Transcript IPS 偵測技術簡介

NetKeeper Signature簡介
自訂 Signature初步
ART
威播科技認證暨教育訓練中心
Ver. 1.0.0
Outline
•
•
•
•
•
•
•
•
何謂 Signature
IPS 偵測技術簡介
NetKeeper Signatures 基礎
NetKeeper Anomaly Detection Signatures
支援控管軟體列表
TCP/IP基礎
自訂Signature初步
Exercises
2
何謂Signature
Signature
• 又稱網路攻擊特徵、Pattern、政策
• Signature定義並描述了完整的網路攻擊特徵或
應用程式的行為
• NetKeeper則依據signature的定義，在龐大的
網路流量中發掘這些封包特徵，並進而採取適
當的回應方式
4
IPS 偵測技術簡介
IPS 偵測技術簡介
• Misuse-based Detection (誤用偵測)
• Anomaly-based Detection (異常偵測)
6
Misuse-based Detection
• 又稱誤用偵測或網路攻擊特徵偵測(signature-based
detection)
• 分析已知網路攻擊行為或漏洞，建構攻擊特徵資料庫
• 尋找足以辨識攻擊的特定的行為或特定字串
7
Anomaly-based Detection
• 又稱異常偵測
• 偵測各項偏離預期正規的網路行為
–
–
–
–
–
Protocol Anomaly (通訊協定異常)
IP/Port Scan Anomaly (IP/Port 掃瞄異常)
Traffic Anomaly (網路流量異常)
Evasion Attacks (閃躲攻擊)
Encrypted IM/P2P detection (加密IM/P2P偵測)
• Skype 2.5 login/file Xfr/Video; Winny P2P
8
NetKeeper Signatures 基礎
NetKeeper Signatures 基礎
• Anomaly-based
detection vs.
Misused-based
Detection
• Signature說明
• 嚴重程度
• 預設丟棄封包原則
• 攻擊種類
• 誤判狀況/漏判狀況
• 參考出處
• Signature備份
• Signature與Device
同步
• BroadWb BSST電
子報
• 技術服務
10
Anomaly-based detection vs. Misusedbased Detection
• In NetKeeper, the first 59 signatures are
anomaly-based detection signatures
• In NetKeeper, the 60th signatures to 2000+
signatures are misused-based detection
11
Anomaly-based detection vs.
Misused-based Detection
• Anomaly-based
– 核心程式負責
– 需要透過更新核心程
式更新
• Misusused-based
– 攻擊辨識碼負責
– 需要透過更新攻擊辨
識碼更新
12
Signature說明
在BEMS上，可看到每一條
Signature的詳細說明
13
嚴重程度
• Level 5 (Serious)
– Run arbitrary code or gain system privileges;
DoS/DDoS; famous attacks
• Level 4 (High)
– Known serious vulnerability; Worms
• Level 3 (Medium)
– Medium threat; access controls
• Level 2 (Low)
– Threat not severe; E.g., IM, P2P, ICQ, Skype
• Level 1 (Little)
– Normal traffic; Informational
14
預設丟棄封包原則
• 嚴重程度等級 4、5 ，預設丟棄封包
• 嚴重程度 3 ，預設大部分不丟棄封
包，僅極少數丟棄封包
• 嚴重程度 1、2 ，預設不丟棄封包
15
攻擊種類
• NetKeeper將所有內
建signatures分成12
項攻擊種類
• 可點選政策/樹狀列表
觀察攻擊種類
16
攻擊種類
• DoS/DDoS
– 阻斷服務攻擊
• Buffer Overflow
– 緩衝溢位攻擊
• Access Control
– 存取控制
• Scan
– 掃瞄攻擊
• Trojan Horse
– 木馬程式
• Others
– 其他
• P2P
– 點對點傳輸軟體
• Instant Messenger
– 即時聊天軟體
• Virus/Worm
– 病毒/蠕蟲
• Porn
– 色情
• Web Attacks
– Web 攻擊
• SPAM
– 垃圾郵件
17
誤判狀況/漏判狀況
• 誤判狀況
– False Positive
– 網路封包被誤判
成特定事件，但
封包本質並非該
事件
– 例如，正常無惡
意封包卻被判定
成攻擊
• 漏判狀況
– False Negative
– IPS預期要偵測
的網路行為卻沒
有被發現
– 例如，真正的攻
擊封包流經IPS
但未被發現
18
參考出處
Signature都會列參考出處，可至這些參考
出處獲得更詳細的說明
• CVE (Common Vulnerabilities and
Exposures)
– 直接將 CVE號碼輸入Google,即可獲得
– 例：CVE-2006-4868
19
參考出處
• SID (Snort ID)
