784第三章 骇客入侵流程解析.ppt

第三章 駭客入侵流程解析,大綱,3.1網路探勘與掃描3.2基本防範對策3.3網路鑑識與分析3.4入侵偵測與防護系統3.5網路誘捕系統,第三章 駭客入侵流程解析,2,3.1 網路探勘與掃描,網路探勘(Reconnaissance)利用網路上所提供的服務或工具(例如Whois、Nslookup等等)，來取得目標主機的位置。分為主動式(Active)探勘與被動式(Passive)探勘主動式探勘：傳送特定的封包(TCP、UDP、ICMP)到目標主機，並根據回應封包得到目標主機的相關資訊，例如 Ping。被動式探勘：不傳送特定的封包，而是監測封包來取得目標主機的相關資訊，例如 Whois。掃描(Scanning)利用常用的工具或是指令，來取得目標主機的作業系統、網路服務、帳號密碼等資訊。掃描的方法有非常多種，常見的有 TCP Connect Scan、TCP SYN Scan、UDP Port Scan、Fingerprint、Null Sessions等。,第三章 駭客入侵流程解析,3,3.1 網路探勘與掃描,網路探勘方法 WhoisWhois簡單來說就是一個資料庫可以用來查詢網域是否被註冊以及註冊網域的詳細資訊 左圖為TWNIC所提供的Whois服務這裡以 Pchome為例Registrant網域所有者的詳細資料Record expires網域到期日期Record created網域註冊日期Domain servers網域所使用的 DNS Servers,第三章 駭客入侵流程解析,4,資料來源 http:/.tw/,3.1 網路探勘與掃描,網路探勘方法 Nslookup 主要是用來查詢網域名稱和 IP 之間的對應關係Nslookup 使用說明首先按 開始 執行 cmd接著輸入 nslookup最後輸入要查詢的網域名稱左圖以查詢Yahoo!為例,第三章 駭客入侵流程解析,5,利用Nslookup查詢Yahoo!的IP位置,3.1 網路探勘與掃描,網路探勘方法 Ping測試與遠端電腦或網路設備的連線狀況Ping使用說明首先按 開始 執行 cmd接著輸入 ping 主機位置(或網域名稱)左圖以ping Yahoo!為例,第三章 駭客入侵流程解析,6,利用ping查詢Yahoo!的IP位置,3.1 網路探勘與掃描,掃描的方法 TCP Connect Scan主要是利用TCP三向交握(Three-way handshaking)的連線方式來達到掃描的目的三向交握如左上圖所示，首先主機A會先送一個SYN的封包給主機B，告知想要跟主機B建立連線。當主機B收到後，會回送一個SYN+ACK的封包給主機A。最後當主機A收到主機B的回應後，會再回送一個ACK封包給主機B，這時主機A跟主機B之間即建立連線了。左下圖為使用Nmap 做TCP Connect Scan,第三章 駭客入侵流程解析,7,A,B,1.SYN,2.SYN+ACK,3.ACK,三向交握示意圖,使用Nmap 做TCP Connect Scan,3.1 網路探勘與掃描,掃描的方法 TCP SYN Scan沒有完成三向交握如左上圖，當主機 A 收到主機 B 的回應後，並不會回傳 ACK 封包給主機 B。TCP SYN Scan的優缺點優點：由於沒有完成 TCP 三向交握，所以不會在目標主機上留下記錄。缺點：需有管理者的權限才可執行TCP SYN Scan(以左上圖為例，必須要有主機 A 的管理者權限)。左下圖為使用Nmap做 TCP SYN Scan,第三章 駭客入侵流程解析,8,A,B,1.SYN,2.SYN+ACK,3.ACK,三向交握示意圖,使用Nmap 做TCP SYN Scan,3.1 網路探勘與掃描,掃描的方法 Stealth Scan現在很多防火牆或路由器會對指定的port進行監視，將對這些port的連接請求全部進行記錄。這樣即使是使用TCP SYN掃瞄仍然會被防火牆或入侵偵測系統記錄到Log中，所以偷取掃瞄因此而生。