竹苗区网研习课程网路安全系列电脑网路病毒防治.ppt

2001.11.21,電腦網路病毒防治,TANet竹苗區網研習課程網路安全系列 電腦網路病毒防治,陳昌盛 技術師交通大學計算機與網路中心90.11.21,2001.11.21,電腦網路病毒防治,課程概要,電腦網路系統端的防護簡介電腦病毒簡介電腦病毒防護模式怎樣偵測電腦病毒?怎樣移除電腦病毒?系統防護案例參考資料,2001.11.21,電腦網路病毒防治,1.電腦網路系統端的防護簡介,基本名詞(term)Proxy server代理伺服器Firewall 防火牆Agent 代理人Computer Virus 電腦網路病毒Network WormSPAM MailIDS(Intrusion Detection System),2001.11.21,電腦網路病毒防治,ApplicationServer,DNS,Externalfirewall,Ipfw,ipchain,ipf,Internet,MRTGTraffic monitor,NIDS(e.g.snort),Misuse Detection-Port scan,CGI attacks,etc,Statistic AnalysisAguri,Netflow,etc.,Two-phaseAnomaly Detection,Internalfirewall,SMTP,WWW,etc,DNS Server Host,client,LAN,Network Intrusion Detection System 網路入侵偵測,2001.11.21,電腦網路病毒防治,Network Infrastructure(網路基礎建設),Hardware InfrastructureConnection/Access MediaRouter/switch/hubSoftware InfrastructureDNS(Domain Name System)140.113.1.1,140.113.6.2,140.113.250.135Directory System(Portal,Search Engine,)http:/http:/http:/,2001.11.21,電腦網路病毒防治,Network Protection System,FirewallPacket filteringproxyInformation GatewayProxy/Caching serverE-mail Filtering System(e.g.anti-spam,anti-virus,anti-worm)Intrusion Detection System IDS or NIDS(Network Intrusion Detection System)Misuse pattern matchingAnomaly detection,2001.11.21,電腦網路病毒防治,網路流量分析與追蹤,了解各類主要應用的正常流量(netflow)流量異常的可能原因系統工作或設定不正常系統被入侵,當作攻擊他站的跳板系統被偽裝使用 e.g.以 tcp port 25 跑其他非 SMTP 程式其他,2001.11.21,電腦網路病毒防治,TANet 整體流量分布 2000.10,2001.11.21,電腦網路病毒防治,2.電腦病毒概念簡介,什麼是“電腦病毒”?電腦病毒的傳染途徑.電腦病毒的簡單分類.如何防範電腦病毒.,2001.11.21,電腦網路病毒防治,電腦病毒的基本定義,一般來說，病毒泛指一些能夠影響電腦正常運作的有害程式。一九八六年，可令個人電腦的操作受到影響的電腦病毒首次被人發現。此後，病毒的數目不斷上升。病毒發作所造成的破壞程度參差不同，其影響可小至僅僅對屏幕的顯示 造成滋擾，以至電腦儲存的珍貴資料受到破壞。,2001.11.21,電腦網路病毒防治,關於電腦網路病毒,電腦病毒與生物病毒有很多相似之處兩者均需要貯 存在一個主體內。就電腦病毒而言，主體通常 指受感染的檔案磁碟。兩者均可自行 衍生，由一個主體感染另一個主體。最後，通常兩類病毒均會對主體造成損害。兩者之間最 少有一點是不同電腦病毒是由人類編寫而 產生的，而生物病毒則是自然而生。,2001.11.21,電腦網路病毒防治,電腦病毒入侵的途徑,幾個常見的散佈途徑經由 e-mail 的夾帶檔(attachment)經由網際網路的下載區經由軟碟磁片或抽取可攜式硬碟,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(1),開機磁區病毒開機磁區病毒會感染軟碟內的開機磁區及硬碟，而且也能夠感染用戶硬碟內的主開機磁區。一但電腦機件中毒，病毒已駐留在記憶體內，每一個經受感染電腦讀取過的軟碟都會受到感染。檔案型病毒檔案型病毒，又稱寄生病毒，運行於記憶體，通常感染執行檔案。每次執行受感染的檔案時，病毒便會發作：病毒會將自己複製到其他執行檔案並於發作後仍可長留在記憶體。