– 至Snort網站查詢
– www.snort.org
20
參考出處
• BID (Bugtraq ID)
– www.securityfocus.com/bid/bid
– http://www.securityfocus.com/bid/17462
21
Signature備份
請定期備份Signature狀態，方便日後復原
匯入
Signature
匯出
Signature
22
Signature與Device同步
當Signature資訊有所調整，儲存變更鈕
會變成綠色，請按此鈕，確認BEMS上的
Signature資訊與Device同步。
23
NetKeeper Anomaly Detection
Signatures
•
•
•
•
•
Protocol Anomaly (通訊協定異常)
IP/Port Scan Anomaly (IP/Port 掃瞄異常)
Traffic Anomaly (網路流量異常)
Evasion Attacks (閃躲攻擊)
Encrypted IM/P2P detection (加密IM/P2P偵測)
– Skype 2.5 login/file Xfr/Video; Winny P2P
24
Protocol Anomaly
(通訊協定異常)
依據RFC相關標準規範制訂
•
•
•
•
•
•
•
•
•
•
•
•
BAD_TCP_WINDOW
BAD_TCP_CHECKSUM
BAD_TCP_FLAG
ICMP SMURF
UDP SMURF
OVER_PING_MAX_NUMBE
R
OVER_PING_LENGTH
DROP_TCP_CONN
OVER_TCP_CONN
BAD_TCP_STATE
IP_BAD_DF_MF
IP_BAD_IP_OPTION
•
•
•
•
•
•
•
•
•
•
•
•
IP_BAD_IGMP_L4_SIZE
IP_BAD_ICMP_L4_SIZE
IP_BAD_UDP_L4_SIZE
IP_BAD_TCP_L4_SIZE
IP_BAD_FLAG_UF
IP_BAD_LENGTH
IP_BAD_VERSION
IGMP BAD
IP TRUNCATED
IP OVERSIZE
UDP LAND
CLASS C TCP
BROADCAST
• TCP LAND
建議將BAD_TCP_STATE disable
25
IP/Port Scan Anomaly
(IP/Port 掃瞄異常)
• 在網路攻擊發起初期，駭客需要對內部網路送
出各類刺探封包(probing packets)，藉以瞭解
欲攻擊網路的內部架構以及內部運作主機的IP
位址/開啟埠號。
• 常用的掃瞄技術
– 主機掃瞄(host scanning)
– 網路掃瞄(network scanning)
– 埠號掃瞄(port scanning)
26
IP/Port Scan Anomaly
(IP/Port 掃瞄異常)
•
•
•
•
•
•
TCP_Port_Scan
UDP_Port_Scan
TCP_Port_SYN_Scan
TCP_Port_FIN_Scan
TCP_Port_NULL_Scan
TCP_Port_XMAS_Scan
• IP_Sweep
27
Traffic Anomaly
(網路流量異常)
•
•
•
•
•
•
IP FLOOD
IGMP FLOOD
ICMP FLOOD
UDP FLOOD
TCP FLOOD
TCP SYN
• 可針對網路流量異常政
策調整其觸發門檻值
28
Evasion Attacks
(閃躲攻擊)
• 高明的駭客會利用各種進階的閃躲技術，逃避IDS/IPS
的偵測：
–
–
–
–
–
–
–
–
–
–
–
–
–
TCP_OVERLAP_WEIRD
FTP CMD TELNET OPCODE EVASION
RPC INCOMPLETE SEGMENT
RPC LARGE FRAGSIZE
RPC MULTIPLE RECORD
RPC FRAG TRAFFIC
NOP SLED ANOMALY
FTP BOUNCE ATTACK
IP FRAGMENT TIMEOUT
IP FRAGMENT BOINK
IP FRAGMENT ATTACK
IP FRAGMENT OVERSIZE
IP FRAGMENT TEARDROP
29
Encrypted IM/P2P detection
(加密IM/P2P偵測)
• NetKeeper內建anomaly detection signatures, 阻擋利用進階加密
技術的IM/P2P：
–
–
–
–
核
心
程
式
及
Plugin
需
符
合
右
列
最
低
要
求
P2P Winny login attempt -1
SKYPE_VIDEO
SKYPE_FILE TRANSFER
SKYPE_LOGIN
BroadWeb IPS機台
核心程式版本
NK Plugin
NK/ Eulen Pattern
NK 3000P
3.6.20
1.4.14
3.49
NK 3000T
3.5.20
1.4.14
3.49
NK 5105
1.0.10
1.4.14
3.49
Eulen /Eulen Admin
2.0.2
不需要
3.49
註：需要安裝BEMS 1.1，才能將NK Plugin更新至1.4.14版本
30
支援控管軟體列表
支援控管軟體列表
• P2P
–
–
–
–
–
–
–
–
–
–
–
–
–
Gnutella
FastTrack
eDonkey2000
BitTorrent
DirectConnect
PiGo
PP365
WinMX
POCO
Winny
Foxy
iMesh
ClubBox
• IM
• WEB IM
MSN
– 微軟官方Web
ICQ
MSN
AIM
– ICQ官方Web
iChat
