Transcript Document

校園網路流量監測
與
系統異常檢測
監測系統
• Ping
– http://ping.tn.edu.tw
• 網路服務偵測系統
– http://192.83.190.237/RLC/
• MRTG
– http://mrtg.tn.edu.tw
• NetFlow
– http://netflow.tn.edu.tw
• LikeScan
– http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html
PING
• 學校www主機連通率區分為三種情況： 100% 、 90% 、
80%以下 ；分別以 綠色 、黃色 、 紅色 表示。
PING
狀況1:跳電、系統更新
網路斷線、DNS、
防火牆
狀況2:區域網路異常
狀況3:系統更新、
駭客攻擊、區網異常
網路服務偵測
http://192.83.190.237/RLC/
TANET 網路維運中心
http://nms.moe.edu.tw/
MRTG
• 狀況1:電腦中毒
僵屍電腦
• 狀況2:mail無法
寄出
• 狀況3:駭客入侵
• 狀況4:LOOP
NetFlow
當天7時、9時、12時、15時統計一次
NetFlow 流量統計
學校流出到TANET前100名統計
MailVirus
• 每日統計一次
• 監測SMTP協定
• http://netflow.tn.edu.tw/mailVirus/html/20090820/daily.html
如何看懂 likeScan ?
•
•
•
•
•
•
•
•
•
•
網址 http://netflow.tn.edu.tw/likeScan/down.html
記錄每10分鐘 (主機:port)依flows數排出前100名
共有6組數字，分別用” . ”區隔( 例:120.115.32.30.6.25)
前4組為IP位置120.115.34.254
第5組為協定 6:TCP , 17: UDP
第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…)
目標主機:代表不同主機數
FLOW:代表一次的行為
PACKETS : 封包數
Bytes：封包大小
※ 120.115.32.30 10分鐘內向1301台主機寄了4892次的信，很明顯超出
正常合理行為，判定為異常。
LikeScan
統計各IP和PORT連線狀態
http://netflow.tn.edu.tw/likeScan/html/20100222/10-0.html
※ 120.115.23.26 10分鐘內透
過TCP 445 對 282台主機做了
282次的連線，Packets和
Bytes數也不大。
這樣的狀況大都是主機存在病
毒，且透過TCP 445 做Scan行
為，試途去感染其它電腦。
ESET SysInspector
• 軟體名稱: ESET SysInspector(NOD32免費系統檢測軟體)
• 官方網站 、 軟體下載
• ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和
網路連接的免費應用程式。
• 藉由ESET SysInspector匯出
的記錄檔，把電腦中所收集
到的系統數據和資料傳送給
專業人員分析和威脅評估 。
案例分析
163.26.57.45在likeScan上看到有異常的TCP 445連線行為
使用ESET SysInspector對該電腦進行分析
VirSCAN 線上掃毒服務
• 網址:http://www.virscan.org/
• 整合「37個防毒軟體」的線上掃毒服務！
相類似網站http://www.virustotal.com/
ThreatExpert 病毒、木馬、蠕蟲…「行為分
析」檢測工具
網址http://www.threatexpert.com/ submit.aspx
結語
• 每日至少能觀察學校流量狀況一次。
• 每日至少能觀察學校連通狀況一次。
• 電腦異常時處理步驟
1. 請將有問題的電腦離線，阻止災害持續擴大。
2. 使用工具軟體找尋可疑的程式和病毒並移除。
3. 更新作業系統、病毒碼與相關應用程式至最新版本。
4. 若問題還是存在，則重新安裝作業系統。