實驗2 監控與偵測網路攻擊 - 雲林科技大學計算機網路研究室
Download
Report
Transcript 實驗2 監控與偵測網路攻擊 - 雲林科技大學計算機網路研究室
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗 2 : 監控與偵測網路攻擊
國立雲林科技大學
自由軟體研發中心
實驗 2:監控與偵測網路攻擊
前言
本實驗啟動網路攻擊,透過網路相關設備來分析目前的事件為何種攻擊。
本實驗用來分析攻擊的硬體設備為BroadWeb的NetKeeper,NetKeeper是網路型的入侵防禦
系統(Network-based intrusion prevention system),能夠用來即時偵測可疑的封包並作出反應
與通報,以及完整的紀錄產生這些事件的攻擊封包。
本實驗用來產生攻擊封包的程式為「Net tools version 5.0.70 」,Net tools不需購買,可直
接連上官方網站下載,該程式包含了相當多的功能, 本實驗主要使用該軟體中的UDP
Flooder、Port Scanner。
下圖為本實驗的網路連結示意圖。
140.125.32.1/24
Malicious packets
Attacker
NetKeeper
實驗場景
國立雲林科技大學 自由軟體研發中心
2
實驗 2:監控與偵測網路攻擊
網路攻擊簡介
在介紹如何監控與偵測網路攻擊前,首先先定義”何謂網路攻擊”,網路攻擊可分為二類:主動式攻擊
(Active Attacks)與被動式攻擊(Passive Attacks)。
主動式攻擊指的是攻擊者可能利用發送大量的封包佔用目標主機的網路頻寬,或是短時間內與目標主機
建立大量的連線,使得目標主機的連線數被佔滿而無法再對合法的使用者提供服務,或是在封包傳送過
程中竄改與發送偽造的封包等行為。
被動式攻擊則是默默的竊聽所有目標主機流出與流入的封包,從中得到有用的資訊以進行後續其它惡意
的行為等。被動式的攻擊不會變更任何封包資料,使得被動式攻擊偵測起來很困難。
本實驗僅針對主動式攻擊做監控與偵測的動作。
Flood packets
Listen
Attacker
主動式攻擊示意圖
Attacker
被動式攻擊示意圖
國立雲林科技大學 自由軟體研發中心
3
實驗 2:監控與偵測網路攻擊
網路攻擊簡介
網路攻擊來源分為外部的侵入者(一般稱為電腦駭客)與內部惡意的使用者。駭客入侵系統常用的方式如
下,首先掃描目標網路有哪些IP正被使用中,這些使用中的主機是使用何種作業系統,針對該作業系統
某些已知的弱點嘗試攻擊,或是監聽主機有哪些TCP或UDP連接埠(Ports)在使用,針對那些提供特定服
務的連接埠嘗試攻擊。在後面的實驗中我們會做port scan來測試所用的偵測設備是否可以偵測到port
scan的網路攻擊行為,以下我們先簡單說明port scan的工作方式。
Port Scan不是一個直接攻擊的方式,目的是在探測目標主機是否存在安全漏洞或是開啟了哪些服務。如
果攻擊者想知道目標主機開啟了哪些服務的話,可以透過連接埠掃描就可以大概知道該主機開啟了那些
服務,當攻擊者獲得目標主機開啟了哪些連接埠,就可以針對該服務存在的弱點做攻擊或入侵,例如發
現目標主機提供是一個可以匿名登入的FTP服務, 則攻擊者不需任何密碼就可進入目標主機執行某些檔
案的存取動作。
Port Scan的分類可分為全連線掃描、半連線掃描。
全連線掃描使用TCP 3-way handshake來與目標主機建立連線,而建立連線的動作一般會在目標主機上留下記錄。
半連線掃描只做了3-way handshake前兩個步驟,這種未完成3-way handshake的狀態稱為half-open,這種方式速度較
快,而且因為不會完成連線建立,因此不會在目標主機上留下記錄。
國立雲林科技大學 自由軟體研發中心
4
實驗 2:監控與偵測網路攻擊
偵測技術
一般常用來偵測網路攻擊的方式,便是安裝入侵偵測系統(Intrusion Detection System,簡稱IDS) 進行封
包的收集與分析,偵測封包內容是否有疑似攻擊的行為,如果有的話則採取對應措施。
入侵偵測系統可依照佈署位置的不同,分為下列兩種:
網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱NIDS),NIDS通常佈署在一個
網段(Segment)上,監看及分析流經此網段的網路封包,偵測出可能帶有入侵行為的封包。
主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS),HIDS則是佈署在主機或
是伺服器上,主要的功能在於分析主機(Host)或是伺服器(Server)上被呼叫或執行的指令,由此偵
測出可能帶有惡意的系統呼叫(System Call)指令。
入侵偵測如果依照偵測的技術做分類可以分成:
錯誤偵測(Misuse Detection):
大多數的IDS都是使用錯誤偵測方式,又稱為特徵偵測(Signature-based Detection),顧名思義就
是系統會先針對入侵特徵建立一個資料庫,之後只要偵測到的資料與資料庫的某個特徵相符,系
統就會將它視為入侵。
優點:不易誤判。
缺點:因為未知型態的入侵並未建立在特徵資料庫中,故新型態的入侵便無法偵測出來。
異常偵測(Anomaly Detection):
此方法則是對正常的使用者或網路流量先建立一個描述「正常」行為的行為模型,再對通過的封
包去做比對,假如超過正常行為的門檻值就可視為異常。
優點:可以偵測未知型態的入侵。
缺點:誤判率會比較高,因為我們很難去正確定義何謂「正常」? 況且使用者的行為也經常在變,
導致誤判經常發生。
國立雲林科技大學 自由軟體研發中心
5
實驗 2:監控與偵測網路攻擊
偵測技術
網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱NIDS) :
網路型入侵偵測系統通常配置在一個網路的重要出入口上檢查所有流經的封包,並即時將這些封
包加以分析比對,主要的檢測方式為檢查流經的網路封包上的標頭(header)及內容(payload),看其
中是否包含入侵特徵(特定的連接埠與字串等),藉此判斷是否為有攻擊行為的發生,並在偵測到疑
似為攻擊的行為時能夠提早預警。
主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱HIDS):
主機型入侵偵測系統則是安裝在一般主機或是伺服器上,藉由監測系統事件及安全日誌所記載的
內容來加以過濾、比對,從中發現出可疑的攻擊行為,當有事件發生時,即做入侵行為的比對,
若有符合則發出訊息通知系統管理員以對攻擊行為進行適當的反應。
現行的主機型入侵偵測系統除了稽核系統紀錄檔以外,也會定時對重要的系統設定檔、執行檔進
行計算摘要值 (checksum hash, md5)的比對,以確定重要的檔案未受到惡意的更改。
而現行的主機型入侵偵測系統也有在特定的 port 上進行網路封包檢查,算是結合主機型與網路型
入侵偵測系統功能的一種方式。
國立雲林科技大學 自由軟體研發中心
6
實驗 2:監控與偵測網路攻擊
NetKeeper
然而IDS只有警報的能力 ,無法主動防禦入侵行為 。因此隨後又發展出了入侵防禦系統 (Intrusion
Prevention System,簡稱IPS),IPS可主動偵測入侵行為並主動防禦,例如即時丟棄具有入侵行為的封包。
通常一個網路型的入侵防禦系統,應具有以下之功能(資料參考來源 http://www.broadweb.com/)
多功能防禦系統:入侵防禦系統除了可以保護企業免於遭受網路入侵攻擊外,還應該能阻擋 Virus 病毒、SPAM 垃
圾郵件、P2P 線上下載程式、IM 即時聊天程式、Web post 以及 Web Mail的入侵攻擊行為。
深層封包檢查:防火牆無法檢查網路第四層以上的封包內容,許多攻擊程式均可輕易地穿透防火牆。一般的防禦
方式是將攻擊程式所使用的服務埠關閉,但這也造成了正常程式無法使用。入侵防禦系統應該具深層封包檢查
(packet deep inspection) 能力,除了檢查第四層封包外,更能深入檢查到第七層的封包內容,以阻擋惡意攻擊碼的
穿透,同時不影響正常程式的工作。
多重偵測技術:入侵防禦系統應該採用先進之網路異常行為分析技術、封包異常分析技術以及多重內容攻擊特徵
碼偵測技術,即使在駭客、蠕蟲的襲擊下,也能提供企業多重的安全保障與防護!
即時偵測:入侵防禦系統不僅提供精確的入侵偵測能力,更應該在攻擊封包及惡性程式進入內部網路之前,先行
『決戰境外』,提供確實阻絕攻擊的解決方案。 例如可依據防禦政策即時阻斷攻擊封包及主動清除非法連線,提
供即時攻擊回應反制,同時以各種管道通知網路管理者,協同作最有效的防護措 施。
完整入侵紀錄與分析:入侵防禦系統應該建立完整攻擊日誌,並依據防禦政策截錄封包。網路管理者可透過入侵
紀錄,追查攻擊來源與目的之 IP 位址、通訊埠、通訊協定等等。
提供一圖形化的使用者管理介面:入侵防禦系統應該提供一圖形化的使用者管理介面,讓網路管理者可利用此管理
介面即時監控目前網路流量及攻擊事件,並允許使用者考量本身需求修改政策,同時也可自行定義政策,達到更
完善 的網安防護。
清楚易用報表:入侵防禦系統應該提供中文化 Web 介面供查詢攻擊事件及反應。包括攻擊事件排名、攻擊者排名、
被攻擊者排名,以及各式的統計分析報表如日報、月報、定時報表,並可以 HTML 的格式輸出及列印。
國立雲林科技大學 自由軟體研發中心
7
實驗 2:監控與偵測網路攻擊
NetKeeper
本次實驗所用的網路設備NetKeeper NK3000為一個網路型的入侵防禦系統,NetKeeper 軟
體規格 如下:(資料來源 http://www.broadweb.com/)
即時分析網路傳輸封包,以偵測是否有非法入侵或癱瘓服務之攻擊
支援多種網路操作模式
In-Line
Tap
SPAN
Monitor
Bypass
具 1,700 條以上的攻擊特徵碼資料庫
Anti-Intrusion 阻擋駭客入侵
Anti-DoS / DDoS 阻擋分散式阻斷服務
Anti-P2P 阻擋 P2P 分享下載程式
Anti-Instant Messenger 阻擋即時聊天程式
Anti-Virus 阻擋網路病毒
Anti-SPAM 阻擋垃圾郵件
Anti-Web Mail 防止經由 Web Mail 洩漏機密文件
Anti-Web Post 防止網頁資料上傳
採用高安全性之嵌入式即時作業系統 (Embedded Real-Time OS)
具隱藏模式,外界無法偵知此設備的存在
支援 SNMP V2
支援 Unlimited VLAN tagging
Maximum IDP engine throughtput:200Mbps
國立雲林科技大學 自由軟體研發中心
8
實驗 2:監控與偵測網路攻擊
NetKeeper
NetKeeper 軟體規格(Cont.)
最佳化之偵測 / 過濾引擎,整合了攻擊辨識碼資料庫比對及異常行為模型分析之雙重功能
異常行為模型分析,可偵測各種異常行為,如 Protocol 異常及流量異常等
不需其他設備支援下,可主動過濾非法 TCP、UDP、IP 等封包並中斷其連線,且保證正常網路接
取
對 DoS、DDoS 攻擊行為具高度辨識能力,可在攻擊發生之初,即時過濾攻擊封包,保護網路安全
使用者可對攻擊事件認定之參數,根據本身網路環境進行微調,以符合實際環境
使用者可自定增加攻擊特徵資料庫及自定增修偵測 / 過濾事件之回應功能達成
Layer 7 Access Control List
Keyword / Phrase Filtering
URL Filtering
Application Filtering
具即時警報系統,並可透過 E-mail 通知管理者
定時自動更新攻擊特徵碼定時自動更新硬體核心版本
具安全加密之遠端管理介面
支援軟體旁路功能設計 (Fail open software bypass) NetKeeper Advanced Intrusion Detection &
Prevention
國立雲林科技大學 自由軟體研發中心
9
實驗 2:監控與偵測網路攻擊
UDP Flooder
以下開始介紹本實驗的執行步驟,我們使用Net Tools內建的網路攻擊程式「UDP flooder」發送大量的
UDP攻擊封包到IP位址為140.125.32.7的主機(如下圖1),測試入侵防禦系統是否能夠偵測出來有攻擊者
對監控範圍中的主機攻擊。
如下圖2,當開始攻擊後,入侵防禦系統偵測出有攻擊行為,並將攻擊的類型與被攻擊目標等資訊呈現
