You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
路 (<strong>II</strong>)<br />
: <br />
立 <br />
E-mail:peder@crypto.ee.ncku.edu.tw<br />
http://crypto.ee.ncku.edu.tw/<br />
FAX:(06)2743533<br />
1
• 路 <br />
• 路 <br />
• Honeynet<br />
• 例<br />
• 論<br />
2
路 ()<br />
• 行 <br />
• <br />
• <br />
• 行<br />
• <br />
• <br />
• 不 易 <br />
3
路 <br />
<br />
路 <br />
/ <br />
<br />
<br />
ping, whois…<br />
IP spoofing<br />
Nmap, Nessus…<br />
sniffer<br />
<br />
<br />
行 <br />
漏 洞 利 <br />
<br />
<br />
Passwd crack…<br />
exploit<br />
Read, write, copy,…<br />
Trojan horse<br />
<br />
<br />
4<br />
DDoS
路 類<br />
1. <br />
• 暴 力 (<br />
料 peep)<br />
(DDoS) 都 路 <br />
行 Yahoo<br />
Amazon<br />
• <br />
<br />
5
路 類 (cont.)<br />
2. <br />
• 年 類 <br />
• 利 WebFtp<br />
SQL 漏 洞 行 <br />
路 <br />
• 例 CodeRed Worm SQL<br />
Slammer Worm<br />
6
路 類 (cont.)<br />
3. <br />
• 路 狀 <br />
• <br />
<br />
不 <br />
• 行 <br />
力 <br />
便 <br />
• 例 Blastsasser 利 <br />
WindowsRPClsass 漏 洞 <br />
行 <br />
7
年 來 漏 洞 漏<br />
洞 利 <br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Worm_Nimda<br />
(336)<br />
Worm_Slammer Slammer<br />
(156)<br />
Worm_Blaster<br />
(26)<br />
WORM_WALLON.A<br />
(99)<br />
Worm_Sasser<br />
殺 (18)<br />
<br />
<br />
<br />
8
()<br />
• ( 不 )<br />
• DDoS<br />
• 不 易 <br />
• <br />
• ()<br />
• <br />
• Ex: MyDoomNetSkyBagel<br />
9
10
NetSky<br />
• 2004/04/16<br />
• 兩 <br />
兩 (.AB) 來 <br />
錄<br />
• <br />
• Panda95%<br />
Netsky.D 力<br />
度 <br />
• 倫 mi2g 數<br />
NetSky(A~Q)330<br />
35.843.8billion<br />
11
NetSky<br />
NETSKY.B NETSKY.C NETSKY.D NETSKY.P NETSKY.Y<br />
<br />
<br />
Word Word Pad .pif Word Pad Word Pad<br />
<br />
<br />
Email 路<br />
<br />
<br />
Email 路<br />
<br />
<br />
Email<br />
Email 路<br />
<br />
<br />
Email<br />
路 <br />
<br />
<br />
<br />
<br />
<br />
MyDoom<br />
MIMAIL.T<br />
MyDoom<br />
MyDoom<br />
MIMAIL.T<br />
NetSky.A<br />
NetSky.B<br />
MyDoom<br />
DEADHAT<br />
BAGEL<br />
NACHI<br />
<br />
<br />
<br />
<br />
料 來 :<br />
12
Bagel(1/3)<br />
• mi2g2004 年 <br />
(BagleMyDoomNetSky)2004 年 3<br />
16 兩 7200<br />
<br />
• 了 120<br />
來 綠 <br />
13
Bagel(2/3)<br />
• 2004/01/18<br />
• : <br />
• : <br />
• : 8,208 bytes<br />
• TCP port 4751 <br />
• , 利 路<br />
量 <br />
14
Bagel(3/3)<br />
<br />
料<br />
來<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
兩 <br />
, <br />
<br />
女 <br />
, <br />
<br />
<br />
15
2004 年 2 1 <br />
MyDoom.A<br />
行 DoS <br />
2004 年 4 28 <br />
Netsky.X<br />
<br />
DoS <br />
Bagel.U<br />
Bagel.E<br />
2004 年 2 12 <br />
TCP 3127 ~ 3198<br />
<br />
2004 年 4 30 TCP 82<br />
<br />
2005 年 <br />
TCP 4751<br />
<br />
<br />
2004<br />
年 3 25 <br />
TCP 2745<br />
行<br />
行 <br />
16
Sasser(1/3)<br />
• 數 六 <br />
Panda31800<br />
蘭 <br />
<br />
• 5/4 殺 <br />
430<br />
連 <br />
• 2004/5/1<br />
Sasser<br />
Sasser.ASasser.BSasser.CSasser.D<br />
17
Sasser(2/3)<br />
18
Sasser(3/3)<br />
• 利 WindowsLSASS 漏 洞 來 行 <br />
來 不 <br />
• LSASS 理 Active<br />
Directory<br />
• TCP 445/9996/5554<br />
• Windows 20002003NT<br />
XP (Windows 95/98/ME<br />
不 )<br />
19
Sasser(1/2)<br />
• 立 Jobaka3l (Mutex) <br />
<br />
• avserve.exe<br />
錄 便 行<br />
• TCP 5554 FTP <br />
來 <br />
• SasserTCP 445 連 IP <br />
連 <br />
20
Sasser (2/2)<br />
• 連 Sasser<br />
LSASS 漏 洞 shellcode<br />
TCP 9996 行 Shell<br />
• LSASS 漏 洞 Lsass.exe <br />
Windows<br />
<br />
• SasserShell 連 FTP 5554 <br />
行 <br />
• “4-5 數 亂 數 _up.exe”<br />
( 5086_up.exe)<br />
21
Sasser(1/6)<br />
• LSA Shell <br />
