tanet 竹苗區網 研習課程 網路安全系列 電腦網路病毒防治
DESCRIPTION
TANet 竹苗區網 研習課程 網路安全系列 電腦網路病毒防治. 陳昌盛 技術師 交通大學計算機與網路中心 90.11.21. 課程概要. 電腦網路系統端的防護簡介 電腦病毒簡介 電腦病毒防護模式 怎樣偵測電腦病毒 ? 怎樣移除電腦病毒 ? 系統防護案例 參考資料. 1. 電腦網路系統端的防護簡介. 基本名詞 (term) Proxy server 代理伺服器 Firewall 防火牆 Agent 代理人 Computer Virus 電腦網路病毒 Network Worm SPAM Mail - PowerPoint PPT PresentationTRANSCRIPT
2001.11.21 電腦網路病毒防治
TANet竹苗區網研習課程
網路安全系列電腦網路病毒防治
陳昌盛 技術師交通大學計算機與網路中心
90.11.21
2001.11.21 電腦網路病毒防治
課程概要
•電腦網路系統端的防護簡介•電腦病毒簡介•電腦病毒防護模式•怎樣偵測電腦病毒 ?•怎樣移除電腦病毒 ?•系統防護案例•參考資料
2001.11.21 電腦網路病毒防治
1.電腦網路系統端的防護簡介
• 基本名詞 (term) – Proxy server代理伺服器– Firewall 防火牆– Agent 代理人– Computer Virus 電腦網路病毒– Network Worm– SPAM Mail– IDS (Intrusion Detection System)
2001.11.21 電腦網路病毒防治
ApplicationServer
DNS
Externalfirewall
•Ipfw, ipchain, ipf
Internet
MRTGTraffic monitor
NIDS(e.g. snort)
•Misuse Detection --Port scan, CGI attacks, etc
•Statistic Analysis•Aguri, Netflow, etc.
Two-phaseAnomaly Detection
Internalfirewall
•SMTP, WWW, etc
•DNS Server Host
•client
LAN
Network Intrusion Detection System 網路入侵偵測
2001.11.21 電腦網路病毒防治
Network Infrastructure(網路基礎建設 )
• Hardware Infrastructure– Connection/Access Media– Router/switch/hub
• Software Infrastructure– DNS (Domain Name System)
• 140.113.1.1, 140.113.6.2, 140.113.250.135
– Directory System (Portal, Search Engine, …)
• http://www.google.com• http://www.yam.com• http://www.yahoo.com
2001.11.21 電腦網路病毒防治
Network Protection System
• Firewall– Packet filtering– proxy
• Information Gateway– Proxy/Caching server– E-mail Filtering System (e.g. anti-spam,
anti-virus, anti-worm)
• Intrusion Detection System – IDS or NIDS ( Network Intrusion Detection
System)• Misuse pattern matching• Anomaly detection
2001.11.21 電腦網路病毒防治
網路流量分析與追蹤
• 了解各類主要應用的正常流量(netflow)
•流量異常的可能原因– 系統工作或設定不正常– 系統被入侵 , 當作攻擊他站的跳板– 系統被偽裝使用
•e.g. 以 tcp port 25 跑其他非 SMTP 程式
– 其他
2001.11.21 電腦網路病毒防治
TANet 整體流量分布 2000.10
2001.11.21 電腦網路病毒防治
2.電腦病毒概念簡介
• “ ” 什麼是 電腦病毒 ?•電腦病毒的傳染途徑 .•電腦病毒的簡單分類 .•如何防範電腦病毒 .