在報表中,我們可以看到報表中顯示出IP位址為140.125.32.7的主機遭受到UDP flood的攻擊。
圖1. 使用UDP flooder對IP位址為
140.125.32.7的主機攻擊
圖2. NetKeeper 偵測到140.125.32.7的主機遭受UDP flood攻擊
國立雲林科技大學 自由軟體研發中心
10
實驗 2:監控與偵測網路攻擊
UDP Flooder
入侵防禦系統不僅將攻擊的類型與被攻擊目標等資訊以報表的方式呈現,同時也將網路的流量即時繪製
成圖表。
如下圖,我們可以看到黃色框線處是在UDP flood攻擊前的網路流量,僅有少量的TCP封包,而當開始
UDP flood攻擊後,我們可以看到綠色框線處顯示出收到大量的UDP封包,藍色框線處表示被丟棄的
UDP封包數量。
圖. UDP flood攻擊前後的網路流量資訊
國立雲林科技大學 自由軟體研發中心
11
實驗 2:監控與偵測網路攻擊
Port Scan
在測試完入侵防禦系統是否能夠偵測出UDP flood攻擊後,接著我們來測試入侵防禦系統是否能夠偵測
出Port Scan攻擊。
如下圖1,實際開始操作攻擊程式對位於NetKeeper監控範圍中的主機做Port Scan的動作,在此我們使用
Net Tools內建的網路攻擊程式「Port Identification list + IP thief + Port Monitor + Fast port scanner」,指定
對IP位址為140.125.32.19的主機做Port Scan,測試入侵防禦系統是否能夠偵測出異常。
如下圖2,當開始掃描後我們可以看到紅色框線處,入侵防禦系統顯示出能夠偵測出140.125.32.19遭受
Port Scan攻擊。
圖2
圖1
圖2. NetKeeper偵測出Port scan行為
圖1. 對IP位址為140.125.32.19的主機做Port Scan
國立雲林科技大學 自由軟體研發中心
12
實驗 2:監控與偵測網路攻擊
偵測規則
然而前面UDP flood與Port Sacn攻擊之所以能被偵測出來,是由於入侵防禦系統有預設的偵測規則,幫
助我們來分析是否有人在利用目前已知的攻擊方式來對入侵防禦系統監控範圍中的主機做攻擊的動作,
如下圖1。
每條內建規則可設定的內容如下圖2所示,設定當符合該規則特徵的封包數量達到多少後就判定為攻擊,
並且設定對該攻擊的處理方式,如丟棄封包、使用電子郵件警告等。
圖1. 過濾規則清單
圖2. 過濾規則的設定畫面
國立雲林科技大學 自由軟體研發中心
13
實驗 2:監控與偵測網路攻擊
偵測規則
通常入侵防禦系統會內建相當多的偵測規則且會定時自動更新攻擊規則,但若針對某些現
存的攻擊沒有訂定規則或是有新型態的攻擊類型出現,網路管理人員必須要自行設定新的
偵測規則時,自訂偵測規則的步驟如下圖1、2所示:
圖1 定義攻擊特徵
圖2 定義發現保護範圍與發現攻擊時的反應方式
國立雲林科技大學 自由軟體研發中心
14
實驗 2:監控與偵測網路攻擊
偵測規則
當入侵防禦系統安裝大量的偵測規則或是條件太寬鬆的規則,都會導致入侵防禦系統的效能降低以及產
生過多的事件紀錄,如下圖,入侵防禦系統將所有偵測到的攻擊事件都列出,沒有將危險程度較低的攻
擊事件區隔,使得管理人員無法快速過濾不必要的資訊來掌握狀況。
攻擊事件紀錄
國立雲林科技大學 自由軟體研發中心
15
實驗 2:監控與偵測網路攻擊
偵測規則
為了快速分析事件紀錄,可以將事件過濾,選擇只列出安全等級在中度以上、攻擊種類為DoS/DDoS、
Scan、Virus/Wrom等,所有可選擇的項目如下圖所示。
經過這樣快速分析與結合前面反覆的修訂、整合規則,可以建置出適合管理人員快速分析事件紀錄的報
表輸出畫面。
事件過濾畫面
國立雲林科技大學 自由軟體研發中心
16
實驗 2:監控與偵測網路攻擊
參考資料
「資訊安全導論.ppt」
「NetKeeper IPS Operation with BEMS 1.1.ppt」
「http://users.pandora.be/ahmadi/nettools.htm」
國立雲林科技大學 自由軟體研發中心
17