期末專題報告參考範例簡報
Download
Report
Transcript 期末專題報告參考範例簡報
Web ICQ
組別
胡藤耀
沈育澤
李逸聖
第10組
49390069
49390077
49390103
摘要
一、研究動機
二、研究方法
三、研究發現
四、研究結論
一、研究動機
由於修習資訊與通訊安全學程之故,而選修資
訊與通訊安全實習課程,因此本專題為重點學
習成果之項目。
想要多增加一點實務經驗,學而行,有時候不
如做而行。
二、研究方法
網路串流封包分析
網路應用軟體安裝
1.文獻探討
2.上課學習
IPS操作
BEMS使用
測試IPS有對封包無觸發反應
網路封包成功觸發IPS反應
三、研究發現
其實透過課堂上的學習後,只要是未加密過的
封包,要找出其特徵碼並非難事,因為透過
OSI七層原理,可以知道網路封包的對應關係
與格式,未加密的封包,皆以明碼傳輸,側錄
封包,並分析其架構,就可以找到特徵碼,來
架構安全的過濾機制。
不同協定,網路封包傳輸機制的不同。
四、研究結論
專題研究過程中,學習到IPS的原理架構,也
學習到團隊的分工合作及時間配合等,許多的
互助合作之應有的共識。
Web_ICQ簡介
一、Web_ICQ的簡介
二、Web_ICQ使用介紹
三、Web_ICQ應用的範圍
一、Web_ICQ的名稱
ICQ是最早出現的即時通訊軟體之一。ICQ源自
以色列特拉維夫的Mirabilis公司(成立於
1996年7月),由幾個以色列青年在1996年11
月發明。
ICQ是英文「I SEEK YOU」諧音,中文意思是:
我找你。
一、Web_ICQ的名稱
ICQ是一款網路即時訊息傳呼軟體,支持在
Internet上面聊天,以及發送消息、網址及文
件等功能。朋友雙方裝上ICQ軟體,上網時可
以互相聯絡。現時的還可以與朋友玩小遊戲、
進行視訊。
應用程式,我們選擇Web ICQ,網頁版的ICQ,
功能較精簡,一樣可以線上即時傳訊,但無法
進行遊戲與視訊等等...
二、Web_ICQ使用介紹
下載J2RE1.4.2_11 For W32版本 ,
https://sdlc1d.sun.com/ECom/docs/Downloa
d.jsp;jsessionid=213C998C6CF98FE9D6889F3
045856028
二、Web_ICQ使用介紹
安裝J2RE1.4.2_11程式
按完成
二、Web_ICQ使用介紹
開啟Web ICQ網頁
(網址:http://www.icq.com/download/icq2go/)
點選ICQ2Go!
Java
二、Web_ICQ使用介紹
輸入ICQ and Password,
按Connect
輸入ICQ帳號和密碼,
點選Connect
二、Web_ICQ使用介紹
開始使用網頁即時線上傳訊
如右圖示:登入成功
三、Web_ICQ應用的範圍
只要有安裝Java(J2RE程式)
都可以透過網頁來執行Web IM(Instant
messenger),
不用特別安裝特定ICQ程式,透過網頁來執行,
跨平台極為方便。
Web_ICQ可能帶來的資訊安全危害
Web_iCQ帶來的資訊危害
病毒和蠕蟲透過IM散播
身份盜竊
穿透防火牆
資料安全漏洞
即時傳訊垃圾訊息(Spim)
Web_iCQ帶來的資訊危害
一、病毒和蠕蟲透過IM散播
病毒和蠕蟲的連結,透過IM達到更快的散播,加
上公共IM的用戶端所使用IM版本有程式漏洞,更可
以被用來散播攻擊,或者發起分散式阻斷服務攻擊
(DDoS)。
Web_iCQ帶來的資訊危害
二、身份盜竊
IM不需透過E-mail往來,直接用匿稱辨識,因此
有可能取極為相近的匿稱,假借他人名義,來騙取
他人的信任,進而獲得相關資訊。例如:對象ID為
billgate,攻擊者取名為billgates,假冒
billgate身分,獲取billgate聯絡人清單的信任。
Web_iCQ帶來的資訊危害
三、穿透防火牆
可以有效的穿過防火牆,因為防火牆大都會開放
port 80,為了瀏覽網頁所需要,但是Web IM是屬
於Web服務,可以透過port 80來存取使用服務,造
成防火牆無法有效控管。更可能透過https加密,
來隱藏該Web IM的封包,防不勝防。
Web_iCQ帶來的資訊危害
四、資料安全漏洞
使公司在不知情的情況下,暴露出敏感資訊,並
導致法律風險。
如:在公司資訊管理下,職員有可能利用IM傳送
公司機密文件,甚者在不經意的聊天中洩露敏感資
訊。因為IM難以追蹤,並有效過濾內容且及時發現。
Web_iCQ帶來的資訊危害
五、即時傳訊垃圾訊息(Spim)
「即時傳訊垃圾訊息」(IM加spam)被專家稱為
「Spim」,即使是少量的spim,也帶給用戶極大的
困擾,因為IM訊息一傳出,就即時顯現在電腦螢幕
