Susan Yang (NCU-CC)1 92 學年度教育部委辦計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 ) 執行單位 : 中央大學電算中心

Susan Yang (NCU-CC) 1

92 學年度教育部委辦計劃

TANet 骨幹流量統計、維護及管理 (III)

(網路攻擊訊務的監測與自動阻絕 )

執行單位 : 中央大學電算中心計劃主持人 : 曾黎明教授陳奕明教授劉秋美組長

報告者 : 楊素秋


大綱

•1.前言•2. 網路攻擊與病蟲•3.X-Attack 攻擊訊務的監測•4.Nimda 攻擊訊務的監測•5. 異常 SMTP 訊務的監測•6. 結語


1.前言•開放的 Internet 傳輸協定

–網路攻擊問題•X-Attack 大量攻擊訊務 ,癱瘓網路服務•DDoS 分散式的攻擊訊務

– 隨著病蟲的感染快速散播

–攻擊訊務監測工具的缺乏•藉由具體的攻擊相關訊務數據•用戶共同監測 ,及時修護攻擊主機漏洞


•利用連網閘門的位置優勢 ,監測攻擊訊務– Router 座於 WAN 網路的閘門位置

•負責轉送匯集的 Internet 封包•暫存 /加總每一過境封包的 header 資訊 .

– Flow-based 的 Netflow•light-weight 訊務統計與多樣的訊務特徵追蹤

– Source_IP,source_port & destination_IP. Destination_port

– source & destination interface– protocol identifier– packet count / byte count


–利用 router Netflow log•監測 X-Attack /Nimda 攻擊訊務•自動阻絕 X-Attack 超量攻擊訊務•Blaster ICMP Flooding 訊務的監測


2. 典型的攻擊程式– Nestea

•Stupid remote DOS attack•April 1998•Send massive UDP attack packets to the target victim– The loop usleep parameter– Send attack packets with hundreds of spoofed IP source addresses

– Nestea 10.1.1.1 153.35.85.1 153.35.85.254 –s 4444 –t 5555 –n 500


DOS網路攻擊• DOS (Denial Of Service) Attack

– Consume the resources of a remote host or networks•Degrading services to legitimate users

– Introduce hardest security problem•Simple to implement•Hard to prevent

– Snooped IP addresses

•Difficult to trace


• DDOS– Distributed DOS– to saturate the bandwidth of a network link or crash network devices

– zombie•plants a daemon on a server to transform it

•Listen for commands sent by the hacker to launch an attack


• DRDOS– Distributed Reflector DOS– A simple script

•be constructed to collect a large number of SYN packet reflections

•Routers or servers•Billions of packets were blocked to server

– Packet bounce Distributed DDOS•Spoofed source IP addresses

http://www.unixeunuchs.com



Network Worm

• W32.CodeRed– Utilize .ida (indexing service) vulnerability in Microsoft Internet Information Server (IIS)•Found in July 2001.•buffer overflow allows the worm

– To execute code within IIS server– Spread it & deface the server’s home page– Randomly attack other web servers– Perform DOS attack


– Code Red worm execute only in memory•First start 100 worm threads in memory

•executed attack at the same time

– Each thread of the worm creating an effective DOS attack•N * 100


• W32.Nimda– A complex virus

•Found in Sep 2001.•uses the Unicode exploit to infect IIS web servers

– The actual lifecycle of Nimda can be split to four parts:•1) Infecting files•2) Mass mailing•3) Web worm •4) LAN propagation



• Distribution:– Name of attachment: README.EXE – Size of attachment: 57344 – Ports: 69 – Shared drives: Opens network shares

– Target of infection: Attempts to infect un-patched IIS servers

http://securityresponse.symantec.com/avcenter/refa.html#name

http://securityresponse.symantec.com/avcenter/refa.html#size

http://securityresponse.symantec.com/avcenter/refa.html#ports

http://securityresponse.symantec.com/avcenter/refa.html#shared

http://securityresponse.symantec.com/avcenter/refa.html#target


• FreeBSD.Scalper– Use the Apache HTTP Server chunk encoding stack vulnerability•Discovered in Jun. 2002

