校园网路安全指南.ppt

校園網路安全 台大計資中心 李美雯 Email : mli@.tw Phone : 3366-5010 大 綱 網路攻擊模式 防禦機制 電腦病毒 網路安全資訊 網路安全之重要性 網際網路快速發展 駭客攻擊 校園網路人人有則 使用者 系統管理 網路攻擊模式 網路監聽 網路掃描 漏洞利用 密碼破解 惡意程式植入 DoS/DDoS攻擊 網路監聽 取得攻擊或入侵目標的相關資訊 Sinffer 攔截網路上的封包 Distributed Network Sniffer Client將收集的資訊傳給Server 網路掃描 遠端掃描目標主機的系統 取得目標主機的資訊 利用系統漏洞入侵 網路管理者重視此問題 漏洞利用 利用程式或軟體的不當設計或實做 利用漏洞取得權限，進而破壞系統 緩衝區溢位(buffer overflow) 網路安全網站公佈漏洞訊息 密碼破解 利用系統弱點入侵取得密碼檔 利用破解程式破解使用者密碼 密碼的破解速度 取得使用者密碼可入侵該主機 取得系統管理者密碼可操控該主機 惡意程式碼植入 病毒(Virus) 自我複製性與破壞性 後門程式(Backdoor) 動機 遠端遙控 建立管理者權限之帳號 更改主機的系統啟動檔 惡意程式碼植入 利用電子郵件植入木馬程式 駭客利用木馬程式聆聽的port遠端遙控 更改木馬程式名稱與聆聽的port DoS / DDoS攻擊 DoS攻擊(Denial of Service)-阻絕服務攻擊 DDoS攻擊(Distributed Denial of Service)-分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊 DoS攻擊 DoS : 系統資源被佔用，使得系統無法提供正常服務 系統資源包括主機的CPU使用率，硬碟空間，網路頻寬 DoS攻擊利用同時傳送大量封包，造成網路或伺服器癱瘓 DDoS攻擊 DDoS攻擊是多層次的DoS攻擊 入侵其他主機，安裝攻擊程式 具備遠端遙控的功能 控制在同一時間內發動DoS攻擊 DoS 的攻擊方式 TCP SYN 攻擊 UDP Flood 攻擊 ICMP Flood 攻擊 ICMP Smurf Flood攻擊 TCP SYN 攻擊 Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包 UDP Flood 攻擊 UDP是connectionless的網路協定 駭客發送大量UDP封包給echo Server A 將來源IP偽造成另一台echo Server B 造成A與B之間的網路流量持續存在 ICMP Flood 攻擊 ICMP (Internet Control Message Protocol) : 偵測與回報網路的狀態 駭客假造來源IP並發送大量ICMP封包給被害者 被害者回應等量的ICMP封包給假造的來源IP網路 被害者與被假造來源IP的網路流量大增 ICMP Smurf Flood 攻擊 駭客假造來源IP為broadcast address，如55 駭客發出ICMP echo request時，該子網域的機器都會回ICMP給ICMP echo reply給55 造成該子網域壅塞 防禦機制 防火牆(Firewall)的架設 入侵偵測系統(Intrusion Detection System)的架設 IP Spoof的防治 伺服器的妥善管理 網路流量的即時分析 防火牆的架設 防火牆架設的位置 必須熟知攻擊或入侵的手法 防火牆影響網路效率 規劃DMZ(De-Militarized Zone)區 防火牆的缺點 無法阻擋新的攻擊模式 無法阻擋層出不窮的新病毒 防火牆的架設(Cont.) 無法防範來自內部的破壞或攻擊 無法阻擋不經過防火牆的攻擊 入侵偵測系統 依照偵測方法分為 : Anomaly Detection : 建立使用者與系統的正常使用標準 比對標準值，以判斷是否有入侵行為 Misuse Detection : 將各種已知的入侵模式或特徵建成資料庫 比對資料庫的pattern，以判斷是否有入侵行為 入侵偵測系統(cont.) 相關功能: 攻擊程式多數為Open Source，可建立封包過濾的pattern 阻隔可能的攻擊來源 對可能的來源攻擊下“停止攻擊”指令 IP Spoof的防治 IP Spoof : 偽造封包的來源IP位址 以送RAW Socket方式偽造來源IP位址 防治方式 : 在router或防火牆設定ACL管理規則 禁止外來封包的來源位址是內部網路的位址 禁止非內部網路位址的封包流到外部 伺服器的