狠狠撸

狠狠撸Share a Scribd company logo

99 第六屆國際健康資訊管理研討會簡報botnet

?Download as PPT, PDF?
?
Shi-Hwao Wang
Shi-Hwao Wang
1 of 24
Download to read offline
跨站式动态网页殭尸网路侦测 與模擬之探討 樹人醫護管理專科學校 國立成功大學企業管理學系 資訊管理科 溫丹瑋 組員: 謝昀芮 林柏伶 楚凱琳 曾嘉霖 指導老師:王士豪 王榮宗 蔣帛勳
大鋼 a. 介绍 b. 研究步驟與成果 c. 結論與未來展望 d. 未來研究方向 e. 致謝
介绍 研究背景 ? 透過僵屍電腦犯罪數值連年成長 ? 殭屍惡意程式碼的演進日新月異 研究目的 ? 觀察並挖掘出跨站式動態網頁 Bots 之特性作為日後 偵測 Botnet 之準則 ? 透過探討已知之 Bots 行為並模擬實作以期發現特性 ? 提出一套偵測架構並以此架構發展系統雛型 ? 於實際網路環境進行測試以驗證該系統雛形之有效性
Botnet ? Bot是 robot 的縮寫,又稱為殭屍 ( Zombie ) ? 隱藏於受感染主機上,會主動對外連接至指定 的溝通管道,接收並執行駭客要求的命令。 ? 駭客利用不同的管道,殖入殭屍,以達到控制 的目的,其會讓電腦在看起來運轉正常的情況 下,其實已經成為殭屍網路( Botnet )的一 員。
殭 屍網路之攻擊 過程
殭屍網路偵測機制及相關系統雛型 ? Bot 所在網路之流量監控 ? 藉由偵測區域網路內主機不合理的規律行為,可以偵測出 Bot 之存在。 ? Controller 流量以及訊息之分析 ? 監控 IRC 訊息或 Web 連線成為 Botnet 防治的方法之一。 ? DNS Server 之分析 ? 藉由分析可疑之 Web Server 檔案下載與 DNS Server 查詢 之資訊,可以發現 Botnet 活動之徵兆。 ? 受害者流量之分析 ? 藉由 Trace Back 技術偵測攻擊來源,並限制其網路存取能 力,以降低傷害。
3. 研究步驟與成果 ? 本研究利用模擬測試系統建構之相關軟體,建 置跨站式動態網頁殭屍網路的模擬雛型系統, 藉以觀察、收集與探究殭屍網路之形成 ? 因為 pbot 是 php 版本,所以需要 WEB SERVER + PHP 的環境
跨站式動態網頁殭屍網路的模擬雛型系統 詳細的建置程序步驟條列如下 : ? 修改 pbot 的原始碼。 ( 一定要修改的部分包含 Server 、 passwword 、 Port 、 Channel 以及 Prefix) ? 將 pbot 放入可執行 PHP 的 WEB SERVER ? 使用任何一台主機的 browser 連到 pbot 去執行 ? 在此用 192.168.14.250 與 192.168.14.252 兩台殖入 pbot 的主機 ? 到 IRCD 上確認 BOT 上線 ? 使用 .user + 密碼 登入 BOT ? 測試 BOT 來源主機的資訊,成功這樣又多一個 BOT client 可用對 info 指令回應成功,知道來源主機資訊
模拟测试系统建构软体清单 軟體名稱 用途說明 參考資料 1. pDbot (php source code) 2. BewareIrcd IRC Server http://ircd.bircd.org/ 3. Talkative Irc IRC Client http://www.talkative-irc.com/Talka 4. appserv Web Server http:// www.appservnetwork.com/ 5. Wireshark 流量監聽 http://www.wireshark.org/ 6. notepad ++ 文字修改軟體 http://notepad- plus.sourceforge.net/tw/site.htm
互動式動態網頁殭 屍網路 之攻擊 模式与流程
修改 pbot 的原始碼與相關環境 设定
將 pbot 放入可執行 PHP 的 WEB SERVER
使用任何一台主機的 browser 連到 pbot 去執行
到 IRCD 上確認 BOT 上線
使用 .user + 密碼 登入 BOT ( 兩台都成功登入 )
測試 BOT 來源主機的資訊
測試 udpflood DOS 攻擊到 192.168.14.249
在 192.168.14.249 安裝 wireshark 擷 取攻擊 封包
wireshark 擷 取攻擊 封包後資訊判 讀
使用動態網頁技術撰寫之殭屍程式,有 以下不易被偵測之特性 : ? 動態網頁檔案未存在執行程序,無法藉由網站伺 服器上之防毒軟體或其他工具偵測。 ? 攻擊者使用一般的 web service 所用之通訊埠, (80 port) ,控制殭屍網路,不易被網路或伺服 器管理員察覺。 ? 動態網頁技術通常為純文字檔案不易被察覺。 ? 純文字檔案型態之殭屍惡意程式,易於修改原始 程式碼。 ? 攻擊者無論在隨時隨地皆能夠可透過 script executants (script 的執行者 ) 加以控制潛伏於 網站伺服器上的惡意程式。
用於架設網站伺服器或網際網路伺服器之硬體設備作為 殭 屍節點,相較於只感染一般個人電腦主機,更存在以 下優勢: ? 伺服器硬體規格等級較一般個人電腦主機來得好,因此代表 其有較高之攻擊能力。 ? 伺服器為維持其高可用性與良好之服務品質,多選擇頻寬較 高之 ISP 機房做為建置地點。 ? 伺服器之存活率較高,大多數伺服器一般均須維持在網際網 路上正常運作,不像一般個人用電腦,操作者為使用時可能 會被隨時被關機,或是進入休眠狀態無法連線與操作。 ? 伺服器無特定對象經常於本機端操作使用,被殖入之殭屍不 易被察覺,且網站伺服器有為數眾多之連線存取記錄 (log) , 也將讓攻擊者連線到殭屍之紀錄容易被忽視。 ? 網站伺服器多採用主機代管或是虛擬主機方式建置,因此一 部伺服器即可被殖入多個殭屍,使得網際網路上之殭屍節點 數倍增。 ? 伺服器本身極為有高度流量之主機,一般利用異常流量偵測 方式偵測惡意行為的方式可能不適合應用在伺服器上。
5. 結論與未來展望 具體之研究貢獻如下所列 : 1. 收集資料以及文獻探討 2. 了解互動式動態網頁殭屍網路之架構 3. 了解互動式動態網頁殭屍網路之感染模式 4. 了解互動式動態網頁殭屍網路之攻擊模式 5. 觀察且分析異常 HTTP 連線模式 6. 觀察以及分析異常 C&C 訊息
具體未來研究方向 1. 建置異常 HTTP 分析模式以及 Alert 發佈系統 2. 建置異常 C&C 訊息分析模式以及 Alert 發佈系統 3. 建置 Alert Correlation 模式以及系統 4. 建置完整網路伺服器之入侵偵測系統
誌謝 本研究感謝樹人醫護管理專科學校 99 年度 教師專題研究計畫 ( 計畫編號: SZI09905011 ,計畫名稱:基於網路流量 與預警訊息之殭屍網路偵測機制 NetFlow and Alert based Botent Detection Mechanism) 之經費支持。作者並感謝本計 畫研究團隊成員對於本文初稿提供的豐富建 議。