– Target IP host•Hard coded in the worm•Randomly generated•Scanned incrementally•listen for remote instructions


– Remote instructions perform one of the following functions: •Simulate a handshake between the infected computer and the vulnerable computer

•Send email messages (spam) **– Collect email addresses from the infected computer,Web pages

•TCP, UDP, DNS Flooding **•Execution of shell commands **•Other Denial of Service functions **


• Linux.Slapper– Discovered in Sep. 2002– Use a flaw in OpenSSL libraries– Affect the Linux Apache web server and OpenSSL enabled

• The infected machine can– remotely be instructed

• launch a wide variety DDOS to the Online-commerce, banking, privacy applications

• Very similar to the Scalper Apache Worm


– Variant: Slapper.A• Contained a backdoor listens to UDP port 2002, to be controlled remotely

– Variant: Slapper.B• download a copy of its source code from web site• added itself to crontab file to restart the worm hourly

– Variant: Slapper.C• sends IP addresses of infected hosts via email probably to the virus writer


• W32.Slammer– Take advantage of a buffer overflow vulnerability in Microsoft SQL Server 2000• (Found in Jan 2003)

– Randomly attack The SQL server– Random generated IP address – 1433/1434 service ports

– Attempt to perform UDP floods DOS attack– Influx of UDP traffic – Traffic volume increase rapidly

– Memory resident worm• Infected over and over again


• W32.HLLW.Lioten**– A simple program attempting to find machines to infect (Found in Dec 2002)•Query 445/tcp port

– Create 100 threads•generate IP addresses•[0-255].[0-127].[0-255].[0-127]•Try to get access system using 12 different passwords

•To run the worm at a specified time and date


• W32.Deloder– Exploit the null or weak administrator password on Server Message Block (MSB) file shares on Windows 2000 or XP• Found in Mar 2003• Used to share files and printer resources with other computers on 445/TCP service port

– Exploiting the null or weak passwords • To gain access to administrator account

– Regist the automatic execution– Open a backdoor for remote access


Worm Operation System

Vulnerability

Backdoor/Control

UDP/ICMP Flooding

Mass Mail

DDoS Attack

CodeRed Windows IIS Yes No No Yes

Nimda Windows IIS Yes* No Yes* Yes

Scalper FreeBSD Http server

Yes Yes Yes Yes

Slapper Linux Http server

Yes Yes Yes Yes

Slammer Windows SQL server

No Yes No Yes

Lioten Windows MSB Yes No No Yes

Deloder Windows MSB Yes No No Yes

MSBlaster Windows RPC DCOM

No Yes Yes Yes


3. X-Attack 攻擊訊務的監測

• X-Attack 攻擊–傳送鉅量封包或網路連接

•耗損資料傳送沿徑的網路介面的 processing 資源•沿徑網段連線頻寬

–針對 X-Attack 快速耗損網路資源的特質•實作攻擊訊務監測網頁 ,Monitoring

– UDP / ICMP X-Attack Traffic – DNS DoS Attack Traffic

•超量訊務的自動阻絕與通告


a. X-Attack 攻擊特性•沿徑 routing processing 與頻寬資源

–傳送超高 Packet count/ Byte count 訊務•router 封包轉送效能 (106 ~ 108 pps)•UDP/ICMP competitive traffic

• Target server 連網資源–結合大量 Target IP hosts–建立大量 Flow 連接或大量 UDP/ICMP Flooding

•DoS/DDoS/DRDoS attack•統計超量的 Flows ,Packets, Bytes


•以 host pair 為攻擊訊務量測 indexing•Indexing with IP Communication partner

– Source_IP > Destination_IP•(Not flow, Not session)

•躲避 firewall 及管理人員的過濾•網路攻擊程式

– 採動態的 src_port, dst_port– 動態的攻擊 /休眠時間– Spoofed Source IP address

b. X-Attack 訊務的量測


–讀取 Netflow log 檔•累計各 source / destination IP pair 訊務

– UDP packet count– flow count– byte count

•存入相關的訊務變量– udp_flows[pairi], – udp_packets[pairi], – udp_bytes[pairi]


–過濾高於 threshold 的 X-Attack 攻擊訊務數據•超高攻擊訊務 threshold 值

– udp_flow[pairi] / hour > 900– udp_packet[pairi] / hour > 10,000,000

•排序 /篩選 /顯示單日各小時的超高傳訊數據– host_pair– netflow log 數– Packet_Size– Packet 封包數– Bytes 總量


•透過 Hypertext Preprocessor (PHP) scripting 網頁程式 –提供用戶監測 X-Attack 攻擊訊務–用戶輸入查詢日期後 , invoke PHP 程式讀取對應日期的攻擊訊務數據顯示於網頁 .


c. UDP X-Attack 攻擊訊務– 140.123.102.184 與 140.136.200.11

•攻擊主機的超大量攻擊封包– 每小時可送出高達 107 ~ 108的 UDP 封包–挑戰連網 router processing 資源 ,遲緩其訊務轉送功能 .

–依據攻擊主機 IP位址 (source IP),回頭過濾 netflow logs•X-Attack 封包大都針對 destination host 的 well-know service, 傳送超量 packets.– 80/UDP、 8080/UDP、 53/UDP 等 port

•逐次調小 packet size強化其癱瘓網路設備的威力



** Flow Logs of UDP X-Attack-1 Traffic (scr_ip) (dst_ip) (protocol) (scr_p) (dst_p) (pkts) (bytes)140.136.200.11 200.249.243.249 17 32773 80 504154 21678622 140.136.200.11 200.249.243.249 17 32773 80 531475 22853425 140.136.200.11 200.249.243.249 17 32773 80 515715 22175745 140.136.200.11 200.249.243.249 17 32773 80 495831 21320733

** Flow Logs of UDP X-Attack-1 Traffic140.136.192.1 161.69.3.150 17 1086 53 230600 345900000 140.136.192.1 161.69.3.150 17 0 0 445580 603912000 140.136.192.1 161.69.3.150 17 1086 53 229274 343911000 140.136.192.1 161.69.3.150 17 0 0 442218 599481000 140.136.192.1 161.69.3.150 17 1086 53 193822 290733000 140.136.192.1 161.69.3.150 17 0 0 374025 507057000

** Flow Logs of UDP X-Attack-2 Traffic (scr_ip) (dst_ip) (protocol) (scr_p) (dst_p) (pkts) (bytes)203.68.31.22 80.135.155.194 17 3541 4766 1 544 203.68.31.22 80.135.155.194 17 3542 4182 1 544 203.68.31.22 80.135.155.194 17 3543 706 1 544203.68.31.22 80.135.155.194 17 3544 1601 1 544 203.68.31.22 80.135.155.194 17 3545 106 1 544

　攻擊訊務原始紀錄的追蹤


• DOS Attack– 藉快速建立超量 UDP flow 連接 , 耗損 destination 主機的 processing 與 network 資源

– 每小時高達 102-106 flows • DDOS Attack

– 誘發同一 Class C IP 網段的百餘部主機 , 以上百倍的冒充 UDP 封包 ,擴增對單一 destination 主機的攻擊威力

– 感染主機的用戶大都未能察覺其攻擊的發動原因• 選擇重新安裝系統 ,或提高 security等級•防患系統再次被寄生病毒 .


• 調降攻擊訊務 threshold 值 ,– 監測 high-bandwidth MediaPlayer / Game UDP 訊務

• 163.13.10.141 與 61.171.38.242 • Counter_Strike servers

– (27015/UDP service port) 的訊務• Game 平均封包大小約為 70 ~200 Bytes/Packet

• 218.146.254.203、 64.95.80.9 • MediaPlayer　 servers• 每小時送出的數十 Mbytes 的高訊務量•平均封包大小約為 1400 Bytes/Packet


• 203.242.146.143 > 203.72.179.12 flow•感染主機持續送出的 TFtp 封包 ,

– mean packet size約為 544 Byte/Packet.•依據主機 IP位址再次篩選 netflow logs,

–該主機也同時對數部主機的 httpd service port ( 80/TCP) 發出頻仍 SYN 連接» (packet size 為 48 Bytes),

•傳訊行為吻合 Nimda virus 攻擊特徵


d. ICMP X-Attack 攻擊訊務•除了 ping 與 traceroute 網路偵錯訊務外 , ICMP並無承載其他網路應用協定封包 .–惡意的攻擊程式

•快速傳輸無用的 ICMP 封包 ,或建立大量 ICMP 連接•挑戰連網設備網路及服務主機的計算資源極限•壅塞 ,甚至癱瘓連網訊務或 server 開放的服務 .

–不論 destination hosts是否真的存在•巨大的 ICMP 攻擊訊務都會耗損沿徑 WAN 網段 routing process 及頻寬資源

•嚴重干擾 destination hosts 開放服務




e. Welchia ICMP Flooding 訊務

• W32.Welchia– also known as WORM_MSBLAST.D– a worm that exploits the DCOM RPC the Web vulnerability

– It checks for active machines to infect by sending an ICMP echo request•result in increased ICMP traffic.


• It selects the victim IP address in two different ways– uses either A.B.0.0 from the infected machine's IP of A.B.C.D

– construct a random IP address based on some hard coded addresses

– After selecting the start address, the worm counts up through a range of Class B-sized networks• If the worm starts to send an ICMP echo request to A.B.0.0, it will count up to at least A.B.255.255,



e. X-Attack 訊務的自動阻絕與通告

•長時期的攻擊訊務監測– X-Attack host pair 間傳送的超量攻擊 packet封包數與訊務量均異常高於一般網路應用

–群集式 X-Attack 攻擊•結合數部具高連接頻寬的 IP 主機•同時傳送超量無用封包往同一 victim 主機

•實作自動化的攻擊訊務阻絕與通告系統•統計 UDP/ICMP非自律性訊務的 Packet/Byte標準差 ,提供方便的攻擊訊務監測指標


•依據統計的 Top-N ICMP/UDP 流量–監測異常的 X-Attack 訊務量及傳訊特徵 .

•攻擊訊務的自動阻絕–篩選高於 threshold 值之訊務紀錄

•icmp_flow [pairi] / hour > 5000•icmp_packet [pairi] / hour > 10,000,000

–連接區網 router•設定 Access Control Lists (ACLs) 限制檢測攻擊主機傳訊


•攻擊事件的自動通告–自動連接 RWhois IP 管理資訊查詢伺服主機

•查詢攻擊 source IP 主機的管理 /用戶 mail address–將檢測的攻擊訊務數據 ,發信通知管理員 /用戶

•加速感染系統的修復 ,根本排除 X-Attack 攻擊起源•統計 UDP 訊務的 Packet/Byte標準差

• X-Attack 攻擊 packet 數與訊務量均異常高於一般網路應用

•累計的 ICMP/UDP host pairs 訊務 list 資訊•提供方便的攻擊訊務監測指標


npktudpmean

i

n

i

)pkt(pair_udp___ 1

, i = 0, 1, 2, ... , n

1

)__ktpair_udp_p()__(

21

n

pktudpmeanpktudpstd

n

ii

i

nbyteudpmean

i

n

i

)byte(pair_udp___ 1

, i = 0, 1, 2, ... , n

1

)__ytepair_udp_b()__(

21

n

byteudpmeanbyteudpstd

n

ii

i




4. Nimda 攻擊訊務的監測• Nimda 攻擊訊務的辨識

– Top-N WWW　 DoS 攻擊– Top-N TFtp 訊務

•網路入侵者只需稍微具備 Socket 程式概念 ,即可蒐集大量的網路攻擊程式碼 ;並藉由傳訊參數的修改 , 大幅提升攻擊威力 .–透過 source IP 的冒充 ,發動 Smurf 攻擊–更改 protocol 代碼 , 躲避 firewall 的過濾–更改重複攻擊次數 /間隔時間參數


•網路病蟲快速搜尋 random IP 主機漏洞–植入後門程式

•供入侵者遙控發動 Distributes Denial of Service (DDoS) 攻擊

•暴露於 Internet 的 well-known server 主機最容易成為攻擊目標–攻擊 TCP SYN Floods– UDP /ICMP Floods– Smurf Attack等多樣方式


