利用Netflow即时侦测蠕虫

利用Netflow即時偵測蠕蟲攻擊報告人：王明輝報告日期：民國95年11月2日報告大綱緒論Netflow技術簡介研究架構與方法實驗結果與分析結論與未來研究方向研究動機蠕蟲攻擊日益增加蠕蟲攻擊會影響網路效能第一隻引起網路癱瘓的蠕蟲--CodeRedIPS阻擋蠕蟲需要耗費大量資源研究目的利用Netflow技術，發展一個快速即時的蠕蟲偵測系統只使用少量的系統資源Netflow技術探討一個flow包含七個主要欄位：來源IP位址目的IP位址來源埠號目的埠號協定類型ToSByte值封包進入Router的介面編號協定類型協定類型ValueProtocol1ICMP2IGMP6TCP9IGRP17UDP47GRE89OSPF115L2TPToS(TypeofService)ToS位元用途0-2Precedence30=NormalDelay,1=LowDelay40=NormalThroughput,1=HighThroughput50=NormalReliability,1=HighReliability6-7ReservedforFutureUse介面編號Netflow的運作流程NewPacketReceivedNewflow?CreateNewCacheRecordUpdateCacheRecordInactiveflow15seconds?Activeflow30minutes?Cachefull?Flowfinished?ExpiredflowsmovetobufferExportUDPNetflowPacketsfrombufferYYYYYNNNNNYNetflow封包格式Netflow封包HeaderNetflow記錄欄位欄位位置說明srcaddr0-3來源IP位址dstaddr4-7目的IP位址nexthop8-11下一站的路由器IP位址input12-13進入Interface的SNMP編號output14-15出去Interface的SNMP編號dPkts16-19Flow傳送的封包數dOctets20-23Flow傳送的Byte數first24-27Flow的起始時間Netflow記錄欄位(Continued)欄位位置說明last28-31Flow的結束時間srcport32-33Layer4協定的來源埠號dstport34-35Layer4協定的目的埠號pad136沒有使用到tcp_flags37一個flow中所有封包的TCP旗標經過OR運算後的結果prot38第四層所使用的協定(6=TCP，17=UDP)Netflow記錄欄位(Continued)欄位位置說明tos39IP的服務類型(Typeofservice)src_as40-41來源的ASnumberdst_as42-43目的的ASnumbersrc_mask44來源位址的子網路遮罩dst_mask45目的位址的子網路遮罩pad246-47沒有用到Netflow的取樣機制這一個資料流中有4個flow，○□等形狀分別代表不同的flow，而每一個符號代表一個封包。Randomsampling每五個封包亂數取樣一個flow沒取樣到的機率變小Netflow的設定interfaceSerial0進入Serial0的介面設定iproute-cacheflow開啟Serial0的flowcache功能interfaceFastEthernet0進入FastEthernet0的介面設定iproute-cacheflow開啟FastEthernet0的flowcache功能ipflow-exportversion5設定輸出的封包格式為version5ipflow-exportdestination163.18.17.109991指定收集器的IP和埠號Netflow的運作模式IngresspacketsEgresspacketsNetflowUDPPacketsNetflow收集主機支援Netflow的Router或L3SwitchNetflow的運作模式(Continued)IngresspacketsEgresspacketsMirroredpacketsNetflowUDPPackets執行fprobe或nprobe的主機Netflow收集主機一般的SwitchNetflow的相關應用網路應用的分析IP計量與計費網路規劃流量工程網路安全分析蠕蟲病毒的基本結構傳播模組：負責蠕蟲的傳播。隱藏模組：侵入主機後，隱藏蠕蟲程序，防止被用戶發現。目的功能模組：實現對電腦的控制、監視或破壞等功能。一般蠕蟲程式的傳播步驟(一)掃描：由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當蠕蟲向一個主機發送探測漏洞的封包，並成功收到回應後，就得到一個可傳播的對象。