雖然說偷取掃瞄可以躲過很多防火牆或路由器的監視，但這種掃瞄的缺點是掃瞄結果的不可靠性會增加，而且掃瞄主機也需要自己構建IP封包，常見的偷取掃瞄有TCP FIN掃瞄、TCP ACK掃瞄、NULL掃瞄、XMAS掃瞄及SYN ACK掃瞄。但現在的入侵偵測系統應該都可以發現偷取掃瞄。使用NMAP的指令為NMAP-sF(-sX,-sN)-PT-PI target,第三章 駭客入侵流程解析,9,3.1 網路探勘與掃描,掃描的方法 UDP Port Scan由掃描主機發出 UDP 封包給目標主機的 UDP Port，並等待目標主機 Port 送回ICMP Unreachable訊息。若收到目標主機Port傳回的ICMP Unreachable訊息，則表示該 Port 處於關閉的狀態。若沒有收到目標主機Port傳回的ICMP Unreachable訊息，則表示該 Port 可能處於Listen狀態。UDP Port Scan的缺點UDP 協議不可靠可能被防火牆濾掉左圖為使用Nmap做UDP Port Scan,第三章 駭客入侵流程解析,10,使用Nmap做UDP Port Scan,3.1 網路探勘與掃描,掃描的方法 Fingerprint運行服務的 Fingerprint利用掃描得到目標主機有哪些port是開啟的，並發送符合該協定的命令封包再比對回應結果。作業系統的 Fingerprint找出作業系統間不同的 TCP Protocol Stack 特性，就可以藉此區分出作業系統的類型或版本。左圖為使用Nmap對目標主機進行作業系統辨識,第三章 駭客入侵流程解析,11,使用Nmap對目標主機進行作業系統辨識,3.1 網路探勘與掃描,掃描的方法 Null Sessions也稱匿名登入，是一種允許匿名使用者透過網路得到系統的使用者名稱等相關資訊。可得到的資訊使用者及群組清單主機清單分享文件清單使用者及主機的 SIDs(Security Identifiers)左圖為使用 DumpSec 所得到的資訊,第三章 駭客入侵流程解析,12,使用 DumpSec 所得到的資訊,3.2 基本防範對策,如何防範駭客入侵呢？安裝適當的防毒軟體、反間諜軟體等，並定期更新病毒碼。隨時修補作業系統的漏洞，避免駭客利用作業系統的漏洞植入後門程式。不要輕易從來路不明的網站上下載檔案或程式，以免被植入後門程式。不要點擊來路不明的電子郵件，並將 E-mail 軟體的信件預覽關閉。不要隨便開放分享目錄，避免被當作入侵或感染的管道。不需要使用網路資源時，將網路連線關閉。使用即時通訊軟體時，確認對方身份後再開啟對方所傳送之網址與檔案。電腦沒有在使用時，應啟動密碼保護措施。,第三章 駭客入侵流程解析,13,3.2 基本防範對策,如何簡單判斷是否被植入後門程式呢？利用工作管理員檢視目前正在執行哪些程式，並檢查是否有你未曾安裝的軟體或執行序。,第三章 駭客入侵流程解析,14,利用工作管理員檢視目前正在執行的程式,3.3 網路鑑識與分析,網路鑑識與分析已知型態的攻擊可用防毒軟體、防火牆等工具或設備來阻擋，但未知型態的攻擊卻很難使用上述的工具或設備來阻擋。使用網路鑑識工具可以分析使用者的行為或狀態。常見的網路鑑識工具有 Sniffer、Wireshark(Ethereal)、Tcpdump 等。流量監控與分析目前有誰在使用目前使用者正在做什麼是否遭受攻擊或違反網路管理原則調整流量使其符合網路管理原則哪些人可以優先使用網路哪些事情必須要優先使用網路,第三章 駭客入侵流程解析,15,3.3 網路鑑識與分析,如何進行網路流量監控與分析擷取網路流量SnifferWireshark 分層分析利用什麼通訊協定傳輸傳送哪些資料分析與呈現流量統計各個協定的細節網路監控監看各種網路活動入侵偵測與防護系統檢查是否有惡意的攻擊行為網路管理頻寬管理政策的制定,第三章 駭客入侵流程解析,16,3.3 網路鑑識與分析,擷取網路封包工具 Wireshark網管人員用來檢查網路問題開發者用來為新的通訊協定除錯網路安全工程師用來檢查網路安全的相關問題一般使用者可用來學習網路通訊協定的相關知識,第三章 