第三章 駭客入侵流程解析
DESCRIPTION
第三章 駭客入侵流程解析. 大綱. 3.1 網路探勘與掃描 3.2 基本防範對策 3.3 網路鑑識與分析 3.4 入侵偵測與防護系統 3.5 網路誘捕系統. 3.1 網路探勘與掃描. 網路探勘 (Reconnaissance) 利用網路上所提供的服務或工具 ( 例如 Whois 、 Nslookup 等等 ) ,來取得目標主機的位置。 分為主動式 (Active) 探勘與被動式 (Passive) 探勘 主動式探勘:傳送特定的封包 (TCP 、 UDP 、 ICMP) 到目標主機,並根據回應封包得到目標主機的相關資訊,例如 Ping 。 - PowerPoint PPT PresentationTRANSCRIPT
國立雲林科技大學資訊工程系
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
第三章 駭客入侵流程解析
國立雲林科技大學 資訊工程系
大綱 3.1 網路探勘與掃描 3.2 基本防範對策 3.3 網路鑑識與分析 3.4 入侵偵測與防護系統 3.5 網路誘捕系統
第三章 駭客入侵流程解析
2
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 網路探勘 (Reconnaissance)
利用網路上所提供的服務或工具 ( 例如 Whois 、 Nslookup 等等 ) ,來取得目標主機的位置。 分為主動式 (Active) 探勘與被動式 (Passive) 探勘
主動式探勘:傳送特定的封包 (TCP 、 UDP 、 ICMP) 到目標主機,並根據回應封包得到目標主機的相關資訊,例如 Ping 。 被動式探勘:不傳送特定的封包,而是監測封包來取得目標主機的相關資訊,例如 Whois 。
掃描 (Scanning) 利用常用的工具或是指令,來取得目標主機的作業系統、網路服務、帳號密碼等資訊。 掃描的方法有非常多種,常見的有 TCP Connect Scan 、 TCP SYN
Scan 、 UDP Port Scan 、 Fingerprint 、 Null Sessions 等。
第三章 駭客入侵流程解析
3
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 網路探勘方法 ─ Whois
Whois 簡單來說就是一個資料庫 可以用來查詢網域是否被註冊以及註冊網域的詳細資訊
左圖為 TWNIC 所提供的 Whois服務 這裡以 Pchome 為例 Registrant
網域所有者的詳細資料 Record expires
網域到期日期 Record created
網域註冊日期 Domain servers
網域所使用的 DNS Servers
第三章 駭客入侵流程解析
4
資料來源 http://whois.twnic.net.tw/
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 網路探勘方法 ─ Nslookup
主要是用來查詢網域名稱和 IP 之間的對應關係 Nslookup 使用說明
首先按 開始 → 執行 → cmd 接著輸入 nslookup 最後輸入要查詢的網域名稱
左圖以查詢 Yahoo! 為例
第三章 駭客入侵流程解析
5
利用 Nslookup 查詢 Yahoo! 的 IP 位置
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 網路探勘方法 ─ Ping
測試與遠端電腦或網路設備的連線狀況 Ping 使用說明
首先按 開始 → 執行 → cmd 接著輸入 ping 主機位置 ( 或網域名稱 )
左圖以 ping Yahoo! 為例
第三章 駭客入侵流程解析
6
利用 ping 查詢 Yahoo! 的 IP 位置
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ TCP Connect
Scan 主 要 是 利 用 TCP 三 向 交 握
(Three-way handshaking) 的連線方式來達到掃描的目的 三向交握