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(2),複合型病毒 具有開機磁區病毒和檔案型病毒的雙重特點。巨集病毒巨集病毒專門針對特定的應用軟體，可感染依附於某些應用軟件內的巨集指令，如Microsoft Word 和Excel。巨集病毒採用程式語言撰寫，例如Visual Basic 或 Corel Draw，而這些又是易於掌握的程式語言。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(3),worm(蠕蟲)蠕蟲是一種會自我複製,經由網路擴散的程式。它跟病毒有所不同，它不會附在一個主程式內。它會用盡電腦資源、修改系統設定及最終令系統死機。隨著互聯網的普及，蠕蟲利用電郵系統去複製，例如把自己隱藏於附件並於短時間內電郵予多個用戶。近期知名例子SirCam(E-mail),Code Red(IIS),Nimda(IIS,TFTP,)等,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(4),Trojan horse(特洛伊木馬)程式特洛伊或特洛伊木馬是一個看似正當的程式，但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據。與病毒的分別是特洛伊不會複製自己，只會駐留在電腦內作破壞或讓黑客作遠程遙控。特洛伊通常隱藏在一些免費遊戲或工具程式。典型例子：Back Orifice(或 NetBus)特洛伊木馬於1998年發現，是一個Windows遠程管理工具，讓用戶利用簡單控制台或視窗應用程式，透過TCP/IP去遠程遙控電腦。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(5),其他新型病毒/惡性代碼Java 病毒ActiveX objects VB Script 病毒超文本標示語言(英文簡稱HTML)病毒,2001.11.21,電腦網路病毒防治,3.電腦病毒防護模式,運作模式個人用戶ISP 線上掃毒網路系統篇,2001.11.21,電腦網路病毒防治,電腦病毒防護基本素養,不隨意打開郵件內夾帶的程式或檔案不隨意轉寄不明軟體定期利用掃毒軟體,掃描系統定期修補系統漏洞,2001.11.21,電腦網路病毒防治,常見防毒軟體及系統供應商,Symantec(Norton;賽門鐵克)McAfeePC-Cillin(Trend Micro;趨勢科技),2001.11.21,電腦網路病毒防治,4.怎樣偵測電腦病毒?,病毒及預防病毒的唯一真理,是沒有絕對安全的保安措施。以下是一些偵測病毒的方法：留意任何電腦操作上的異動使用常駐記憶體的防毒軟體，持續監察電腦是否受病毒感染。使用防毒軟體對硬碟機進行掃描。確保使用最新的病毒碼，而用戶最少每週更新病毒碼一次。使用伺服器專用的防毒軟體保護網絡。此外，可考慮使用以應用系統為本的防毒軟體。,2001.11.21,電腦網路病毒防治,電腦病毒感染的癥候,程式的執行時間比正常的需時較久可用記憶體或硬碟空間突然減少不正常的訊息,顯示在電腦螢幕上不定期,出現不正常的聲響或音樂硬碟的名稱,突然變調了,2001.11.21,電腦網路病毒防治,5.怎樣移除電腦病毒?,立即停止使用受感染的電腦，(並且停止把電腦與網路接駁)因為病毒會隨時發作。繼續使用受感染的電腦，只會加速該病毒的擴散。以備份檔案恢復系統是最穩妥而有效的方法。在某些情況，可使用緊急恢復磁碟把開機磁區、分割控制表以至基本輸入輸出系統的數據恢復。如果沒有最新的備份檔案，可嘗試使用防毒軟體把病毒移 除。,2001.11.21,電腦網路病毒防治,6.系統防護案例,電腦網路系統端的防護措施基本網路防護架構從 Code Red(Worm)談 web proxy,router 等系統防護從 SirCam(E-mail virus)談 SMTP server 等系統的防護,2001.11.21,電腦網路病毒防治,WCCP 協定簡介,2001.11.21,電腦網路病毒防治,Transparent Proxy/caching 運作示意圖,Internet,1,2,3,HDcache,4,5,6,7a,7b,Router/Layer4 SW,Proxy/Caching Server,優點:用戶設定簡單(甚至不用任何設定)缺點:使用效率較差(router/switch),2001.11.21,電腦網路病毒防治,Reverse Transparent Proxy 運作示意圖,Internet,1,7,Router/Layer4 SW,Proxy/Caching Server,優點:可以過濾不當的輸入連線(e.g.