駭客入侵流程解析,17,3.3 網路鑑識與分析,下圖為使用 Wireshark 擷取 ICMP 的封包,第三章 駭客入侵流程解析,18,3.3 網路鑑識與分析,流量統計工具 Bandwidth Monoitor用來統計目前所接收、傳送的流量下圖為 Bandwidth Monoitor Pro 1.30 的介面,第三章 駭客入侵流程解析,19,3.3 網路鑑識與分析,流量統計工具 NTOP可監測區域網路內的封包數量http:/www.ntop.org下圖為 NTOP 的使用介面,第三章 駭客入侵流程解析,20,3.4 入侵偵測與防護系統,駭客入侵網路的理由多樣而且複雜，以下為較常見的理由：企業間諜活動金融利益報復或揭發隱私鑑於駭客入侵及網路攻擊事件頻傳，因此我們需要一套可以有效防範駭客入侵及網路攻擊的系統，而入侵偵測與防護系統也就應運而生了入侵偵測系統(Intrusion Detect System,IDS)藉由分析網路封包或系統記錄檔，即時偵測出對系統進行攻擊的行為，並回報給網管人員知道入侵防護系統(Intrusion Prevention System,IPS)相對於入侵偵測系統，入侵防護系統除了偵測出攻擊外，還會對該攻擊進行阻擋的動作，但缺點是誤報率會提高,第三章 駭客入侵流程解析,21,3.4 入侵偵測與防護系統,Intrusion Detection（入侵偵測）的定義為偵測不適當、不正確或是異常活動的技術。一般防火牆只能對某個服務存取進行限制，但是無法偵測通過的封包是否異常。而IDS可以分析通過的封包或系統的日誌檔，並根據所建立好的入侵特徵資料庫作比對，以偵測出異常事件並發出警報。入侵偵測系統依照佈署的位置及檢查重點的不同，分成以下二種：網路型入侵偵測系統(Network-based Intrusion Detect System,NIDS)主機型入侵偵測系統(Host-based Intrusion Detect System,HIDS)網路型入侵偵測系統通常佈署在一個網段上，監看及分析流經此網段的封包，藉此分析出可能帶有入侵行為的封包主機型入侵偵測系統通常佈署在主機或伺服器上，主要的功能在於分析主機或伺服器上被呼叫或執行的指令，藉此分析出可能帶有惡意的系統呼叫(System Call)指令,第三章 駭客入侵流程解析,22,上圖為入侵偵測系統佈署之範例,3.4 入侵偵測與防護系統,網路型入侵偵測系統(Network-based Intrusion Detection System，簡稱NIDS)網路型入侵偵測系統收集網路封包作為入侵偵測的資料來源，若NIDS安裝在主機上，則需將主機的網路卡設定為“promiscuous mode”(混亂模式)來收集所有通過的網路封包，以進行偵測及分析。一般的檢測方式都會檢查網路封包內的標頭(headers)及部份資料內容，從中判定是否包含攻擊行為，若偵測到有攻擊行為，NIDS就可進行反制動作或提早預警。以下所列為NIDS的分析比對模組用來執行攻擊特徵比對的方法：特殊的位元組、模式比對。事件發生頻率，及頻率是否超過所設的門檻值。可疑事件的關聯性。統計結果上的異常例外數值。,第三章 駭客入侵流程解析,23,3.4 入侵偵測與防護系統,主機型入侵偵測系統(Host-based Intrusion Detection System，簡稱HIDS)主機型入侵偵測系統發展始於80年代早期，通常只觀察、稽核系統日誌檔是否有惡意的行為，用以防止類似事件再度發生。在Windows NT/2000的環境下，通常可以藉由監測系統、事件及安全日誌檢視器中所記載的內容來加以分析、比對，從中發現出可疑的攻擊行為；在UNIX環境下，則監測系統日誌。當有事件發生時，主機式入侵偵測系統即做入侵行為的比對，若有符合，則由回應模組通知系統管理員，或自動對攻擊行為進行適當的反應。