(二)攻擊：攻擊模組按漏洞攻擊步驟自動攻擊步驟(一)中找到的對象，取得該主機的權限。(三)複製：復製模組通過原主機和新主機的連線，將蠕蟲程式複製到新主機並啟動。蠕蟲對網路的影響網路設備當機(HighCPUUtilization)路由不穩定NATTableFullRouteCacheFull異常流量分析ThresholdTcpFlagABSendSYNReceiveSYNandACK,SendACKReceiveSYN,SendSYN-ACKReceiveACK系統架構RouterNetflowduplicatiorNetflowReceiverNetflowCaptureLong-termarchiveOnlineanalysisAnomalystatisticScoreTable系統運作流程NetflowReceiverTCPFlag=2?ICMPType=Echo?Protocol=UDP?AttackdetectionDropFlowDataShowwarninginformationYYNExtractFlowdatafromNetflowPackets攻擊行為ICMP掃描TCPSYN掃描UDPFloodSYNFloodICMP掃描偵測是否為ICMPEcho資料流?計算出資料流產生的時間依據資料流產生的時間，找出對應的HashTable在HashTable中，以來源IP為Key，將ICMP掃描計數器加1來源IP的ICMP掃描計數器是否大於門檻值?產生警報訊息YY01020304050102030405060門檻值次數正確偵測數誤判數010203040500.511.522.5偵測到的時間與收到Netflow記錄的時間差(單位：分）次數門檻值為10門檻值為20門檻值為30門檻值為40門檻值為50TCPSYN掃描偵測TCP旗標欄位是否為2?計算出資料流產生的時間依據資料流產生的時間，找出相對應的HashTable在HashTable中，以來源IP和目的埠為Key，將TCPSYN掃描計數器加1來源IP和目的埠的TCPSYN掃描計數器是否大於門檻值?產生警報訊息YYTCPSYN掃描偵測改良TCP旗標欄位是否為2?計算出資料流產生的時間依據資料流產生的時間，找出相對應的HashTable在HashTable中，以來源IP和目的埠為Key，將TCPSYN掃描計數器加上加權分數來源IP和目的埠的TCPSYN掃描計數器是否大於門檻值?產生警報訊息YY是否為整點時間讀入前一小時的Netflow資料過濾出異常資料流統計每個連接埠的連線次數產生加權計分表YYN排除P2P常用連線埠將連線次數由大到小排序，取前十名。將前十名的加權計分設為10，其餘為1UDPFlood掃描偵測是否為UDP資料流?計算出資料流產生的時間依據資料流產生的時間，找出對應的HashTable在HashTable中，以來源IP和目的IP為Key，找出資料存放的位置。目的埠是否重覆?Y將目的埠加入陣列中，並將UDPFlood計數器加1在HashTable中，以來源IP為Key，找出資料存放的位置。UDPFlood計數器是否大於門檻值?目的IP和目的埠是否重覆?將目的IP和目的埠加入陣列中，並將UDPFlood計數器加1UDPFlood計數器是否大於門檻值?產生警報訊息NYYYNUDPFlood掃描偵測(Cont.)020406080100102030405060門檻值攻擊IP數偵測到IP數誤判數020406080100200300400500600700門檻值攻擊IP數偵測到IP數誤判數SYNFlood掃描攻擊者正常伺服器來源IP=亂數TCPSYN封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包TCPSYN-ACK封包是否為TCPSYN資料流?Y來源IP和目的IP是否皆不在本地網段範圍內?產生警報訊息Y實驗結果已知蠕蟲偵測0%20%40%60%80%100%0.511.5收到Netflow記錄的時間與被偵測到的時間差（單位：分）正確偵測的百分比第一天第二天第三天加權計分方式00.010.020.030.040.051234偵測程式執行後經過的時間（單位：小時）誤判率偵測IP數：87000.010.020.030.040.051234偵測程式執行後經過的時間（單位：小時）誤判率偵測IP數：739UDP攻擊偵測0%20%40%60%80%100%0.511.5偵測到的時間與收到Netflow記錄的時間差(單位：分）正確偵測的百分比偵測到IP量DOS攻擊偵測0%20%40%60%80%100%0.511.5偵測到的時間與收到Netflow記錄的時間差(單位：分）正確偵測的百分比偵測到IP量結論及未來研究工作結論本系統可確實有效偵測蠕蟲攻擊P2P軟體常造成誤判Netflow先天限制造成時效差異