•連網匯集點的優勢 ,檢測 Nimda 感染主機–蒐集 router cached 的訊務轉送紀錄–統計 Top-N www DoS 攻擊–統計超量 TFtp 訊務–通告用戶補強系統 ,防止病蟲持續蔓延 .


a. 統計 Top-N www DoS 攻擊•定義 service_flow (svflow), 作為 host-to-service 攻擊訊務的量測 index–比對 protocol identifier 與 packet size

•累計各網路主機的 WWW SYNC 連接的訊務變量– (packet_size[svflowi] 約等於 48),– 連接數（ flow［ svflowi]）– 封包數 (pkt［ svflowi]）– 訊務變量 (byte［ svflowi]）

•排序 Top-N www service_flows•篩選超量的 WWW　 DoS 攻擊訊務 .



• Trivial File Transfer Protocol (TFTP) –為最簡單的檔案傳輸 (讀取 /上傳 )協定

•用戶要求與選定 server建立 Command 連接 (69/UDP port).

•server依據 client piggybacked 的 UDP ports (random ports, 1024-65535), 與 client 建立主要的Data 連接

•傳輸被分割成 512byte 的檔案內容封包•收訊主機則依據收到的封包 ,回饋 acknowledge 封包予發送主機 .




Table 2 Nimda Attack hosts DistributionDate

Nimda Attack DetectionLocal Attk host# External Attack hosts

Attk host# IP Addresses

7/15 (Tue)

3(75%) 1(25%) 140.137.125.37 9(pccu.edu.tw)

7/16 (Wed)

4(67%) 2(33%) 140.127.190.124 (isu.edu.tw)

7/17 (Thu)

6(86%) 1(14%) 203.71.132.210 (ksut.edu.tw)

7/18 (Fri)

6(86%) 1(14%) 203.71.132.210 (ksut.edu.tw)

7/19 (Sat)

3(60%) 2(40%) 203.71.132.210 (ksut.edu.tw)140.127.36.61 (nknu.edu.tw)

7/20 (Sun)

3(75%) 1(25%) 203.71.132.210 (ksut.edu.tw)

7/21 (Mon)

7(64%) 4(36%) 140.113.139.150(nctu.edu.tw)140.129.53.82 (ym.edu.tw)

203.186.240.253 (ctinet.com)203.71.132.210 (ksut.edu.tw)


•統計的 TFtp/DoS 攻擊主機分布數據– (Jul-15 至 Jul-21,2003）–有 60% - 86% 的 TFtp 訊務發送主機均列於檢測的 www DoS 攻擊列表 .

–其餘未對應於區網 www DoS 列表的 TFtp 訊務發送主機 ,則全為非區網的 IP主機 .


5.IP 管理資訊查詢服務•網路病蟲大量搜尋系統安全漏洞

–入侵網路主機 ,廣泛發放廣告郵件–持續搜尋更多主機的漏洞 ,藉由植入的後門程式啟動超量攻擊•產出鉅量的無用 IP封包 , 壅塞沿徑網路 .

•倍數成長的 Spam mail 與網路攻擊事件–網路管理者非常依賴 IP 管理資訊查詢系統

•通告感染主機用戶與管理者 ,修補系統•攻擊訊務的自動阻斷 ,防堵攻擊訊務的持續擴散


•為提升 Spam mail/ 攻擊訊務的通告效能– SNMP pulling區網 router ipRoute MIB

•快速萃取數萬筆 routing紀錄•建立 IP 管理資訊查詢伺服系統•實作自動化的 spam mail/ 攻擊訊務通告與阻斷系統 .


a.Spam mail• Spam mail嚴重侵害網路用戶隱私、浪費網路主機與頻寬資源

• Spam 攻擊者很容易透過搜尋程式蒐集網頁上的 Email links,或透過系統漏洞、侵入系統 ,取得大批 email帳號–透過開放的 Internet 資訊交換平台–傳送大量垃圾 / 病毒信件–利用 spam mail夾檔散播病蟲程式


Table 1 桃園區網各月份 Spam Mail 數量

Spam (IP host)

Infringer(IP host)

Virus Mail(IP host)