1. 如左上圖所示,首先主機 A 會先送一個 SYN 的封包給主機 B ,告知想要跟主機 B 建立連線。2. 當主機 B 收到後,會回送一個
SYN+ACK 的封包給主機 A 。3. 最後當主機 A 收到主機 B 的回應後,會再回送一個 ACK 封包給主機 B ,這時主機 A 跟主機 B 之間即建立連線了。
左 下 圖 為 使 用 Nmap 做 TCP Connect Scan
第三章 駭客入侵流程解析
7
A B
1. SYN
2. SYN + ACK
3. ACK
三向交握示意圖
使用 Nmap 做 TCP Connect Scan
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ TCP SYN Scan
沒有完成三向交握 如左上圖,當主機 A 收到主機
B 的回應後,並不會回傳 ACK 封包給主機 B 。 TCP SYN Scan 的優缺點
優點:由於沒有完成 TCP 三向交握,所以不會在目標主機上留下記錄。 缺點:需有管理者的權限才可執
行 TCP SYN Scan ( 以左上圖為例,必須要有主機 A 的管理者權限 ) 。 左下圖為使用 Nmap 做 TCP
SYN Scan
第三章 駭客入侵流程解析
8
A B
1. SYN
2. SYN + ACK
3. ACK
三向交握示意圖
使用 Nmap 做 TCP SYN Scan
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ Stealth Scan
現在很多防火牆或路由器會對指定的 port 進行監視,將對這些 port 的連接請求全部進行記錄。這樣即使是使用 TCP SYN 掃瞄仍然會被防火牆或入侵偵測系統記錄到 Log 中,所以偷取掃瞄因此而生。 雖然說偷取掃瞄可以躲過很多防火牆或路由器的監視,但這種掃瞄的缺點是掃瞄結果的不可靠性會增加,而且掃瞄主機也需要自己構建 IP 封包,常見的偷取掃瞄有 TCP FIN 掃瞄、 TCP ACK 掃瞄、 NULL 掃瞄、 XMAS 掃瞄及 SYN ACK 掃瞄。 但現在的入侵偵測系統應該都可以發現偷取掃瞄。 使用 NMAP 的指令為
NMAP -sF(-sX, -sN) -PT -PI target
第三章 駭客入侵流程解析
9
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ UDP Port Scan
由掃描主機發出 UDP 封包給目標主機的 UDP Port ,並等待目 標 主 機 Port 送 回 ICMP Unreachable 訊息。
若收到目標主機 Port 傳回的ICMP Unreachable 訊息,則表示該 Port 處於關閉的狀態。
若沒有收到目標主機 Port 傳回的ICMP Unreachable 訊息,則表示該 Port 可能處於 Listen 狀態。
UDP Port Scan 的缺點 UDP 協議不可靠 可能被防火牆濾掉
左圖為使用 Nmap 做 UDP Port Scan
第三章 駭客入侵流程解析
10
使用 Nmap 做 UDP Port Scan
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ Fingerprint
運行服務的 Fingerprint利用掃描得到目標主機有哪些port 是開啟的,並發送符合該協定的命令封包再比對回應結果。
作業系統的 Fingerprint找出作業系統間不同的 TCP Protocol Stack 特性,就可以藉此區分出作業系統的類型或版本。
左圖為使用 Nmap 對目標主機進行作業系統辨識
第三章 駭客入侵流程解析
11
使用 Nmap 對目標主機進行作業系統辨識
國立雲林科技大學 資訊工程系
3.1 網路探勘與掃描 掃描的方法 ─ Null Sessions
也稱匿名登入,是一種允許匿名使用者透過網路得到系統的使用者名稱等相關資訊。 可得到的資訊
使用者及群組清單 主機清單 分享文件清單 使用者及主機的 SIDs (Security
Identifiers)
左圖為使用 DumpSec 所得到的資訊
第三章 駭客入侵流程解析
12
使用 DumpSec 所得到的資訊
國立雲林科技大學 資訊工程系
3.2 基本防範對策 如何防範駭客入侵呢?
