《僵尸网络检测分析之比较》.pptVIP

結論與建議 殭屍網路透過其他通訊協定傳染 Http P2P 減輕人工管理的困難度 黑白名單是很好的方式 搭配其他弱點偵測軟體效果更佳 結論與建議 兩者可相互搭配 搭配其他網管效果更好 防火牆 流量監測 使用者保持良好習慣 病毒 蠕蟲 拙見-新架構 OS：Linux 撰寫Shell Script： 將黑名單與Firewall結合 保持白名單功能 對付殭屍網路的 DNS與IRC Server 報告結束，謝謝大家 三向交握（3_hand_shak） 返回 三向交握（3_hand_shak） 返回 DDoS 利用三相交握 返回 三相交握 Application level floods Request Request Request Request Request 返回 TCP/IP封包格式 返回 * * * 指導教授：葉禾田 教授 報告學生：碩資傳一甲 蔡昀璋 報告大綱 論文簡介 Botnet and DDoS 重大DDoS事件 防範方法 – 論文一 防範方法 – 論文二 方法比較 結論與建議 論文簡介 論文一（2009 年資訊科技國際研討會論文集） 殭屍網路活動的偵測與阻絕工具研發 指導教授：楊中皇高雄師範大學 資訊教育研究所教授 發表學生：丁光立 資訊教育研究所研究生 論文二（TANet 2009 國際學術研討會…） 透過分析偵測並瓦解僵屍網路 Tian-Hao,Chen、Shi-Jia,Peng、Li-Ming,Tseng Department of Computer Science and Information Engineering, National Central University Botnet and DDoS Vint Cerf 網際網路之父 全球「25％」的電腦為「殭屍」 Botnet 簡介 殭屍網路，又稱喪屍網路 駭客常用攻擊手法之一 Botnet and DDoS Botnet 發展過程 IRC「 Internet Relay Chat」 Eggdrop 90年代末 IRC淪為殭屍網路的工具 Botnet and DDoS DDoS 簡介 「Distributed Denial of Service」 分散式阻斷服務攻擊，又稱洪水攻擊 利用TCP/IP的「三向交握」 Botnet and DDoS DDoS 攻擊流程示意圖 方法一 方法二 Botnet and DDoS DDoS 常見攻擊方式 SYN flood LAND attack ICMP floods Application level floods 重大事件DDoS 2003年eBay 遭受美國奧勒岡州駭客控制 2 萬台殭屍網路攻擊 2004年中國某音樂網站 遭受河北駭客操控 6 萬台殭屍網路攻擊 2008年巴哈姆特、遊戲基地等大型討論區 2009年Facebook、Tiwtter等社交網站 2009年美、韓網站被癱瘓 ………枚不盛舉 防範方法 殭屍網路活動的偵測與阻絕工具研發 殭屍網路偵測的相關研究 Honeypot and 雙重 Honeypot 觀察 IRC 的固定Port 與Server 連結的client 建置 BotSniffer 系統，由 bots 行為的一致性作判別 防範方法-（論文一） 本研究提出之方法 ntop 網路流量監控程式 Perl Shell Script 防範方法-（論文一） 殭屍網路活動的偵測與阻絕工具研發 Ntop修改 Local to Local Local to Remote Remote to Local IP Traffic Host Activity Activity TCP/UDP Sessions 來源Port 目標Port 來源 IP 目標IP 防範方法-（論文一） 殭屍網路活動的偵測與阻絕工具研發 本機IP: 目標IP:2 本端Port:2646 目標Port:5564 本機IP:0 目標IP:2 本端Port:2785 目標Port:5564 本機IP:5 目標IP:2 本端Port:2597 目標Port:5564 防範方法-（論文一） 殭屍網路活動的偵測與阻絕工具研發 對Session管理 黑名單 白名單 Email或其他方式提醒網路管理者 防範方法-（論文一） 殭屍網路活動的偵測與阻絕工具研發 防範方法-（論文一） 殭屍網路活動的偵測與阻絕工具研發 防範方法-（論文二） 透過分析偵測並瓦解僵屍網路 研究架構 防範方法-（論文二） 透過分析偵測並瓦解僵屍網路 實驗環境： Host OS: Windows Server 2003 Guest OS: Windows XP SP2 Packet trace: Wireshark 1