,第三章 駭客入侵流程解析,24,3.4 入侵偵測與防護系統,NIDS的優缺點(與HIDS比較)集中佈署於一網路節點 NIDS只需設置在一網路的必經節點上不須設置於網路上的每一台主機，在管理和成本的考量上都是較理想的。但若只靠NIDS則需要冒較高的風險，例如：無法監看有加密的點對點連線。攻擊者進行攻擊後會留下封包證據因為NIDS所採取的是即時收集封包，攻擊者若要抹滅曾進行的攻擊證據是有困難度的；但是在HIDS上的紀錄檔或是稽核檔案，有可能會被攻擊者入侵後修改，造成HIDS失效。但是IP Spoofing的問題會造成NIDS難以找出真正的攻擊者。即時反應因為NIDS所採取的是即時收集封包，即時進行反制，可以在第一時間通知、反應，避免給與攻擊者過多時間進行攻擊行動。而HIDS因為是採定時檢查的方式，較易遭受到阻斷攻擊而導致主機當機、無法繼續運作。較大的彈性空間 NIDS可以選擇佈署在防火牆外部，這點是HIDS無法做到的；NIDS佈署在防火牆外部的好處是無論成功通過防火牆或被防火牆擋下的攻擊封包，都會被NIDS偵測、紀錄下來，以獲得更多關於攻擊者的資訊。除此之外，NIDS也不需要像HIDS要考慮到主機平台是否支援此 HIDS的因素。匿蹤、隱形的能力相對於HIDS，NIDS可以不設定網路介面的位址，也就是達到隱形於網路，同時又能收集所有網路封包的資訊。,第三章 駭客入侵流程解析,25,3.4 入侵偵測與防護系統,HIDS的優缺點(與NIDS比較)對於攻擊事件的影響有較詳盡的紀錄因為HIDS是將攻擊者所造成的系統改變紀錄下來，因此可以得知更多關於攻擊者對特定主機入侵事件造成的影響，及更準確的紀錄攻擊行動的成敗。HIDS通常有個別使用者的上線紀錄，重要檔案的增刪、修改紀錄，使用者權限改變的紀錄，使用者連線到哪裡的紀錄，系統對外開啟的 port 紀錄等等細項紀錄資訊，都是NIDS很難做到的。點對點連線的防護目前有許多的點對點連線因為採取加密處理，而無法在NIDS上做到完全的檢查，此時就可以在HIDS上對連線資料做稽核檢察。不需另外新增主機硬體 HIDS只需要在主機上另外安裝新的軟體，而不像NIDS需要另外新增主機硬體設備。,第三章 駭客入侵流程解析,26,3.4 入侵偵測與防護系統,入侵偵測系統若依照技術的不同，則可分成以下二種：錯誤偵測(Misuse-based Detection)異常偵測(Anomaly-based Detection)錯誤偵測(Misuse-based Detection)最常用於IDS上的偵測方式，又稱特徵偵測(Signature-based Detection)。系統會先針對入侵特徵建立一個資料庫，只要偵測到的封包與資料庫的某個特徵相符，系統就將它視為入侵。優點：與異常偵測相比，誤報率較低。缺點：無法偵測出未知型態的入侵行為。異常偵測(Anomaly-based Detection)先對正常的使用者或網路流量建立一個描述正常行為的行為資料庫，再對通過的封包做比對，若超過正常行為的門檻值，那麼就可視為入侵行為。優點：可偵測出未知型態的入侵行為。缺點：與錯誤偵測相比，誤報率較高。,第三章 駭客入侵流程解析,27,3.4 入侵偵測與防護系統,目前用來實現入侵偵測系統的技術，較為常見的有以下幾種：專家系統(Expert System)雇請專家來分析攻擊行為，並將其轉換成系統可用之攻擊特徵碼，入侵偵測系統便依照此攻擊特徵碼來判斷是否有攻擊發生。統計分析(Statistical Measure)這種方式會蒐集網路的歷史封包記錄，建立屬於正常連線或行為的模組，往後只要當網路封包或使用者流量超過模組所定義的範圍時，便會認為有攻擊行為或入侵行為發生。類神經網路(Neural Network)需先蒐集正常或攻擊的封包，並將這些封包丟給神經網路做訓練(training)，讓神經網路學習何為正常，何為攻擊，再將訓練完成的神經網路拿來當做偵測引擎，當神經網路認為是入侵行為時，就會發出警報。資料探勘(Data Mining)這種方式可在一群正常或是攻擊的封包中，找出最常出現的正常(或攻擊)特徵；若是對攻擊封包做探勘，則可以得到此攻擊的攻擊特徵碼。