安裝適當的防毒軟體、反間諜軟體等,並定期更新病毒碼。 隨時修補作業系統的漏洞,避免駭客利用作業系統的漏洞植入後門程式。 不要輕易從來路不明的網站上下載檔案或程式,以免被植入後門程式。 不要點擊來路不明的電子郵件,並將 E-mail 軟體的信件預覽關閉。 不要隨便開放分享目錄,避免被當作入侵或感染的管道。 不需要使用網路資源時,將網路連線關閉。 使用即時通訊軟體時,確認對方身份後再開啟對方所傳送之網址與檔案。 電腦沒有在使用時,應啟動密碼保護措施。
第三章 駭客入侵流程解析
13
國立雲林科技大學 資訊工程系
3.2 基本防範對策 如何簡單判斷是否被植入後門程式呢?
利用工作管理員檢視目前正在執行哪些程式,並檢查是否有你未曾安裝的軟體或執行序。
第三章 駭客入侵流程解析
14
利用工作管理員檢視目前正在執行的程式
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 網路鑑識與分析
已知型態的攻擊可用防毒軟體、防火牆等工具或設備來阻擋,但未知型態的攻擊卻很難使用上述的工具或設備來阻擋。 使用網路鑑識工具可以分析使用者的行為或狀態。 常見的網路鑑識工具有 Sniffer 、 Wireshark (Ethereal) 、 Tcpdump 等。
流量監控與分析 目前有誰在使用 目前使用者正在做什麼 是否遭受攻擊或違反網路管理原則
調整流量使其符合網路管理原則 哪些人可以優先使用網路 哪些事情必須要優先使用網路
第三章 駭客入侵流程解析
15
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 如何進行網路流量監控與分析
擷取網路流量 Sniffer Wireshark
分層分析 利用什麼通訊協定傳輸 傳送哪些資料
分析與呈現 流量統計 各個協定的細節
網路監控 監看各種網路活動
入侵偵測與防護系統 檢查是否有惡意的攻擊行為
網路管理 頻寬管理 政策的制定
第三章 駭客入侵流程解析
16
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 擷取網路封包工具 ─ Wireshark
網管人員用來檢查網路問題 開發者用來為新的通訊協定除錯 網路安全工程師用來檢查網路安全的相關問題 一般使用者可用來學習網路通訊協定的相關知識
第三章 駭客入侵流程解析
17
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 下圖為使用 Wireshark 擷取 ICMP 的封包
第三章 駭客入侵流程解析
18
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 流量統計工具 ─ Bandwidth Monoitor
用來統計目前所接收、傳送的流量 下圖為 Bandwidth Monoitor Pro 1.30 的介面
第三章 駭客入侵流程解析
19
國立雲林科技大學 資訊工程系
3.3 網路鑑識與分析 流量統計工具 ─ NTOP
可監測區域網路內的封包數量 http://www.ntop.org
下圖為 NTOP 的使用介面
第三章 駭客入侵流程解析
20
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 駭客入侵網路的理由多樣而且複雜,以下為較常見的理由:
企業間諜活動 金融利益 報復或揭發隱私
鑑於駭客入侵及網路攻擊事件頻傳,因此我們需要一套可以有效防範駭客入侵及網路攻擊的系統,而入侵偵測與防護系統也就應運而生了 入侵偵測系統 (Intrusion Detect System, IDS)
藉由分析網路封包或系統記錄檔,即時偵測出對系統進行攻擊的行為,並回報給網管人員知道 入侵防護系統 (Intrusion Prevention System, IPS)
相對於入侵偵測系統,入侵防護系統除了偵測出攻擊外,還會對該攻擊進行阻擋的動作,但缺點是誤報率會提高
第三章 駭客入侵流程解析
21
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 Intrusion Detection(入侵偵測)的定義為「偵測不適當、不正確或是異常活動的技術」。一般防火牆只能對某個服務存取進行限制,但是無法偵測通過的封包是否異常。而 IDS 可以分析通過的封包或系統的日誌檔,並根據所建立好的入侵特徵資料庫作比對,以偵測出異常事件並發出警報。 入侵偵測系統依照佈署的位置及檢查重點的不同,分成以下二種:
網路型入侵偵測系統 (Network-based Intrusion Detect System, NIDS)
主 機 型 入 侵 偵 測 系 統 (Host-based Intrusion Detect System, HIDS)
網路型入侵偵測系統 通常佈署在一個網段上,監看及分析流經此網段的封包,藉此分析出可能帶有入侵行為的封包
主機型入侵偵測系統 通常佈署在主機或伺服器上,主要的功能在於分析主機或伺服器上被呼叫或執行的指令,藉此分析出可能帶有惡意的系統呼
叫 (System Call) 指令
第三章 駭客入侵流程解析
22
上圖為入侵偵測系統佈署之範例
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 網路型入侵偵測系統 (Network-based Intrusion Detection System ,簡稱 NIDS)
網路型入侵偵測系統收集網路封包作為入侵偵測的資料來源,若 NIDS安裝在主機上,則需將主機的網路卡設定為“ promiscuous mode”(混亂模式 ) 來收集所有通過的網路封包,以進行偵測及分析。一般的檢測方式都會檢查網路封包內的標頭 (headers) 及部份資料內容,從中判定是否包含攻擊行為,若偵測到有攻擊行為, NIDS 就可進行反制動作或提早預警。
以下所列為 NIDS 的分析比對模組用來執行攻擊特徵比對的方法: 特殊的位元組、模式比對。 事件發生頻率,及頻率是否超過所設的門檻值。 可疑事件的關聯性。 統計結果上的異常例外數值。
第三章 駭客入侵流程解析
23
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 主機型入侵偵測系統 (Host-based Intrusion Detection System ,簡稱 HIDS)
主機型入侵偵測系統發展始於 80年代早期,通常只觀察、稽核系統日誌檔是否有惡意的行為,用以防止類似事件再度發生。在 Windows NT/2000 的環境下,通常可以藉由監測系統、事件及安全日誌檢視器中所記載的內容來加以分析、比對,從中發現出可疑的攻擊行為;在 UNIX環境下,則監測系統日誌。當有事件發生時,主機式入侵偵測系統即做入侵行為的比對,若有符合,則由回應模組通知系統管理員,或自動對攻擊行為進行適當的反應。
第三章 駭客入侵流程解析
24
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 NIDS的優缺點 ( 與 HIDS比較 )
集中佈署於一網路節點 NIDS只需設置在一網路的必經節點上不須設置於網路上的每一台主機,在管理和成本的考量上都是較理想的。但若只靠 NIDS則需要冒較高的風險,例如:無法監看有加密的點對點連線。
攻擊者進行攻擊後會留下封包證據因為 NIDS 所採取的是即時收集封包,攻擊者若要抹滅曾進行的攻擊證據是有困難度的;但是在 HIDS 上的紀錄檔或是稽核檔案,有可能會被攻擊者入侵後修改,造成HIDS失效。 但是 IP Spoofing 的問題會造成 NIDS難以找出真正的攻擊者。
即時反應因為 NIDS 所採取的是即時收集封包,即時進行反制,可以在第一時間通知、反應,避免給與攻擊者過多時間進行攻擊行動。而 HIDS 因為是採定時檢查的方式,較易遭受到阻斷攻擊而導致主機當機、無法繼續運作。
較大的彈性空間 NIDS 可以選擇佈署在防火牆外部,這點是 HIDS無法做到的; NIDS佈署在防火牆外部的好處是無論成功通過防火牆或被防火牆擋下的攻擊封包,都會被 NIDS 偵測、紀錄下來,以獲得更多關於攻擊者的資訊。除此之外, NIDS也不需要像 HIDS 要考慮到主機平台是否支援此 HIDS 的因素。
匿蹤、隱形的能力相對於 HIDS , NIDS 可以不設定網路介面的位址,也就是達到隱形於網路,同時又能收集所有網路封包的資訊 。
第三章 駭客入侵流程解析
25
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 HIDS的優缺點 ( 與 NIDS比較 )