ICQ
Yahoo Messenger
QQ
– Web IM via
TM
Meebo.com
GoogleTalk
– Web IM via
Skype
eBuddy.com
IRC
Odigo
– Web IM via
Rediff BOL
iLoveIM.com
–
–
–
–
–
–
–
–
–
–
–
–
– Gadu-Gadu
32
支援控管軟體列表
• Streamedmedia
– RealPlayer
– Windows Media
Player
– H.323
– iTunes
– WinAmp
– Radio365
– QuickTime
– QQLive
– PPLive
– Podcast Bar
– Vagaa
– Flash Media
Video
– TVAnts
• Web Mail
– Yahoo
– Hotmail
– Gmail
• VPN Tunneling
– SoftEther
– VNN
– Hamachi
– TinyVPN
– PacketiX
– HTTP-Tunnel
– Tor
– Ping-Tunnel
33
支援控管軟體列表
• 檔案下載
– GetRight
– FlashGet
– Thunder
• On-line game • 其他
(大陸)
– YouTube.com
– QQ Game
– PcAnywhere
– OurGame
– VNC
– QQFO
Game
– cga.com
Game
34
TCP/IP 基礎
35
TCP/IP基礎
•
•
•
•
TCP/IP Model and TCP/IP Protocol Suite
TCP/IP Layering
TCP Communication Architecture
UDP Communication Architecture
36
TCP/IP Model and TCP/IP Protocol Suite
37
TCP/IP Layering
38
TCP Communication Architecture
39
UDP Communication Architecture
40
自訂Signatures初步
自訂Signatures初步
• Using Ethereal
• Defining a New Defense Signature
• Signature Examples
– SQL Slammer
– Skype Activity
42
Using Ethereal
43
Using Ethereal
44
Using Ethereal
45
Using Ethereal
46
Defining a New Defense Signature
•
•
•
•
•
•
•
•
Signature Attributes
Signature Information
IP Header
Content
ICMP Header
IGMP Header
TCP Header
UDP Header
47
Matching Offset and Matching Depth
48
Signatures Examples
• MS-SQL Slammer
• Skype Activity
49
MS-SQL Slammer
50
MS-SQL Slammer
•
•
•
•
•
•
•
•
•
Attack type:Dos/DDoS
Affected O.S.:Windows 95/98; Window_2000/XP
Protocol Type:UDP
Attack Severity:Serious
Recognize Condition:
Packets happened
1 time(s) / 0 second.
Actions while being attacked:Block packet
and log event only
Schedule:
Any
UDP Source Port: Don’t care
UDP Destination Port: 1434
51
MS-SQL Slammer (cont.)
•
•
•
•
•
Direction:
Non-directional
Source IP:
Don’t care
Destination IP: Don’t care
Matching Offset:
0
Matching Depth:
0
52
MS-SQL Slammer
53
MS-SQL Slammer
54
MS-SQL Slammer
55
Skype Activity
安裝Skype的電腦會定期透過HTTP
通訊協定向外界詢問是否有更新版
本，封包內容如下：
56
Skype Activity (cont.)
•
•
•
•
•
•
•
•
•
Attack type: Access Control
Affected O.S.:All
Protocol Type:TCP
Attack Severity:Low
Recognize Condition: Packets happened 1 time(s)
/ 0 second.
Actions while being attacked:Log event only
Schedule: Any
TCP Source Port:Don’t care
TCP Destination Port: 80
57
Skype Activity (cont.)
• Direction: Outgoing
58
Skype Activity (cont.)
•
•
•
•
Source IP:
Destination IP:
Matching Offset:
Matching Depth:
Don’t care
Don’t care
0
0
59
Skype Activity (cont.)
60