在偵測階段，只要偵測引擎發現封包與攻擊特徵碼相同時，就會發出警報。,第三章 駭客入侵流程解析,28,3.4 入侵偵測與防護系統,在入侵偵測系統中，我們利用以下幾個項目來檢視入侵偵測系統的效能偵測率(Detection Rate)說明此IDS可以承受多少封包流量，但這可以隨著硬體的提升，而增加偵測能力，通常可以用完成判斷(入侵偵測系統有記錄並完成比對)的封包佔所有流經封包的百分比(%)作為評估的標準。誤報率(False Positive Rate)被判斷成攻擊行為的正常封包(或正常連線)，占所有正常封包(正常連線)的百分比(%)。一般來說若採用異常偵測(Anomaly Detection)時，此誤報率會比較高，因為系統有時會將正常行為當做攻擊。漏報率(False Negative Rate)被判斷成正常行為的攻擊封包(或攻擊連線)，占所有攻擊封包(或攻擊連線)的百分比(%)。一般來說若採用錯誤偵測(Misuse Detection)時，漏報率會比較高，因為系統無法偵測未知的攻擊。,第三章 駭客入侵流程解析,29,3.4 入侵偵測與防護系統,入侵偵測系統所面臨的問題使用監視的方式無法有效的阻擋攻擊。雖偵測到異常，但因參雜許多其他的因素，使得網管人員難以發現。即使網管人員發現異常，亦需要搭配其他記錄(如防火牆記錄檔等等)再做追查。因記錄數量的考量，通常只能對特定的網段或主機記錄，無法對所有的主機記錄、偵測。建置成本太高。,第三章 駭客入侵流程解析,30,3.4 入侵偵測與防護系統,由於入侵偵測系統無法有效的阻擋網路攻擊，因而發展出入侵防護系統。入侵防護系統所有封包都需經過入侵防護系統採用即時分析(In-line)模式，能在第一時間阻擋攻擊封包阻擋的是攻擊封包而不是攻擊來源多種檢測方法，降低誤報率特徵資料庫分析(Signature Analysis)異常通訊協定分析(Protocol Anomaly Analysis)異常行為模組分析(Behavior Anomaly Analysis)入侵防護系統所面臨的問題難以使用在大型網路上若是誤判，會影響到正常使用者由於要檢查所有的封包，所以會影響到網路速度隨著網路技術與產品的發展，可能會增加網路管理及建置的困難度,第三章 駭客入侵流程解析,31,3.5 網路誘捕系統,隨著網路技術的發展，現在的資安科技無法提供絕對的安全防護，所以“資訊偽裝”及“誘補與欺敵”是防衛重要資訊的重要手段。網路誘補系統是經過精心規劃，以大量的陷阱吸引攻擊者，引誘攻擊者發動攻擊，再利用資料擷取工具，加以記錄並分析。首先出現的商用誘捕系統是DTK Deception ToolKit，其後引發一系列的研究，其中成果最顯著的為 Honeynet Project 及 Honeypot。Honeynet Project 是透過學習駭客群體的動機、攻擊工具及攻擊策略，分析駭客的行為與威脅，並將結果發表於“Know Your Enemy”系列文章。Honeypot 是一個故意被設計成有缺陷的系統，讓攻擊者易於攻擊，誘使攻擊者進行攻擊，藉此欺敵來保護重要的系統或是對攻擊者的行為進行分析。,第三章 駭客入侵流程解析,32,3.5 網路誘捕系統,Honeypot 依其回應的方式可分為低互動型(low-interaction)高互動型(high-interaction)低互動型藉由模擬服務與作業系統來達成較容易部署與維護，風險也比較小高互動型使用真正的應用程式與作業系統通常包括多台主機，這些主機是隱藏在防火牆後面的，所有進出的封包都受到監控、補獲及控制可經由補獲的封包，進一步分析入侵者使用的工具、方法及動機,第三章 駭客入侵流程解析,33,3.5 網路誘捕系統,Honeyd低互動型的 Honeypot主要功能是監控沒有使用的 IP當Honeyd發現有人企圖對一個不存在的系統進行連線時，便會偽裝成一個系統做回應並記錄對方的行為缺點較容易被入侵者識破,第三章 駭客入侵流程解析,34,3.5 網路誘捕系統,Honeynet高互動型的 Honeypot分成三大部分資料控制(data control)資料擷取(data capture)資料分析(data analysis)資料控制防止入侵者在取得 Honeynet 中的電腦權限後，利用 Honeynet 作為跳板對其他主機進行攻擊，因此我們必須要對入侵者可能得到的權限作限制。