2001.11.21 電腦網路病毒防治
電腦病毒的基本定義
•一般來說,病毒泛指一些能夠影響電腦正常運作的有害程式。 –一九八六年,可令個人電腦的操作受到影響
的電腦病毒首次被人發現。 此後,病毒的數目不斷上升。
–病毒發作所造成的破壞程度參差不同,其影 響可小至僅僅對屏幕的顯示 造成滋擾,以
至電腦儲存的珍貴資料受到破壞。
2001.11.21 電腦網路病毒防治
關於電腦網路病毒
• 電腦病毒與生物病毒有很多相似之處– 兩者均需要貯 存在一個主體內。就電腦病毒而
∕言,主體通常 指受感染的檔案 磁碟。– 兩者均可自行 衍生 ,由一個主體感染另一個主體。
– 最後, 通常兩類病毒均會對主體造成損害。
• 兩者之間最 少有一點是不同– 電腦病毒是由人類編寫而 產生的,而生物病毒則
是自然而生。
2001.11.21 電腦網路病毒防治
電腦病毒入侵的途徑
•幾個常見的散佈途徑– 經由 e-mail 的夾帶檔 (attachment)– 經由網際網路的下載區– 經由軟碟磁片或抽取可攜式硬碟
2001.11.21 電腦網路病毒防治
電腦病毒一般分類 (1)
• 開機磁區病毒– 開機磁區病毒會感染軟碟內的開機磁區及硬碟,而且也能夠感染用戶硬碟內的主開機磁區。
– 一但電腦機件中毒,病毒已駐留在記憶體內,每一個經受感染電腦讀取過的軟碟都會受到感染。
• 檔案型病毒– 檔案型病毒,又稱寄生病毒,運行於記憶體,通常感染執行檔案。每次執行受感染的檔案時,病毒便會發作:病毒會將自己複製到其他執行檔案並於發作後仍可長留在記憶體。
2001.11.21 電腦網路病毒防治
電腦病毒一般分類 (2)
•複合型病毒 – 具有開機磁區病毒和檔案型病毒的雙重特點。
•巨集病毒– 巨集病毒專門針對特定的應用軟體,可感染依附於某些應用軟件內的巨集指令,如Microsoft Word 和 Excel。巨集病毒採用程式語言撰寫,例如 Visual Basic 或 Corel Draw,而這些又是易於掌握的程式語言。
2001.11.21 電腦網路病毒防治
電腦病毒一般分類 (3)• worm (蠕蟲 )
– 蠕蟲是一種會自我複製 , 經由網路擴散的程式。– 它跟病毒有所不同,它不會附在一個主程式內。– 它會用盡電腦資源、修改系統設定及最終令系統「死機」。
– 隨著互聯網的普及,蠕蟲利用電郵系統去複製,例如把自己隱藏於附件並於短時間內電郵予多個用戶。
– 近期知名例子•SirCam (E-mail), Code Red (IIS),
Nimda (IIS, TFTP, …)等
2001.11.21 電腦網路病毒防治
電腦病毒一般分類 (4)• Trojan horse (特洛伊木馬 ) 程式
– 特洛伊或特洛伊木馬是一個看似正當的程式,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據。與病毒的分別是特洛伊不會複製自己,只會駐留在電腦內作破壞或讓黑客作遠程遙控。特洛伊通常隱藏在一些免費遊戲或工具程式。
– 典型例子:Back Orifice ( 或 NetBus)特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制台或視窗應用程式,透過 TCP/IP 去遠程遙控電腦。
2001.11.21 電腦網路病毒防治
電腦病毒一般分類 (5)•其他新型病毒 / 惡性代碼
– Java 病毒– ActiveX objects – VB Script 病毒– 超文本標示語言 (英文簡稱「 HTML) 病毒
2001.11.21 電腦網路病毒防治
3.電腦病毒防護模式
•運作模式– 個人用戶– ISP 線上掃毒– 網路系統篇
2001.11.21 電腦網路病毒防治
電腦病毒防護基本素養
•不隨意打開郵件內夾帶的程式或檔案•不隨意轉寄不明軟體•定期利用掃毒軟體 , 掃描系統•定期修補系統漏洞
2001.11.21 電腦網路病毒防治
常見防毒軟體及系統供應商
• Symantec (Norton; 賽門鐵克 )• McAfee• PC-Cillin (Trend Micro ; 趨勢科技
)
2001.11.21 電腦網路病毒防治
4.怎樣偵測電腦病毒 ?
• 病毒及預防病毒的唯一真理 , 是沒有絕對安全的 保安措施。
• 以下是一些偵測病毒的方法:– 留意任何電腦操作上的異動– 使用常駐記憶體的防毒軟體,持續監察電腦是否受病
毒感染 。– 使用防毒軟體對硬碟機進行掃描。確保使用最新的病毒碼,而用戶最少每週更新病毒碼一次 。
– 使用伺服器專用的防毒軟體保護網絡。此外,可考慮使用以應用系統為本 的防毒軟體 。
2001.11.21 電腦網路病毒防治
電腦病毒感染的癥候
• 程式的執行時間比正常的需時較久• 可用記憶體或硬碟空間突然減少• 不正常的訊息 , 顯示在電腦螢幕上• 不定期 , 出現不正常的聲響或音樂• 硬碟的名稱 , 突然變調了
2001.11.21 電腦網路病毒防治
5.怎樣移除電腦病毒 ?
