適用於電子商務環境之網蟲即時偵測及防禦系統

游啟勝 * 、陳奕明中央資管 電腦網路實驗室

國家資通安全會報 技術服務中心 *

2004.3.27 2004 電子商務與數位生活研討會 2

報告大綱 現下遭遇的問題 網蟲簡介 網蟲的擴散特性 本文提出的網蟲偵測方法 網蟲即時偵測及防禦系統部署方式 實作與測試 結論

2004.3.27 2004 電子商務與數位生活研討會 3

現下遭遇的問題 網蟲愈來愈盛行，出現間隔愈來愈短

CodeRed 、 CodeRed II 、 Nimda 、 Slammer 、 Blaster

網蟲影響電子商務運作 無法在第一時間阻止未知網蟲癱瘓外部及內部網路

攻擊加重主機負荷

2004.3.27 2004 電子商務與數位生活研討會 4

網蟲簡介 與電腦病毒的異同

同屬惡意程式的一種 網蟲會主動擴散，病毒則依賴使用者執行

網蟲實例 漏洞型網蟲： CodeRed e-mail 網蟲： NetSky (WORM_NETSKY.O)

2004.3.27 2004 電子商務與數位生活研討會 5

網蟲的擴散特性 (1/2)

短時間內攻擊眾多不同受害者 網蟲需要大量擴散

使用 IP Address 做為擴散目標選擇策略 大多數的正常連線使用 domain name 來連結

{dst_port, payload}

2004.3.27 2004 電子商務與數位生活研討會 6

網蟲的擴散特性 (2/2)

擴散連線的通訊協定欄位固定 目的通訊埠、 封包資料欄位（ payload ） 來源通訊埠、 Sequence Number 、 Acknowledge

Number 、 Code Bits 擴散攻擊封包不會太小

網蟲的感染及擴散步驟複雜

2004.3.27 2004 電子商務與數位生活研討會 7

本文的網蟲偵測方法 (1/2)

根據流量異常偵測方法加以改良而來 過去：

將網路流量依通訊協定種類（ TCP 或 UDP ）與目的通訊埠加以區分，將相同通訊協定及相同目的通訊埠的流量大小加總 [TWCERT: 即時偵測防治Internet Worm]

2004.3.27 2004 電子商務與數位生活研討會 8

本文的網蟲偵測方法 (2/2)

現在 假設一部正常的主機「不會在短時間內發送大量通

訊協定、目的通訊埠、及資料欄位三個條件相同的封包給不同位址的其他主機」

配合 DNS 查詢記錄及封包大小增加偵測的正確性

2004.3.27 2004 電子商務與數位生活研討會 9

實作與測試 (1/3)

實作於 Linux 主機，結合 iptables 以transparent 方式部署於兩個網路之間

對封包資料欄位作 md5 雜湊運算

測試 Slammer 、 Blaster

攻擊主機

Linux

Win2000 + SQL Server 2000

2004.3.27 2004 電子商務與數位生活研討會 10

實作與測試 (2/3)

2004.3.27 2004 電子商務與數位生活研討會 11

實作與測試 (3/3)

2004.3.27 2004 電子商務與數位生活研討會 12

網蟲癱瘓內外網路示意圖

Core Switch

End Switch

Router

End Switch

網蟲感染主機

2004.3.27 2004 電子商務與數位生活研討會 13

部署方式 (1/2)

介於路由器與交換器間

Core Switch

End Switch

Router

網蟲感染主機

Firewall

End Switch

2004.3.27 2004 電子商務與數位生活研討會 14

部署方式 (2/2)

部署於各交接器之間

End Switch

Router Core Switch

網蟲感染主機

End Switch

部署極致：安裝各主機上：個人式防火牆、網路卡

2004.3.27 2004 電子商務與數位生活研討會 15

結論 簡潔的偵測方法，可有效偵測目前的已知網蟲，並能具有相同手法的未知網蟲偵測能力

結合主動阻擋的回應動作，可有效阻止網蟲對外擴散

2004.3.27 2004 電子商務與數位生活研討會 16

Q&A

謝謝！ 敬請指教！