利用Netflow即时侦测蠕虫课件

利用Netflow即時偵測蠕蟲攻擊報告人：王明輝報告日期：民國95年11月2日報告大綱緒論Netflow技術簡介研究架構與方法實驗結果與分析結論與未來研究方向研究動機蠕蟲攻擊日益增加蠕蟲攻擊會影響網路效能第一隻引起網路癱瘓的蠕蟲--CodeRedIPS阻擋蠕蟲需要耗費大量資源研究目的利用Netflow技術，發展一個快速即時的蠕蟲偵測系統只使用少量的系統資源Netflow技術探討一個flow包含七個主要欄位：來源IP位址目的IP位址來源埠號目的埠號協定類型ToSByte值封包進入Router的介面編號協定類型協定類型ValueProtocol1ICMP2IGMP6TCP9IGRP17UDP47GRE89OSPF115L2TPToS(TypeofService)ToS位元用途0-2Precedence30=NormalDelay,1=LowDelay40=NormalThroughput,1=HighThroughput50=NormalReliability,1=HighReliability6-7ReservedforFutureUse介面編號Netflow的運作流程Netflow封包格式Netflow封包HeaderNetflow記錄欄位欄位位置說明srcaddr

0-3來源IP位址dstaddr

4-7目的IP位址nexthop

8-11下一站的路由器IP位址input12-13進入Interface的SNMP編號output14-15出去Interface的SNMP編號dPkts

16-19Flow傳送的封包數dOctets

20-23Flow傳送的Byte數first24-27Flow的起始時間Netflow記錄欄位(Continued)欄位位置說明last

28-31

Flow的結束時間srcport

32-33

Layer4協定的來源埠號

dstport

34-35Layer4協定的目的埠號

pad1

36

沒有使用到

tcp_flags37

一個flow中所有封包的TCP旗標經過OR運算後的結果prot

38

第四層所使用的協定(6=TCP，17=UDP)Netflow記錄欄位(Continued)欄位位置說明tos

39

IP的服務類型

(Typeofservice)

src_as40-41來源的ASnumberdst_as42-43目的的ASnumbersrc_mask44

來源位址的子網路遮罩dst_mask45目的位址的子網路遮罩pad246-47沒有用到Netflow的取樣機制Netflow的設定interfaceSerial0

進入Serial0的介面設定

iproute-cacheflow

開啟Serial0的flowcache功能interfaceFastEthernet0

進入FastEthernet0的介面設定

iproute-cacheflow

開啟FastEthernet0的flowcache功能ipflow-exportversion5

設定輸出的封包格式為version5ipflow-exportdestination163.18.17.109991

指定收集器的IP和埠號Netflow的運作模式Netflow的運作模式(Continued)Netflow的相關應用網路應用的分析IP計量與計費網路規劃流量工程網路安全分析蠕蟲病毒的基本結構

傳播模組：負責蠕蟲的傳播。隱藏模組：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。目的功能模組：實現對電腦的控制、監視或破壞等功能。一般蠕蟲程式的傳播步驟

(一)掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包，並成功收到回應後，就得到一個可傳播的對象。(二)攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象，取得該主機的權限。(三)複製：復製模組通過原主機和新主機的連線，將蠕蟲程式複製到新主機並啟動。蠕蟲對網路的影響網路設備當機(HighCPUUtilization)路由不穩定NATTableFullRouteCacheFull異常流量分析ThresholdTcpFlag系統架構系統運作流程攻擊行為ICMP掃描TCPSYN掃描UDPFloodSYNFloodICMP掃描偵測TCPSYN掃描偵測TCPSYN掃描偵測改良UDPFlood掃描偵測UDPFlood掃描偵測(Cont.)SYNFlood掃描攻擊者正常伺服器來源

IP=亂數TCPSYN封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCP