Email mliccms ntu edu tw Phone 3366 5010

Do. S / DDo. S攻擊 n n Do. S攻擊(Denial of Service)-阻絕服務攻擊 DDo. S攻擊(Distributed

Do. S 的攻擊方式 n n TCP SYN 攻擊 UDP Flood 攻擊 ICMP Smurf Flood攻擊

TCP SYN 攻擊 n n Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包

ICMP Smurf Flood 攻擊 n n n 駭客假造來源IP為broadcast address，如140. 112. 254. 255 駭客發出ICMP

電腦病毒 Case Study n n 紅色警戒 Code Red 娜坦病毒 Nimda 求職信病毒 Klez Sircam病毒

紅色警戒(Cont. ) n 解決方法 n 檢查與清除病毒 n n Microsoft 自行研發的清除程式 n n http: //www.

紅色警戒(Cont. ) n n http: //www. microsoft. com/technet/treeview/de fault. asp? url=/technet/security/bulletin/MS 01044. asp 注意事項

統計資料 Top 10 Countries Country # %------------- US 157694 43. 91 KR 37948 10.

統計資料 Top 10 Domains Domain ----- # %---------------- Unknown 169584 47. 22 home. com

Nimda (Cont. ) n 預防感染對策 n n 不要開啟來歷不明的附加檔案(附檔名為. exe/. eml的檔案) 升級IE版本至 5. 01 SP

Nimda (Cont. ) n Outlook 2000以及2002請安裝修正程式 n n n http: //office. microsoft. com/downloads/2000/outlctlx. as

Nimda (Cont. ) n 清除Code Red II的後門程式 n n http: //www. microsoft. com/Downloads/Release. asp?

Nimda (Cont. ) n 檢視系統安全設定之具 n http: //www. microsoft. com/technet/mpsa/start. asp n n

Nimda (Cont. ) n 移除具 n n http: //www. microsoft. com/taiwan/support/content/ nimda. htm

Sircam(cont. ) n 移除具 n n n 至 http: //www. sarc. com/avcenter/Fix. Sirc.

Mail Relay n Unix System n n n 測試: www. edu. tw/tanet/spam. html 請升級send

Mail Relay(Cont. ) n Windows n 測試 n n n n n telnet 140.

SNMP v 1 安全漏洞(Cont. ) n 補救方法 n 掃描SNMP服務具 n SNScan – n

SNMP v 1 安全漏洞(Cont. ) n 更改SNMP預設群組名稱 n 預設名稱: n n n snmp-server community

SNMP v 1 安全漏洞(Cont. ) n 限制特定IP可存取 n n n access-list 10 permit 140.

Slides: 65

Download presentation

校園網路安全台大計資中心李美雯 Email : mli@ccms. ntu. edu. tw Phone : 3366 -5010

Ｄistributed Network Sniffer

Do. S / DDo. S攻擊 n n Do. S攻擊(Denial of Service)-阻絕服務攻擊 DDo. S攻擊(Distributed Denial of Service) -分散式阻絕服務攻擊 2000年二月份知名網站(Yahoo, amazon, ebay, CNN, E-trade)被攻擊 2001年七月份美國白宮網站被攻擊

Do. S 的攻擊方式 n n TCP SYN 攻擊 UDP Flood 攻擊 ICMP Smurf Flood攻擊

TCP SYN 攻擊 n n Client對Server發出大量的SYN請求 Client對於Server發出的SYN + ACK置之不理 Client假造來源IP位址 Server永遠無法收到Client的ACK封包

Three-Way Handshack

ICMP Smurf Flood 攻擊 n n n 駭客假造來源IP為broadcast address，如140. 112. 254. 255 駭客發出ICMP echo request時，該子網域的機器都會回ICMP給ICMP echo reply 給 140. 112. 254. 255 造成該子網域壅塞

ICMP Smurf Flood 攻擊

電腦病毒 Case Study n n 紅色警戒 Code Red 娜坦病毒 Nimda 求職信病毒 Klez Sircam病毒

紅色警戒(Cont. ) n 解決方法 n 檢查與清除病毒 n n Microsoft 自行研發的清除程式 n n http: //www. microsoft. com/Taiwan/HOTFIX. htm http: //www. microsoft. com/technet/treeview/de fault. asp? url=/technet/itsolutions/security/tools /redfix. asp 新的Patch檔

紅色警戒(Cont. ) n n http: //www. microsoft. com/technet/treeview/de fault. asp? url=/technet/security/bulletin/MS 01044. asp 注意事項 n n 請先更新作業系統，Win 2000 需更新至 SP 1 以上，NT 4. 0 需更新至 SP 6 a。作以上動作時請先拔除網路線, 做完後再插上