上,令收訊者束手無策。
IM濫發訊息也可能造成安全威脅。嵌入IM的超文
字連結可能以免費獎品、特別折扣或內容下載等好
康,誘拐使用者點選連結,導致病毒侵入企業內部
網路。嚴重的spim可能導致網路壅塞,影響應用程
式的執行效能。
網路環境架構
測試電腦
硬體IPS
(執行WEB_ICQ程式)
網際網路
(WEB_ICQ伺服端)
BEMS系統
(封包政策制定)
網路架構
測試電腦串聯硬體IPS後再與網際網路做連結;測
試電腦與網際網路均需通過硬體IPS才能對彼此傳遞網
路封包,而IPS由BEMS系統所建構的封包政策來對欲通
過IPS的封包做逐一的特徵比對,如果發現特定封包便
會依照BEMS系統的所指示的方式對該封包進行處理。
特徵碼分析
Web_ICQ_login封包
Web_ICQ_logout封包
Web_ICQ_addnewfriend封包
Web_ICQ_addnewgroup封包
Web_ICQ_SendMsg封包
一、Web_ICQ_login特徵辨識碼封包分析
通訊協定:TCP
Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq:
34, Ack: 11, Len: 155
來源埠:大於1023
Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq:
34, Ack: 11, Len: 155
目的埠:大於79
Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq:
34, Ack: 11, Len: 155
方向性:由內向外
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外
比對位移:不指定
比對長度:不指定
比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload
比對內容:
比對內容1:toc2
比對內容2:login
比對內容3:Revision
比對內容4:preakness
一、 Web_ICQ_login完整封包擷取內容
nternet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
Transmission Control Protocol, Src Port: 2253 (2253), Dst Port: https (443), Seq:
34, Ack: 11, Len: 155
Secure Socket Layer
0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E.
0010 00 c3 3b d6 40 00 80 06 71 19 ac 11 fd 7e cd bc ..;[email protected]....~..
0020 d5 f8 08 cd 01 bb 5a ed 80 33 88 9a 46 5d 50 18 ......Z..3..F]P.
0030 af be 2c 1c 00 00 2a 02 f0 03 00 95 74 6f 63 32 ..,...*.....toc2
0040 5f 6c 6f 67 69 6e 20 6c 6f 67 69 6e 2e 69 63 71 _login login.icq
0050 2e 63 6f 6d 20 35 31 39 30 20 34 33 30 39 36 38 .com 5190 430968
0060 31 34 35 20 30 78 33 35 30 30 30 37 35 63 33 35 145 0x3500075c35
0070 35 61 35 32 36 33 20 22 65 6e 22 20 22 49 43 51 5a5263 "en" "ICQ
0080 54 49 43 3a 33 30 2e 32 2e 33 32 31 5c 24 52 65 TIC:30.2.321\$Re
0090 76 69 73 69 6f 6e 3a 20 31 2e 30 5c 24 22 20 31
vision: 1.0\$" 1
00a0 33 35 20 22 54 57 22 20 22 22 20 22 22 20 33 30 35 "TW" "" "" 30
00b0 20 32 20 33 32 31 20 2d 75 74 66 38 20 2d 70 72 2 321 -utf8 -pr
00c0 65 61 6b 6e 65 73 73 20 33 38 38 31 38 36 32 34
eakness 38818624
00d0 00
.