22
Sasser(2/6)<br />
LSASS.EXE 連<br />
數 (System Shutdown)<br />
23
Sasser(3/6)<br />
錄 avserve.exe<br />
24
Sasser(4/6)<br />
Registry Editor( 錄 )<br />
25
Sasser(5/6)<br />
avserver.exe 量 CPU<br />
率 100%<br />
26
Sasser(6/6)<br />
錄 *_up.exe<br />
27
SasserBlaster<br />
Sasser<br />
Blaster<br />
漏 洞<br />
<br />
Port<br />
<br />
利 LSASSC <br />
漏 洞 行 Buffer<br />
Overflow<br />
avserver.exe<br />
avserver2.exe<br />
TCP 445TCP<br />
5554TCP 9996<br />
LSASS 漏 洞 <br />
行 <br />
28<br />
利 RPC 漏 洞<br />
行 Buffer Overflow<br />
<br />
msblast.exe<br />
TCP 135TCP<br />
4444UDP 69<br />
RPC 漏 洞 <br />
updata<br />
行 DDoS
Honeypot<br />
• Honeypot <br />
來 <br />
路 行 <br />
29
歷 <br />
年 <br />
<br />
1990/1991 Honetpot 念 Clifford Stoll’s ”The<br />
Cuckoo’s Egg”Bill Cheswick’s “An Evening With Berferd”<br />
1997<br />
1998<br />
1998<br />
1998<br />
1999<br />
Honeypot SolutionFred Cohen’s Deception Toolskit<br />
Version 0.1<br />
HoneypotCyberCopt<br />
Honeypot<br />
Marty RoeschGTENetFacade<br />
了 Snort<br />
BackOfficer FriendlyWindows<br />
Honeypot<br />
Honeynet Project 立 ( 列 蘭 <br />
)<br />
2000~ Honeynet 來 Worm<br />
30
Honeynet(1)<br />
• <br />
• <br />
<br />
• <br />
<br />
J.Levine, R.LaBella,H.Owen, D.Contis,B.Culver, The Use of Honeynets to Detect Exploited Systems<br />
Across Large Enterprise Networks, Proceedings of the 2003 IEEE Workshop on Information Assurance United States<br />
Military Academy, West Point, NY June 2003<br />
31
Honeynet(2)<br />
• 路 <br />
• 流 量<br />
• 利 不 行 <br />
• 路 <br />
• Honeynet 路 流 量 都 <br />
<br />
32
Honeynet<br />
• <br />
• 錄 連 <br />
• 路 <br />
• 不 路 <br />
• <br />
• 錄 異 路 索<br />
• 流 量 <br />
• 錄 流 量 <br />
• <br />
• Log 錄 <br />
• <br />
• 不 行 <br />
• <br />
• 行 <br />
33
Honeynet<br />
• 料 <br />
• 行 <br />
• 料 <br />
• Honeynet 行 錄 <br />
<br />
• 料 <br />
• 料 行 <br />
http://www.honeynet.org/alliance/requirements.htm<br />
34
料 (1/2)<br />
• 行 <br />
• 降 <br />
• <br />
更 行<br />
<br />
35
料 (2/2)<br />
36
料 <br />
• Honeynet 錄 行 <br />
• 錄 <br />
37
料 <br />
• Honeynet<br />
38
NCKUHoneynet 路 說 <br />
39
Honeynet on the NCKU Testbed<br />
<br />
<br />
來 路 狀 <br />
料 <br />
- 錄 行 <br />
料 <br />
- 錄 40 行
SQL-Slammer Worm<br />
• 2003 年 125 路 <br />
SQL Slammer<br />
• UDP port 1434<br />
路 <br />
DDoS<br />
41
SQL Slammer<br />
SQL Slammer 例<br />
EtherealSlammer<br />
port 1434 行 <br />
錄 Slammer<br />
Packet<br />
43
Honeynet- SQL Slammer<br />
SQL-Slammer<br />
UDP 流 量 暴 <br />
44
Honeynet - SQL Slammer<br />
類<br />
45
Honeynet - SQL Slammer<br />
錄 SQL-Slammer1434 PORT 行 IP<br />
46
Honeynet - SQL Slammer<br />
錄 SQL-Slammer<br />
錄 串<br />
47
• 2003/8/13<br />
<br />
<br />
<br />
• 行 路 <br />
量 <br />
不 例 <br />
( 例 )<br />
48
MS Blast<br />
MSBlastRPC<br />
錄 MSBlastmsblast.exe<br />
50
Honeynet- MSBlast<br />
MSBlast<br />
TCP 流 量<br />
51
Honeynet- MSBlast<br />
<br />
<br />
52
Honeynet- MSBlast<br />
錄 令<br />
53
Mydoom<br />
• 1200<br />
路 <br />
• mi2g 數 Mydoom24<br />
10<br />
• 聯 2004 年 23Mydoom<br />
數 量 700012<br />
1<br />
3852004 年<br />
1<br />
54
MyDoom<br />
• 2004/01/26<br />
• 不 <br />
• <br />
• .pif.scr.exe.cmd.bat.zip<br />
• : 22,528 bytes<br />
• Windows<br />
• shimgapi.dll TCP<br />
port 3127-3198<br />
55
Mydoom(Honeynet)<br />
mydoom<br />
port<br />
錄 了<br />
<br />
<br />
mydoom<br />
3127port<br />
<br />
錄 <br />
56
Mydoom(1/3)<br />
57
Mydoom(2/3)<br />
<br />
58
Mydoom(3/3)<br />
Port3127<br />
59
Honeynet- Mydoom<br />
60
論<br />
• 路 <br />
路 <br />
不 <br />
<br />
• 路 <br />
<br />
<br />
61