病毒攻擊)缺點:使用效率較差(router/switch),2,3,4,5,WWW server,6,8,2001.11.21,電腦網路病毒防治,系統規劃與建置,CodeRedCommon TCP Port 80Breeding but not destroying快速變化 destination IP address留下後門Nimda多重感染途徑Log 分析與追蹤Squid access logRouter access list人工通知,2001.11.21,電腦網路病毒防治,系統規劃與建置(Cont.),Cisco Router 6000 Proxy Server Farm SquidPC*10Log 分析與追蹤Squid access logRouter access list人工通知,2001.11.21,電腦網路病毒防治,效能評估,Proxy ServerLoad-1.0最大 9.6 Mbits/sec最大 2000 pps RouterCPU 100%最大 12000 ppsRouter(with filter)CPU 40%,2001.11.21,電腦網路病毒防治,效能評估(Cont.),效能瓶頸WCCP redirection使用硬體 WCCP moduleHigher-level RouterPC processing powerCPU,NICNimda34 hosts,294367 attacks/min10 hosts,21549 attacks/min3 hosts,8810 attacks/min,2001.11.21,電腦網路病毒防治,Threats to the Operation of a Typical Mail System,SPAM Mail internal or externalUCE/UBEUnsolicited Commercial MailUnsolicited Bulk MailE-mail VirusOther DoS attacks,2001.11.21,電腦網路病毒防治,Incoming SMTP Gateway,SMTPPOP3/IMAP,SMTP,Outgoing SMTP Gateway,source,destination,Firewall,filtering,Firewall,filtering,Generic E-mail Transmission Path,1,2,3,4,5,6,2001.11.21,電腦網路病毒防治,用戶 PC,Mail Server,sendmail,procmail,Mailspool,Internet,POP3/IMAPserver,Netscape/MS-IE,用戶 Mail存放區,掃毒軟體,Anti-SPAM&Anti-virus Mail 流程示意,2001.11.21,電腦網路病毒防治,Level-2SMTP server,Internet,E-mail Virus Filtering on Incoming Mail Gateways,Body-based filtering,IMAP/POP3server,Mail Spool,Virus-free messages,Virus code captured,E-mail Virus Checker(procmail),Incoming Mail Gateway,Level-1SMTP server(e.g.Sendmail),2001.11.21,電腦網路病毒防治,Out-goingSMTP server,Internet,Firewall,SPAM orE-mail VirusDetected,The Concept for Filtering of Outgoing Messages,Packet-layer,Header-based filtering,IP-based filtering,SystemsReconfiguration,2001.11.21,電腦網路病毒防治,電腦網路安全相關網站(1),CERT:TWCERT,http:/www.cert.org.twCERT,http:/www.cert.org香港資訊科技署,http:/www.itsd.gov.hk/itsd/virus/chinese/cant_vir.htm,2001.11.21,電腦網路病毒防治,電腦網路安全相關網站(2),PC 個人防毒軟體及 ISP 線上掃毒Symantec,http:/.Trend Micro,http:/.tw網路系統病毒掃描(Unix)Sendmail+Procmail-sanitizerProcmail-sanitizer,http:/www.impsec.org/email-tools/procmail-security.html,2001.11.21,電腦網路病毒防治,電腦網路安全相關網站(3),其他相關網站http:/content.edu.tw/primary/info_edu/cy_sa/content/5/5-3.htmhttp:/.tw/computer/software/nonvirus/Bruce,Stewart,“How to protect Against Computer Viruses”http:/,