• 立即停止使用受感染的電腦, (並且停止把電腦與網路接駁 )因為病毒會隨時發作。繼續使用受
感染的電腦,只會加速該病毒的擴散。• 以備份檔案恢復系統 是最穩妥而有效的方法 。• 在某些情況,可使用緊急恢復磁碟把開機磁區、
分割控制表以至基本輸入輸出系統的數據恢復 。• 如果沒有最新的備份檔案,可嘗試使用防毒軟體
把病毒移 除 。
2001.11.21 電腦網路病毒防治
6.系統防護案例
•電腦網路系統端的防護措施– 基本網路防護架構– 從 Code Red (Worm) 談 web proxy,
router 等系統防護– 從 SirCam (E-mail virus) 談 SMTP
server 等系統的防護
2001.11.21 電腦網路病毒防治
WCCP 協定簡介
2001.11.21 電腦網路病毒防治
Transparent Proxy/caching 運作示意圖
Internet
12
3
HDcache
4
5
6
7a
7b
•Router/Layer4 SW
•Proxy/Caching Server
•優點 : 用戶設定簡單(甚至不用任何設定 )
•缺點 : 使用效率較差 (router/switch)
2001.11.21 電腦網路病毒防治
Reverse Transparent Proxy 運作示意圖
Internet1
7•Router/Layer4 SW
•Proxy/Caching Server
•優點 : 可以過濾不當的輸入連線(e.g.病毒攻擊 )
•缺點 : 使用效率較差 (router/switch)
2
3
4
5
•WWW server
6
8
2001.11.21 電腦網路病毒防治
系統規劃與建置CodeRed
Common TCP Port 80Breeding but not destroying 快速變化 destination IP address留下後門
Nimda多重感染途徑
Log 分析與追蹤Squid access logRouter access list人工通知
2001.11.21 電腦網路病毒防治
系統規劃與建置 (Cont.)Cisco Router 6000 Proxy Server Farm
SquidPC*10
Log 分析與追蹤Squid access logRouter access list人工通知
2001.11.21 電腦網路病毒防治
效能評估Proxy Server
Load -> 1.0 最大 9.6 Mbits / sec 最大 2000 pps
RouterCPU 100% 最大 12000 pps
Router (with filter)CPU 40%
2001.11.21 電腦網路病毒防治
效能評估 (Cont.)效能瓶頸
WCCP redirection 使用硬體 WCCP moduleHigher-level Router
PC processing powerCPU, NIC
Nimda34 hosts, 294367 attacks/min10 hosts, 21549 attacks/min3 hosts, 8810 attacks/min
2001.11.21 電腦網路病毒防治
Threats to the Operation of a Typical Mail System
• SPAM Mail – internal or external– UCE/UBE
• Unsolicited Commercial Mail• Unsolicited Bulk Mail
• E-mail Virus• Other DoS attacks
2001.11.21 電腦網路病毒防治
•Incoming SMTP Gateway
•SMTP•POP3/IMAP
SMTP•Outgoing SMTP Gateway•source
•destination
Firewall,filtering
Firewall,filtering
Generic E-mail Transmission Path
1 2 3
45
6
2001.11.21 電腦網路病毒防治
• 用戶 PC
•Mail Server
sendmail procmail
Mailspool
Internet Internet
POP3/IMAPserver
Netscape/MS-IE
用戶 Mail存放區
掃毒軟體
Anti-SPAM & Anti-virus Mail 流程示意
2001.11.21 電腦網路病毒防治
Level-2SMTP server
Internet
E-mail Virus Filtering on Incoming Mail Gateways
• Body-based filtering
IMAP/POP3server
•Mail Spool
•Virus-free messages
•Virus code captured
E-mail Virus Checker
(procmail)
•Incoming Mail Gateway
Level-1SMTP server
(e.g. Sendmail)
2001.11.21 電腦網路病毒防治
Out-goingSMTP server
Internet
FirewallSPAM or
E-mail VirusDetected
The Concept for Filtering of Outgoing Messages
•Packet-layer
•Header-based filtering
•IP-based filtering
SystemsReconfiguration
2001.11.21 電腦網路病毒防治
電腦網路安全相關網站 (1)
• CERT:– TWCERT, http://www.cert.org.tw– CERT, http://www.cert.org
•香港資訊科技署 , http://www.itsd.gov.hk/itsd/virus/chinese/cant_vir.htm
2001.11.21 電腦網路病毒防治
電腦網路安全相關網站 (2)
• PC 個人防毒軟體及 ISP 線上掃毒– Symantec, http://www.symantec.com.– Trend Micro, http://www.trend.com.tw
• 網路系統病毒掃描 (Unix)– Sendmail + Procmail-sanitizer– Procmail-sanitizer,
http://www.impsec.org/email-tools/procmail-security.html
2001.11.21 電腦網路病毒防治
電腦網路安全相關網站 (3)
•其他相關網站• http://content.edu.tw/primary/info_edu/
cy_sa/content/5/5-3.htm• http://dir.pchome.com.tw/computer/
software/nonvirus/• Bruce, Stewart, “How to protect Against
Computer Viruses”– http://www.zdnet.com