu.edu.tw 內容介紹: 最新消息違規主機名單病毒專區系統漏洞相關文件,

展开阅读全文