統計資料 Top 10 Countries Country # %------------- US 157694 43. 91 KR 37948 10. 57 CN 18141 5. 05 TW 15124 4. 21 CA 12469 3. 47 UK 11918 3. 32 DE 11762 3. 28 AU 8587 2. 39 JP NL 8282 2. 31 7771 2. 16

統計資料 Top 10 Domains Domain ----- # %---------------- Unknown 169584 47. 22 home. com 10610 2. 95 rr. com 5862 1. 63 t-dialin. net 5514 1. 54 pacbell. net 3937 1. 10 uu. net 3653 1. 02 aol. com 3595 1. 00 hinet. net 3491 0. 97 net. tw 3401 0. 95 edu. tw 2942 0. 82

Nimda (Cont. ) n 預防感染對策 n n 不要開啟來歷不明的附加檔案(附檔名為. exe/. eml的檔案) 升級IE版本至 5. 01 SP 2/5. 5 SP 2/6. 0以上 n n n http: //www. microsoft. com/technet/security/bulletin/ MS 01 -020. asp (註：IE 5. 01 SP 2及IE 5. 5 SP 2則無須安裝此修正程式) http: //www. microsoft. com/technet/treeview/default. asp? url=/technet/security/bulletin/MS 01 -027. asp 關閉檔案共享功能

Nimda (Cont. ) n Outlook 2000以及2002請安裝修正程式 n n n http: //office. microsoft. com/downloads/2000/outlctlx. as px http: //office. microsoft. com/downloads/2002/OLK 1003. aspx 修補IIS伺服器的安全漏洞 n n http: //www. microsoft. com/downloads/Release. asp? Rele ase. ID=32061 http: //www. microsoft. com/downloads/Release. asp? Rele ase. ID=32011

Nimda (Cont. ) n 清除Code Red II的後門程式 n n http: //www. microsoft. com/Downloads/Release. asp? Rel ease. ID=31878 預防IE 6感染Nimda病蟲 n http: //www. microsoft. com/technet/security/topics/Nimd a. IE 6. asp

Nimda (Cont. ) n 檢視系統安全設定之具 n http: //www. microsoft. com/technet/mpsa/start. asp n n 適用於NT 4. 0 Workstation, Windows 2000 Professional, and Windows XP workstations http: //support. microsoft. com/default. asp x? scid=kb; EN-US; q 303215#1 n 適用於Windows NT 4. 0, Windows 2000, and Windows XP, as well as hotfixes for Internet Information Server 4. 0, 5. 0 (IIS), SQL Server 7. 0, SQL Server 2000

Nimda (Cont. ) n 移除具 n n http: //www. microsoft. com/taiwan/support/content/ nimda. htm http: //www. symantec. com/avcenter/tools. list. html http: //www. trend. com. tw/corporate/techsupport/cl eanutil/index. htm 偵測具 n http: //www. eeye. com/html/Research/Tools/nimda. html

Sircam(cont. ) n 移除具 n n n 至 http: //www. sarc. com/avcenter/Fix. Sirc. com 下載 Fixsirc. com 執行這個具時先關掉其他程式，包括防毒程式的自動防護如果使用Windows Me，關掉System Restore (在My Computer->Performance->File System. Troubleshooting) 執行 Fixsirc. com 如果您使用 Windows Me，最後請再開啟 System Restore

Mail Relay n Unix System n n n 測試: www. edu. tw/tanet/spam. html 請升級send mail版本至 8. 9 以上建立正確的access file & makemap n Example for access file: n n n 140. 112 relay ntu. edu. tw relay 利用makemap建立sendmail的database

Mail Relay(Cont. ) n Windows n 測試 n n n n n telnet 140. 112. 3. 90 25 helo mli mail from: mli@ccms. ntu. edu. tw rcpt to: mli@ccms. ntu. edu. tw data test. 請更新mail server版本建立正確的使用者清單

SNMP v 1 安全漏洞(Cont. ) n 補救方法 n 掃描SNMP服務具 n SNScan – n n SNMPing – n n n http: //www. foundstone. com/knowledge/free_tools. h tml http: //www. sans. org/snmp/tool. php 安裝廠商提供的修補程式關閉SNMP服務

SNMP v 1 安全漏洞(Cont. ) n 更改SNMP預設群組名稱 n 預設名稱: n n n snmp-server community public RO snmp-server community private RW 以防火牆或router ACL過濾SNMP連線 n 過濾或阻擋SNMP相關的161、 162、 1993等 TCP/UDP port的存取 n n n access-list 101 deny tcp any eq 161 log access-list 101 deny udp any eq 161 log access-list 101 permit ip any

SNMP v 1 安全漏洞(Cont. ) n 限制特定IP可存取 n n n access-list 10 permit 140. 112. 3. 100 snmp-server community ntu RO 10 啟動入侵偵測系統進行監控