二、Web_ICQ_logout特徵辨識碼封包分析
通訊協定:TCP
Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 55
來源埠:大於1023
Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 55
目的埠:大於79
Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 55
方向性:由內向外
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外
比對位移:不指定
比對長度:不指定
比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload
比對內容:
比對內容1:toc2
比對內容5:ICQTIC
比對內容2:set
比對內容3:client
比對內容4:pref
二、Web_ICQ_logout完整封包擷取內容
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
Transmission Control Protocol, Src Port: 2479 (2479), Dst Port: 8080 (8080),
Seq: 0, Ack: 0, Len: 55
Hypertext Transfer Protocol
0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E.
0010 00 5f 46 7c 40 00 80 06 66 d7 ac 11 fd 7e cd bc ._F|@...f....~..
0020 d5 f8 09 af 1f 90 7b 7b 54 ea 10 f0 aa 6b 50 18 ......{{T....kP.
0030 ac 72 05 80 00 00 2a 02 58 e7 00 31 74 6f 63 32 .r....*.X..1toc2
0040 5f 73 65 74 5f 63 6c 69 65 6e 74 5f 70 72 65 66 _set_client_pref
0050 20 49 43 51 54 49 43 20 22 33 36 30 38 2c 30 2c
ICQTIC "3608,0,
0060 30 2c 30 2c 36 30 2c 6e 75 6c 6c 22 00
0,0,60,null".
三、Web_ICQ_addfriend特徵辨識碼封包分析
通訊協定:TCP
Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq:
44, Ack: 108, Len: 58
來源埠:大於1023
Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq:
44, Ack: 108, Len: 58
目的埠:大於79
Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq:
44, Ack: 108, Len: 58
方向性:由內向外
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外
比對位移:不指定
比對長度:不指定
比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload
比對內容:
比對內容1:toc2
比對內容2:new
比對內容3:buddy
三、Web_ICQ_addfriend完整封包擷取內容
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
Transmission Control Protocol, Src Port: 2263 (2263), Dst Port: https (443), Seq:
44, Ack: 108, Len: 58
Secure Socket Layer
0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E.
0010 00 62 3c bc 40 00 80 06 70 94 ac 11 fd 7e cd bc .b<[email protected]....~..
0020 d5 f8 08 d7 01 bb 98 40 84 8f 13 0d b7 75 50 18 [email protected].
0030 af 47 49 a4 00 00 2a 02 cc 30 00 34 74 6f 63 32 .GI...*..0.4toc2
0040 5f 6e 65 77 5f 62 75 64 64 79 20 22 34 36 31 33 _new_buddy "4613
0050 30 39 34 34 38 22 20 22 42 75 64 64 69 65 73 22 09448" "Buddies“
0060 20 22 6e 69 75 73 68 6f 6d 65 77 6f 72 6b 22 00 "niushomework".
四、Web_ICQ_newgroup特徵辨識碼封包分析
通訊協定:TCP
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 28
來源埠:大於1023
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 28
目的埠:大於79
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 28
方向性:由內向外
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外
比對位移:不指定
比對長度:不指定
比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload
比對內容:
比對內容1:toc2
比對內容2:new
比對內容3:group
四、Web_ICQ_newgroup完整封包擷取內容
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 28
Hypertext Transfer Protocol
Data (28 bytes)
0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E.
0010 00 44 46 f7 40 00 80 06 66 77 ac 11 fd 7e cd bc [email protected]...~..
0020 d5 f8 09 b8 1f 90 54 ca 90 c5 9d 47 56 5a 50 18 ......T....GVZP.
0030 ac 91 a5 00 00 00 2a 02 ed 71 00 16 74 6f 63 32 ......*..q..toc2
0040 5f 6e 65 77 5f 67 72 6f 75 70 20 22 61 6a 6f 79 _new_group "ajoy
0050 22 00
".
五、Web_ICQ_SendMsg特徵辨識碼封包分析
通訊協定:TCP
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 48
來源埠:大於1023
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 48
目的埠:大於79
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 48
方向性:由內向外
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
因為Client端的IP為172.17.253.126,顯示為來源端(Src),方向規定由內向外
比對位移:不指定
比對長度:不指定
比對位移以及比對長度都不指定,代表比對整個TCP封包的Payload
比對內容:
比對內容1:toc2
比對內容2:send
比對內容3:im
五、Web_ICQ_SendMsg完整封包擷取內容
Internet Protocol, Src: 172.17.253.126 (172.17.253.126), Dst: 205.188.213.248
(205.188.213.248)
Transmission Control Protocol, Src Port: 2488 (2488), Dst Port: 8080 (8080), Seq:
0, Ack: 0, Len: 48
Hypertext Transfer Protocol
Data (48 bytes)
0000 00 d0 b7 6f 3b 81 00 06 f4 0d 96 6b 08 00 45 00 ...o;......k..E.