Recommended

99 botnet期末簡報
99 botnet期末簡報99 botnet期末簡報
99 botnet期末簡報
Shi-Hwao Wang
?
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
liu sheng
?
20151021联动技术大讲堂35(刘胜)网络爬虫技术实战
20151021联动技术大讲堂35(刘胜)网络爬虫技术实战20151021联动技术大讲堂35(刘胜)网络爬虫技术实战
20151021联动技术大讲堂35(刘胜)网络爬虫技术实战
liu sheng
?
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
?
第一次使用厂丑辞诲补苍.颈辞就上手
第一次使用厂丑辞诲补苍.颈辞就上手第一次使用厂丑辞诲补苍.颈辞就上手
第一次使用厂丑辞诲补苍.颈辞就上手
Ting-En Lin
?
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-ncku
jack51706
?
9a Colfatima
9a Colfatima9a Colfatima
9a Colfatima
Tania Katherine Blanco
?
9 a written, holiday letter
9 a written, holiday letter9 a written, holiday letter
9 a written, holiday letter
herronk
?
9a lectura de llengua castellana9a lectura de llengua castellana
9a lectura de llengua castellana
jmsoses
?
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
Creu Roja a Catalunya
?
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
ASCAME
?
9789574151011
97895741510119789574151011
9789574151011
airitiart
?
???????? ????????
???????? ???????? ???????? ????????
???????? ????????
abomayar
?
9 a seguimiento a blogs periodo49 a seguimiento a blogs periodo4
9 a seguimiento a blogs periodo4
IE Simona Duque
?
99 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 201299 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 2012
Massimo Zilioli
?
Steering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea ChangeSteering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea Change
Affiliate Summit
?
97884330246269788433024626
9788433024626
Pato Avilés
?
9 d. seguimiento blogs periodo49 d. seguimiento blogs periodo4
9 d. seguimiento blogs periodo4
IE Simona Duque
?
9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration
tibbr
?
公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)
WASecurity
?
Python 爬蟲
Python 爬蟲 Python 爬蟲
Python 爬蟲
Andy Yao
?
常用开发工具介绍
常用开发工具介绍常用开发工具介绍
常用开发工具介绍
haozes
?
2012 the botnet traffic forensics system
2012 the botnet traffic forensics system2012 the botnet traffic forensics system
2012 the botnet traffic forensics system
Canaan Kao
?
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking System
log0
?
Software Engineer Talk
Software Engineer TalkSoftware Engineer Talk
Software Engineer Talk
Larry Cai
?
资讯安全入门
资讯安全入门资讯安全入门
资讯安全入门
Tyler Chen
?
Clientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyClientside attack using HoneyClient Technology
Clientside attack using HoneyClient Technology
Julia Yu-Chin Cheng
?
柔性数据接口的设计与实现
柔性数据接口的设计与实现柔性数据接口的设计与实现
柔性数据接口的设计与实现
Leo Zhou
?
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
?
Berserk js
Berserk jsBerserk js
Berserk js
taobao.com
?