對於攻擊事件的影響有較詳盡的紀錄因為 HIDS 是將攻擊者所造成的系統改變紀錄下來,因此可以得知更多關於攻擊者對特定主機入侵事件造成的影響,及更準確的紀錄攻擊行動的成敗。 HIDS 通常有個別使用者的上線紀錄,重要檔案的增刪、修改紀錄,使用者權限改變的紀錄,使用者連線到哪裡的紀錄,系統對外開啟的 port 紀錄等等細項紀錄資訊,都是 NIDS 很難做到的。
點對點連線的防護目前有許多的點對點連線因為採取加密處理,而無法在 NIDS 上做到完全的檢查,此時就可以在 HIDS 上對連線資料做稽核檢察。
不需另外新增主機硬體 HIDS只需要在主機上另外安裝新的軟體,而不像 NIDS 需要另外新增主機硬體設備。
第三章 駭客入侵流程解析
26
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 入侵偵測系統若依照技術的不同,則可分成以下二種:
錯誤偵測 (Misuse-based Detection) 異常偵測 (Anomaly-based Detection)
錯誤偵測 (Misuse-based Detection) 最常用於 IDS 上的偵測方式,又稱特徵偵測 (Signature-based Detection) 。 系統會先針對入侵特徵建立一個資料庫,只要偵測到的封包與資料庫的某個特徵相符,系統就將它視為入侵。 優點:與異常偵測相比,誤報率較低。 缺點:無法偵測出未知型態的入侵行為。
異常偵測 (Anomaly-based Detection) 先對正常的使用者或網路流量建立一個描述「正常」行為的行為資料庫,再對通過的封包做比對,若超過正常行為的門檻值,那麼就可視為入侵行為。 優點:可偵測出未知型態的入侵行為。 缺點:與錯誤偵測相比,誤報率較高。
第三章 駭客入侵流程解析
27
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 目前用來實現入侵偵測系統的技術,較為常見的有以下幾種:
專家系統 (Expert System)雇請專家來分析攻擊行為,並將其轉換成系統可用之「攻擊特徵碼」,入侵偵測系統便依照此攻擊特徵碼來判斷是否有攻擊發生。
統計分析 (Statistical Measure)這種方式會蒐集網路的歷史封包記錄,建立屬於正常連線或行為的模組,往後只要當網路封包或使用者流量超過模組所定義的範圍時,便會認為有攻擊行為或入侵行為發生。
類神經網路 (Neural Network)需先蒐集正常或攻擊的封包,並將這些封包丟給神經網路做訓練 (training) ,讓神經網路學習何為正常,何為攻擊,再將訓練完成的神經網路拿來當做偵測引擎,當神經網路認為是入侵行為時,就會發出警報。
資料探勘 (Data Mining)這種方式可在一群正常或是攻擊的封包中,找出最常出現的正常 ( 或攻擊 ) 特徵;若是對攻擊封包做探勘,則可以得到此攻擊的攻擊特徵碼。在偵測階段,只要偵測引擎發現封包與攻擊特徵碼相同時,就會發出警報。
第三章 駭客入侵流程解析
28
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 在入侵偵測系統中,我們利用以下幾個項目來檢視入侵偵測系統的效能
偵測率 (Detection Rate)說明此 IDS 可以承受多少封包流量,但這可以隨著硬體的提升,而增加偵測能力,通常可以用完成判斷 ( 入侵偵測系統有記錄並完成比對 ) 的封包佔所有流經封包的百分比 (%) 作為評估的標準。
誤報率 (False Positive Rate)被判斷成攻擊行為的正常封包 ( 或正常連線 ) ,占所有正常封包 (正常連線 )的百分比 (%) 。一般來說若採用異常偵測 (Anomaly Detection) 時,此誤報率會比較高,因為系統有時會將正常行為當做攻擊。
漏報率 (False Negative Rate)被判斷成正常行為的攻擊封包 ( 或攻擊連線 ) ,占所有攻擊封包 ( 或攻擊連線 ) 的百分比 (%) 。一般來說若採用錯誤偵測 (Misuse Detection) 時,漏報率會比較高,因為系統無法偵測未知的攻擊。
第三章 駭客入侵流程解析
29