資料擷取對在 Honeynet 中進行活動的入侵者做監測和記錄的工作。在不被入侵者發現的情況下獲取最多的資訊。資料分析透過蒐集來的系統記錄，統計分析事件、資料關連分析與報表制作等等。,第三章 駭客入侵流程解析,35,3.5 網路誘捕系統,Virtual Honeynet允許在同一時間，同一硬體平臺上運行多個作業系統的虛擬軟體。虛擬Honeynet本質上不是一種新技術，它們只是採用了Honeynet技術的概念，而把它們實現在一個系統上。優點花費較小虛擬的系統，不需要額外的設備。易於管理集中在一台管理。缺點配置限制多例如無法在一個虛擬Honeynet中配置Alteon switch、Cray computer等。風險高破壞虛擬軟體，並且控制整個Honeynet，從而達到對整個系統的控制。,第三章 駭客入侵流程解析,36,3.5 網路誘捕系統,Virtual Honeynet種類獨立 Virtual Honeynet(Self-Contained Honeynet)一個獨立虛擬Honeynet是被濃縮到一台電腦上的一個完整的Honeynet網路。混合 Virtual Honeynet(Hybrid Honeynet)不局限於一台機器，而是把它的組成部分分開在多台機器上部署，是傳統Honeynet和虛擬軟體的混合體。,第三章 駭客入侵流程解析,37,3.5 網路誘捕系統,獨立 Virtual Honeynet優點可攜性高虛擬Honeynet能夠搭建於移動式電腦上，能被帶到任何地方。資金和空間上的節省只需要一台電腦，可減少硬體上的開支。缺點容錯性差如果硬體出了問題，整個Honeynet將不能使用。資源需求大需擁有足夠的記憶體和處理能力很強的處理器。安全性低所有東西都共用硬體資源，所以存在攻擊者攻破系統其他部分的危險。軟體限制高因為所有東西都在一個系統中運行，能使用的軟體就會受到限制，如：在Intel晶片上運行Cisco IOS是非常困難的。,第三章 駭客入侵流程解析,38,3.5 網路誘捕系統,混合Virtual Honeynet優點安全性較高混合虛擬Honeynet中，唯一的危險只可能是攻擊者進入其他的Honeypots。軟體使用靈活性可以使用多種軟體和硬體來實現混合網路的資料控制和資料擷取。缺點移動性低網路由多台主機組成，移動相當困難。成本較昂貴網路中有多台電腦，將花費更多的空間和資金。,第三章 駭客入侵流程解析,39,3.5 網路誘捕系統,下圖為在Linux上安裝Virtual Honeynet的安裝圖。,第三章 駭客入侵流程解析,40,參考資料,http:/bro-ids.org/,BRO。http:/,OSSEC。http:/www.snort.org/vrt,Snort。http:/www.la-samhna.de/samhain/,SAMHAIN Lab。http:/,BASE project。http:/,Analysis Console for Intrusion Databases(ACID)。Http:/tools/5HP072AFPK.html,Open HIDS-Windows Host Intrusion Detection System。http:/12_3t8/feature/guide/gt_fwids.html,Cisco IOS Intrusion Prevention System,CISCO。入侵防禦系統.ppt。網路探測技術.ppt。網路監控技術.ppt。網路誘捕系統.ppt。入侵偵測防禦系統.ppt。入侵偵測與防護系統.ppt。輕鬆對抗網路安全威脅.pdf。,第三章 駭客入侵流程解析,41,