1、報告大綱論文簡介Botnet and DDoS重大DDoS事件防範方法 論文一防範方法 論文二方法比較結論與建議論文簡介論文一(2009 年資訊科技國際研討會論文集)殭屍網路活動的偵測與阻絕工具研發指導教授:楊中皇高雄師範大學 資訊教育研究所教授發表學生:丁光立 資訊教育研究所研究生論文二(TANet 2009 國際學術研討會)透過分析偵測並瓦解僵屍網路Tian-Hao,Chen、Shi-Jia,Peng、Li-Ming,TsengDepartment of Computer Science and Information Engineering,National Central Univer
2、sityBotnet and DDoSVint Cerf網際網路之父全球25的電腦為殭屍Botnet 簡介殭屍網路,又稱喪屍網路駭客常用攻擊手法之一Botnet and DDoSBotnet 發展過程IRC Internet Relay ChatEggdrop90年代末IRC淪為殭屍網路的工具Botnet and DDoSDDoS 簡介Distributed Denial of Service分散式阻斷服務攻擊,又稱洪水攻擊利用TCP/IP的三向交握Botnet and DDoSDDoS 攻擊流程示意圖方法一方法二Botnet and DDoSDDoS 常見攻擊方式SYN floodLAND
3、attackICMP floodsApplication level floods 重大事件DDoS2003年eBay遭受美國奧勒岡州駭客控制 2 萬台殭屍網路攻擊2004年中國某音樂網站遭受河北駭客操控 6 萬台殭屍網路攻擊2008年巴哈姆特、遊戲基地等大型討論區2009年Facebook、Tiwtter等社交網站2009年美、韓網站被癱瘓枚不盛舉防範方法殭屍網路活動的偵測與阻絕工具研發殭屍網路偵測的相關研究Honeypot and 雙重 Honeypot觀察 IRC 的固定Port 與Server 連結的client建置 BotSniffer 系統,由 bots 行為的一致性作判別防範方法
4、-(論文一)本研究提出之方法ntop 網路流量監控程式PerlShell Script防範方法-(論文一)殭屍網路活動的偵測與阻絕工具研發Ntop修改Local to LocalLocal to RemoteRemote to LocalIP TrafficHost ActivityActivity TCP/UDP Sessions來源Port目標Port來源 IP目標IP防範方法-(論文一)殭屍網路活動的偵測與阻絕工具研發本機IP:10.1.142.5目標IP:20.71.39.12本端Port:2646目標Port:5564本機IP:10.1.142.10目標IP:20.71.39.12本
5、端Port:2785目標Port:5564本機IP:10.1.142.15目標IP:20.71.39.12本端Port:2597目標Port:5564防範方法-(論文一)殭屍網路活動的偵測與阻絕工具研發對Session管理黑名單白名單Email或其他方式提醒網路管理者防範方法-(論文一)殭屍網路活動的偵測與阻絕工具研發防範方法-(論文一)殭屍網路活動的偵測與阻絕工具研發防範方法-(論文二)透過分析偵測並瓦解僵屍網路研究架構防範方法-(論文二)透過分析偵測並瓦解僵屍網路實驗環境:Host OS:Windows Server 2003Guest OS:Windows XP SP2Packet tr
6、ace:Wireshark 1.0.0TcpViewPro v1.06匝道路由器:Os:Linux(kernel 2.4.9)DNS Server:ISC BIND8.4.4IRC Server:OS:Fedore Core 8(Kernel 2.6.25)IRC Server Software:ircd-hybird-7.2.3防範方法-(論文二)透過分析偵測並瓦解僵屍網路系統架構圖過濾、黑名單防範方法-(論文二)透過分析偵測並瓦解僵屍網路防範方法-(論文二)透過分析偵測並瓦解僵屍網路Honeynet流程蒐集IRC-Based Botnet在VM上分析病毒產生的Traffic Gateway
7、封包過濾與轉向黑名單比對 觀察是否為IRC Protocol防範方法-(論文二)透過分析偵測並瓦解僵屍網路病毒解析封包過濾與轉向導至解毒伺服器正常,通過過濾判斷資訊是否過時,0則至FQDN更新ip位址防範方法-(論文二)透過分析偵測並瓦解僵屍網路解毒控制步驟一建立與病毒之 IRC Server 一樣的Channel name步驟二更改Topic步驟三等待中毒電腦防範方法-(論文二)透過分析偵測並瓦解僵屍網路方法比較論文一之優點:使用封包分析較為精準黑白名單功能論文一之缺點:封包分析速度方法比較論文二之優點:攔截駭客控制殭屍網路能對已成為殭屍網路之受害(駭)者提出警告論文二之缺點:功能可能受限於區域網路需架設IRC Server需架設FQDN Server成本較高結論與建議殭屍網路透過其他通訊協定傳染Http P2P減輕人工管理的困難度黑白名單是很好的方式搭配其他弱點偵測軟體效果更佳結論與建議兩者可相互搭配搭配其他網管效果更好防火牆流量監測使用者保持良好習慣病毒蠕蟲拙見-新架構OS:Linux撰寫Shell Script:將黑名單與Firewall結合保持白名單功能對付殭屍網路的DNS與IRC Server報告結束,謝謝大家
浙公网安备33021202000488号 | 
浙ICP备2021020529号-1 浙B2-2024(办理中) 