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 入侵偵測系統所面臨的問題
使用監視的方式無法有效的阻擋攻擊。 雖偵測到異常,但因參雜許多其他的因素,使得網管人員難以發現。 即使網管人員發現異常,亦需要搭配其他記錄 ( 如防火牆記錄檔等等 ) 再做追查。 因記錄數量的考量,通常只能對特定的網段或主機記錄,無法對所有的主機記錄、偵測。 建置成本太高。
第三章 駭客入侵流程解析
30
國立雲林科技大學 資訊工程系
3.4 入侵偵測與防護系統 由於入侵偵測系統無法有效的阻擋網路攻擊,因而發展出入侵防護系統。 入侵防護系統
所有封包都需經過入侵防護系統 採用即時分析 (In-line)模式,能在第一時間阻擋攻擊封包 阻擋的是攻擊封包而不是攻擊來源 多種檢測方法,降低誤報率
特徵資料庫分析 (Signature Analysis) 異常通訊協定分析 (Protocol Anomaly Analysis) 異常行為模組分析 (Behavior Anomaly Analysis)
入侵防護系統所面臨的問題 難以使用在大型網路上 若是誤判,會影響到正常使用者 由於要檢查所有的封包,所以會影響到網路速度 隨著網路技術與產品的發展,可能會增加網路管理及建置的困難度
第三章 駭客入侵流程解析
31
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 隨著網路技術的發展,現在的資安科技無法提供絕對的安全防護,所以“資訊偽裝”及“誘補與欺敵”是防衛重要資訊的重要手段。 網路誘補系統是經過精心規劃,以大量的陷阱吸引攻擊者,引誘攻擊者發動攻擊,再利用資料擷取工具,加以記錄並分析。 首先出現的商用誘捕系統是 DTK Deception ToolKit ,其後引發一系列的研究,其中成果最顯著的為 Honeynet Project 及 Honeypot 。 Honeynet Project 是透過學習駭客群體的動機、攻擊工具及攻擊策略,分析駭客的行為與威脅,並將結果發表於“ Know Your Enemy” 系列文章。 Honeypot 是一個故意被設計成有缺陷的系統,讓攻擊者易於攻擊,誘使攻擊者進行攻擊,藉此欺敵來保護重要的系統或是對攻擊者的行為進行分析。
第三章 駭客入侵流程解析
32
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 Honeypot 依其回應的方式可分為
低互動型 (low-interaction) 高互動型 (high-interaction)
低互動型 藉由模擬服務與作業系統來達成 較容易部署與維護,風險也比較小
高互動型 使用真正的應用程式與作業系統 通常包括多台主機,這些主機是隱藏在防火牆後面的,所有進出的封包都受到監控、補獲及控制 可經由補獲的封包,進一步分析入侵者使用的工具、方法及動機
第三章 駭客入侵流程解析
33
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 Honeyd
低互動型的 Honeypot 主要功能是監控沒有使用的 IP 當 Honeyd發現有人企圖對一個不存在的系統進行連線時,便會偽裝成一個系統做回應並記錄對方的行為
缺點 較容易被入侵者識破
第三章 駭客入侵流程解析
34
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 Honeynet
高互動型的 Honeypot 分成三大部分
資料控制 (data control) 資料擷取 (data capture) 資料分析 (data analysis)
資料控制 防止入侵者在取得 Honeynet 中的電腦權限後,利用 Honeynet 作為跳板對其他主機進行攻擊,因此我們必須要對入侵者可能得到的權限作限制。
資料擷取 對在 Honeynet 中進行活動的入侵者做監測和記錄的工作。 在不被入侵者發現的情況下獲取最多的資訊。
資料分析 透過蒐集來的系統記錄,統計分析事件、資料關連分析與報表制作等等。
第三章 駭客入侵流程解析
35
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 Virtual Honeynet