0010 00 58 48 fb 40 00 80 06 64 5f ac 11 fd 7e cd bc [email protected]_...~..
0020 d5 f8 09 b8 1f 90 54 ca 91 8c 9d 47 56 b4 50 18 ......T....GV.P.
0030 ac 37 9b 84 00 00 2a 02 ed 78 00 2a 74 6f 63 32 .7....*..x.*toc2
0040 5f 73 65 6e 64 5f 69 6d 20 34 36 31 33 30 39 34 _send_im 4613094
0050 34 38 20 22 6e 69 75 77 6f 72 64 31 22 20 6f 66 48 "niuword1" of
0060 66 6c 69 6e 65 00
fline.
心得分享
心得與經驗
對ICQ的了解。
對TCP/IP協定的重新認識。
培養解決問題的能力。
IPS的管理與應用
更進一步認識到資訊安全的重要性
一、對ICQ的了解
之前並不了解什麼是ICQ,而且也不太清楚何
謂Web_ICQ,這是最早出來的即時通訊軟體,但
是接觸即時通訊軟體時間,卻是在MSN和雅虎即
時通熱門的時候,因此ICQ未曾使用過,當然也就
不清楚何謂ICQ的服務。在製作專題時開始去找一
些ICQ程式介紹,搜尋相關資訊,才對ICQ有了進
一步的了解。
二、對TCP/IP協定的重新認識。
三向握手協定
在觀察WEB_ICQ的封包串流時發現,在執行個別
不同的動作時,都會先執行一次三項握手協定,來
確定這些不同動作的資料傳送同步的時間。
封包串流
在擷取封包的時候常常會擷取到一些非報告所
需的封包,這時便會使用到封包串流的觀念,針對
我們所需的動作利用封包串流的概念進而過濾掉其
餘不必要的封包,這使得原本十分龐大且複雜的網
路封包,便得更容易觀察與分析。
三、培養解決問題的能力
註冊並使用該Web ICQ服務時,在利用Ethereal軟體側
錄Web_ICQ網路封包時候,卻發生封包無法順匯出的問
題,出現未知錯誤,故推測有可能是舊版軟體產生的
問題,因此去發掘到新版的Ethereal軟體並下載使用。
新版的Ethereal跟原本的Ethereal有點不太一樣,因
為網路協定分析程式 Ethereal 的主要開發人員
Gerald Combs 從 NIS 跳槽到 CACE,結果因為
Ethereal的商標是 NIS 公司的,而NIS公司並沒有打
算要放棄商標。
三、培養解決問題的能力
在這情況下,Gerald Combs 只好公告說這個網路協定
分析程式的名稱改叫 Wireshark,而因為他現在已經
沒有管理NIS 那台機器的權限了,所以他也無法在NIS
原站台上面公告,因此才會有相同的程式架構,卻有
不同的名字出現,當然舊版的Ethereal也早已經暫停
更新了。
後來利用Wireshark,就能順利匯出封包,進行封包分
析和特徵碼的製作。
四、IPS的管理與應用
清楚的了解到BEMS的安裝流程
網路封包如何製作特徵碼
透過IPS攔截過濾特定的規則封包
更多的網路攻擊手法及預防
五、認識到資訊安全的重要性
沒有不安全的系統,只有不安全的人,每個系
統都是安全的,但是今天管理系統和操作系統
的都是人,因為人的管理不當,使用者的操作
不當,就造成嚴重的資訊安全問題,輕者個人
資料外洩,重者國家機密外露,威脅國家安全,
重點並不是單純學習管理IPS系統,而是IPS只
是輔助,真正要負起落實資訊安全觀念,是每
個網路使用者的責任。
參考資料
參考網址
維基百科
http://zh.wikipedia.org/w/index.php?title=ICQ&variant=zh-tw
wireshark官網
http://www.wireshark.org/
苦牢之最後一年
http://blog.ijliao.info/archives/2006/06/10/2358/
Top 5 IM security risks
http://www.networkworld.com/research/2004/0628imfeat5.html
CNET新聞
http://taiwan.cnet.com/news/software/0,2000064574,20088667,00.htm
報告完畢!
謝謝大家,請多指教~