Jun 2003 **

9 0 0

Jul 2003 20 0 0

Aug 2003 38 6 0

Sep 2003 **

4 2 1


Table 2 桃園區網 Spam Mail 分布

Abnormal SMTP Abnormal www DoS

Infringer

Full Match(A.B.C.D)

Partial Match

(A.B.C.#)

Jul 2003 12.5 % 40 % 15 % 0 %

Aug 2003 20 % 37 % 33 % 15 %

Sep 2003 ** 10 % 25 % 28 % 25 %


b. ipRoute SNMP MIB• WAN Router 座於互連網路的閘門位置

–負責轉送匯集於此的 IP封包•讀取 destination IP 資訊 , 查詢 routing table,將封包轉送到正確的連網介面 .

– Router也將互連單位的 routing 資訊儲存於 ipRoute 分支

• Mansfield G. 曾藉由 ipRoute MIB–重複搜尋各層 routers ipRoute MIB –自動構建區域網路拓樸


NextHop 連線學校管理人員 Email 聯絡電話聯絡地址-----------------------------------------------------------------------------------------------------------------------------203.72.244.226, 中央大學 , 王雅慈 , [email protected], 4227151~7514, 中壢市中大路 300 號 ,203.71.2.237, 元智大學 , 陳通福 , [email protected], 4638800~325, 中壢市內壢遠東路 135 號 ,203.71.2.61, 中原大學 , 葉平 , [email protected], 4563171~2910, 中壢市普仁里二十二號 ,203.71.2.5, 中正理工學院 , 李秋華 , [email protected], 3809331, 大溪鎮員樹林中正理工學院 ,203.71.2.194, 中央警察大學 , 黃嘉宏 , [email protected], 3282142, 龜山鄉樹人路 56 號 ,203.71.2.209, 萬能技術學院 , 宋崇宇 , [email protected], 4515811~284, 中壢市水尾里萬能路一號 ,


TANet Backbone

Campus Network

Campus Network

Campus Network

Domeatic ISP Backbone

Campus Network

Campus Network

Connected Subnet

TYCRouter

ISPRouter

BackboneRouter

Router

Router

Router

Router

BackboneRouter

BackboneRouter

BackboneRouter

EdgeRouter

TYCRouter Router

Router

Router

RouterRouter

Router


• Routing table詳細紀錄各互連網段– IP 位址 (Destination IP)– NetMask IP (或 IP Prefix)– Nexthop IP– Interface.

IpRouteEntry ::= SEQUENCE { ipRouteDest IpAddress, ipRouteIfIndex INTEGER, ipRouteNextHop IpAddress,

ipRouteType INTEGER, ipRouteMask IpAddress, ipRouteInfo OBJECT IDENTIFIER }


•各區網處理的 routing 紀錄高達數萬筆–大部分 TANet端點學校所配置的 IP網段位址異常不連續

–無法提供有效的 IP aggregation.

•藉由 SNMP pulling router ipRoute MIB, –快速萃取連網的龐大 routing 資訊–建立 IP 管理資訊查詢服務 ,


• ipRoute MIB– Netmask MIB辨識號 .1.3.6.1.4.21.2.1.11– NextHop MIB辨識號 .1.3.6.1.4.21.2.1.7

•重複萃取網段 IP 位址與對應的 NetMask/ NextHop 位址

•分別以 IP 網段位址 index,儲存– NetMask List– NextHop List.


•結合 NetMask ,NextHop 與 Segment佇列–重建區網的龐大 ip_routing 紀錄存檔

ipRouteMask OIDip.ipRouteTable.ipRouteEntry.ipRouteMask.192.192.40.0 = IpAddress: 255.255.252.0ip.ipRouteTable.ipRouteEntry.ipRouteMask.192.192.44.0 = IpAddress: 255.255.255.0ip.ipRouteTable.ipRouteEntry.ipRouteMask.192.192.45.0 = IpAddress: 255.255.255.0ip.ipRouteTable.ipRouteEntry.ipRouteMask.192.192.46.0 = IpAddress: 255.255.255.0

ipRouteNextHop OID ip.ipRouteTable.ipRouteEntry.ipRouteNextHop.192.192.40.0 = IpAddress: 203.71.2.72ip.ipRouteTable.ipRouteEntry.ipRouteNextHop.192.192.44.0 = IpAddress: 192.83.175.111ip.ipRouteTable.ipRouteEntry.ipRouteNextHop.192.192.45.0 = IpAddress: 192.83.175.116ip.ipRouteTable.ipRouteEntry.ipRouteNextHop.192.192.46.0 = IpAddress: 192.83.175.111