允許在同一時間,同一硬體平臺上運行多個作業系統的虛擬軟體。 虛擬 Honeynet 本質上不是一種新技術,它們只是採用了 Honeynet 技術的概念,而把它們實現在一個系統上。
優點 花費較小虛擬的系統,不需要額外的設備。
易於管理集中在一台管理。
缺點 配置限制多
例如無法在一個虛擬 Honeynet 中配置 Alteon switch 、 Cray computer 等。 風險高破壞虛擬軟體,並且控制整個 Honeynet ,從而達到對整個系統的控制。
第三章 駭客入侵流程解析
36
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 Virtual Honeynet 種類
獨立 Virtual Honeynet (Self-Contained Honeynet)一個獨立虛擬 Honeynet 是被濃縮到一台電腦上的一個完整的 Honeynet 網路 。
混合 Virtual Honeynet(Hybrid Honeynet)不局限於一台機器,而是把它的組成部分分開在多台機器上部署,是傳統Honeynet 和虛擬軟體的混合體 。
第三章 駭客入侵流程解析
37
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 獨立 Virtual Honeynet
優點 可攜性高虛擬 Honeynet能夠搭建於移動式電腦上,能被帶到任何地方。
資金和空間上的節省只需要一台電腦,可減少硬體上的開支。
缺點 容錯性差
如果硬體出了問題,整個 Honeynet 將不能使用。 資源需求大
需擁有足夠的記憶體和處理能力很強的處理器。 安全性低
所有東西都共用硬體資源,所以存在攻擊者攻破系統其他部分的危險。 軟體限制高
因為所有東西都在一個系統中運行,能使用的軟體就會受到限制,如:在 Intel晶片上運行 Cisco IOS 是非常困難的。
第三章 駭客入侵流程解析
38
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 混合 Virtual Honeynet
優點 安全性較高混合虛擬 Honeynet 中,唯一的危險只可能是攻擊者進入其他的 Honeypots 。
軟體使用靈活性可以使用多種軟體和硬體來實現混合網路的資料控制和資料擷取。
缺點 移動性低
網路由多台主機組成,移動相當困難。 成本較昂貴
網路中有多台電腦,將花費更多的空間和資金。
第三章 駭客入侵流程解析
39
國立雲林科技大學 資訊工程系
3.5 網路誘捕系統 下圖為在 Linux 上安裝 Virtual Honeynet 的安裝圖。
第三章 駭客入侵流程解析
40
國立雲林科技大學 資訊工程系
參考資料 「 http://bro-ids.org/ 」 , BRO 。 「 http://www.ossec.net 」 ,OSSEC 。 「 http://www.snort.org/vrt 」 , Snort 。 「 http://www.la-samhna.de/samhain/ 」 ,SAMHAIN Lab 。 「 http://sourceforge.net/projects/secureideas 」 ,BASE project 。 「 http://acidlab.sourceforge.net/ 」 , Analysis Console for Intrusion Databases (ACID) 。 「 Http://www.securiteam.com/ tools/5HP072AFPK.html 」 , Open HIDS - Windows Host
Intrusion Detection System 。 「 http://www.conft.com/en/US/docs/ios/12_3t /12_3t8/feature/guide/gt_fwids.html 」 , Cisco
IOS Intrusion Prevention System, CISCO 。 「入侵防禦系統 .ppt」。 「網路探測技術 .ppt」。 「網路監控技術 .ppt」。 「網路誘捕系統 .ppt」。 「入侵偵測防禦系統 .ppt」。 「入侵偵測與防護系統 .ppt」。 「輕鬆對抗網路安全威脅 .pdf」。
第三章 駭客入侵流程解析
41