校園網路流量監測與

系統異常檢測

校園網路流量監測與

系統異常檢測

監測系統監測系統• Ping

– http://ping.tn.edu.tw

• 網路服務偵測系統– http://192.83.190.237/RLC/

• MRTG– http://mrtg.tn.edu.tw

• NetFlow– http://netflow.tn.edu.tw

• LikeScan– http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html

PINGPING

• 學校 www 主機連通率區分為三種情況： 100% 、 90% 、 80% 以下 ；分別以 綠色 、黃色 、 紅色 表示。

PINGPING

狀況 1: 跳電、系統更新網路斷線、 DNS 、防火牆

狀況 2: 區域網路異常

狀況 3: 系統更新、駭客攻擊、區網異常

網路服務偵測網路服務偵測

http://192.83.190.237/RLC/

TANET 網路維運中心TANET 網路維運中心

http://nms.moe.edu.tw/

MRTGMRTG

• 狀況 1: 電腦中毒 僵屍電腦

• 狀況 2:mail 無法 寄出

• 狀況 3: 駭客入侵

• 狀況 4:LOOP

NetFlowNetFlow

當天 7 時、 9 時、 12 時、 15 時統計一次

NetFlow 流量統計NetFlow 流量統計學校流出到 TANET 前 100 名統計

MailVirusMailVirus

• 每日統計一次• 監測 SMTP 協定• http://netflow.tn.edu.tw/mailVirus/html/20090820/daily.html

如何看懂 likeScan ?

• 網址 http://netflow.tn.edu.tw/likeScan/down.html

• 記錄每 10 分鐘 ( 主機 :port) 依 flows 數排出前 100 名• 共有 6 組數字，分別用” . ” 區隔 ( 例 :120.115.32.30.6.25)

• 前 4 組為 IP 位置 120.115.34.254

• 第 5 組為協定 6:TCP , 17: UDP

• 第 6 組 80 為 HTTP ( 21:FTP,25:SMTP,53:DNS,445…)

• 目標主機 : 代表不同主機數• FLOW: 代表一次的行為• PACKETS : 封包數• Bytes ：封包大小

※ 120.115.32.30 10 分鐘內向 1301 台主機寄了 4892 次的信，很明顯超出正常合理行為，判定為異常。

LikeScanLikeScan統計各 IP 和 PORT 連線狀態http://netflow.tn.edu.tw/likeScan/html/20100222/10-0.html

※ 120.115.23.26 10 分鐘內透過 TCP 445 對 282 台主機做了 282 次的連線， Packets 和Bytes 數也不大。這樣的狀況大都是主機存在病毒，且透過 TCP 445 做 Scan行為，試途去感染其它電腦。

ESET SysInspector

• 軟體名稱 : ESET SysInspector(NOD32 免費系統檢測軟體 )

• 官方網站 、 軟體下載• ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和

網路連接的免費應用程式。• 藉由 ESET SysInspector 匯出

的記錄檔，把電腦中所收集　到的系統數據和資料傳送給　專業人員分析和威脅評估 。

案例分析163.26.57.45 在 likeScan 上看到有異常的 TCP 445 連線行為使用 ESET SysInspector 對該電腦進行分析

VirSCAN 線上掃毒服務

相類似網站 http://www.virustotal.com/

• 網址 :http://www.virscan.org/• 整合「 37 個防毒軟體」的線上掃毒服務！

ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具

網址 http://www.threatexpert.com/ submit.aspx

結語結語• 每日至少能觀察學校流量狀況一次。• 每日至少能觀察學校連通狀況一次。• 電腦異常時處理步驟1.請將有問題的電腦離線，阻止災害持續擴大。2.使用工具軟體找尋可疑的程式和病毒並移除。3.更新作業系統、病毒碼與相關應用程式至最新版本。4.若問題還是存在，則重新安裝作業系統。