NextHop Dest. Netmask Seg ====================================================

203.72.244.226, 140.115.0.0, 255.255.0.0, 256

203.71.2.5, 140.132.0.0, 255.255.0.0, 256

203.71.2.61, 140.135.0.0, 255.255.0.0, 256

203.71.2.237, 140.138.0.0, 255.255.0.0, 256

203.71.2.209, 192.192.40.0, 255.255.252.0, 4

203.71.2.209, 203.68.52.0, 255.255.252.0, 4…


c. RWhois •利用 Mark Kosters’DataBase (MKDB) 支援資料的管理與查詢 .

•資料庫查詢伺服程式 rwhoisd•資料庫建置程式 rwhoisd_indexer•預設的 schema 特徵檔

– Network– organization– Host– reference




d. Spam mail 的自動通告 • Simple Mail Transfer Protocol (SMTP)

–定義電子郵件 Email 傳遞協定•mail 的寄發 ,routing, relaying,收信等機制•Sendmail 為最普遍使用的電子郵件傳送程式

– Mail server 藉由 sendmail 接受 mail client 連接要求

–發送 mail到 destination mail server–接收送達的 user mail,並轉存到 user mail-box

» 存成 /var/mail/user_name 檔 .


Spam mail 自動通告的處理程序

– (1) 讀取 /var/mail/abuse buffer 檔 , 依據 “ From “ 分割 /萃取各單封的 spam mail抱怨信件並存檔 .

– (2) parsing 各信件內容 ,萃取攻擊 IP位址 .– (3) 依據攻擊 IP, 自動連線 RWhois server,查詢 IP 管理資訊 .

– (4) 依據查詢的 IP管理資訊 , 將萃取的信件內容檔轉送給管理員 /用戶 mail




攻擊訊務的自動阻絕與通告 – (1)周期性地篩選超量攻擊訊務 , 萃取攻擊主機 IP位址 .

– (2)依據攻擊主機 IP, 自動連線 RWhois server,查詢 IP 管理資訊 .

– (3)依據管理資訊 ,遠端設定區網 router•限制攻擊主機傳訊 ,防止超量攻擊訊務的擴散

– (4) 連接 RWhois 查詢伺服主機 ,查詢管理資訊•自動發信通知管理人員 /用戶•協助修補感染的系統 ,排除攻擊訊務起源 .


6. 結語•任何 Internetend-to-end溝通 .依賴

•沿徑 routers •層層網路傳輸 /應用協定

– X-Attack 超量攻擊訊務能長驅直入通過層層 check points•壅塞各沿徑段網段訊務與主機的開放服務•這種奇蹟卻常見於實際的 Internet 連網

–其間任一關卡實作檢測 /阻斷攻擊訊務•X-Attack 超量攻擊便無法得逞


•攻擊主機的處理經驗– Windows 2000 without patch (dominant)– Linux web server– FreeBSD web server

•持續 well-know service 攻擊訊務的監測•透過務變量的 stochastic modeling

–檢測更廣泛的 TCP/UDP 攻擊訊務特徵–協助辨識與阻絕攻擊


• Reference Site– http://www.europe.f-secure.com/ – http://www.symantec.com/avcenter/venc/data/[email protected]

http://www.europe.f-secure.com/

http://www.europe.f-secure.com/

Documents

Susan Yang (NCU-CC)1 92 學年度 教育部委辦計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 ) 執行單位 : 中央大學電算中心

Susan Yang (NCU-CC)1 92 學年度教育部委辦計劃 TANet 骨幹流量統計、維護及管理 (III) ( 網路攻擊訊務的監測與自動阻絕 ) 執行單位 : 中央大學電算中心