More Related Content

Viewers also liked (11)

9a lectura de llengua castellana9a lectura de llengua castellana
9a lectura de llengua castellana
jmsoses
?
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
Creu Roja a Catalunya
?
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
ASCAME
?
9789574151011
97895741510119789574151011
9789574151011
airitiart
?
???????? ????????
???????? ???????? ???????? ????????
???????? ????????
abomayar
?
9 a seguimiento a blogs periodo49 a seguimiento a blogs periodo4
9 a seguimiento a blogs periodo4
IE Simona Duque
?
99 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 201299 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 2012
Massimo Zilioli
?
Steering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea ChangeSteering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea Change
Affiliate Summit
?
97884330246269788433024626
9788433024626
Pato Avilés
?
9 d. seguimiento blogs periodo49 d. seguimiento blogs periodo4
9 d. seguimiento blogs periodo4
IE Simona Duque
?
9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration
tibbr
?
9a lectura de llengua castellana9a lectura de llengua castellana
9a lectura de llengua castellana
jmsoses
?
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
2? Jornada Bones Pràctiques de la Creu Roja a Catalunya. 9. A.L. Sta. Coloma...
Creu Roja a Catalunya
?
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
Challenges in solar energy to be reached by the city of Barcelona by Manuel T...
ASCAME
?
9789574151011
97895741510119789574151011
9789574151011
airitiart
?
???????? ????????
???????? ???????? ???????? ????????
???????? ????????
abomayar
?
9 a seguimiento a blogs periodo49 a seguimiento a blogs periodo4
9 a seguimiento a blogs periodo4
IE Simona Duque
?
99 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 201299 idee social vol3 parma 12-13-14 ottobre 2012
99 idee social vol3 parma 12-13-14 ottobre 2012
Massimo Zilioli
?
Steering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea ChangeSteering The Affiliate Ship During A Sea Change
Steering The Affiliate Ship During A Sea Change
Affiliate Summit
?
97884330246269788433024626
9788433024626
Pato Avilés
?
9 d. seguimiento blogs periodo49 d. seguimiento blogs periodo4
9 d. seguimiento blogs periodo4
IE Simona Duque
?
9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration9 Adoption Strategies for Enterprise Collaboration
9 Adoption Strategies for Enterprise Collaboration
tibbr
?

Similar to 99 第六屆國際健康資訊管理研討會簡報botnet (20)

公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)
WASecurity
?
Python 爬蟲
Python 爬蟲 Python 爬蟲
Python 爬蟲
Andy Yao
?
常用开发工具介绍
常用开发工具介绍常用开发工具介绍
常用开发工具介绍
haozes
?
2012 the botnet traffic forensics system
2012 the botnet traffic forensics system2012 the botnet traffic forensics system
2012 the botnet traffic forensics system
Canaan Kao
?
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking System
log0
?
Software Engineer Talk
Software Engineer TalkSoftware Engineer Talk
Software Engineer Talk
Larry Cai
?
资讯安全入门
资讯安全入门资讯安全入门
资讯安全入门
Tyler Chen
?
Clientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyClientside attack using HoneyClient Technology
Clientside attack using HoneyClient Technology
Julia Yu-Chin Cheng
?
柔性数据接口的设计与实现
柔性数据接口的设计与实现柔性数据接口的设计与实现
柔性数据接口的设计与实现
Leo Zhou
?
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
?
Berserk js
Berserk jsBerserk js
Berserk js
taobao.com
?
2018 Week 15 Speech Recognition
2018 Week 15 Speech Recognition2018 Week 15 Speech Recognition
2018 Week 15 Speech Recognition
AkashaC1
?
远程安全漏洞利用的检测
远程安全漏洞利用的检测远程安全漏洞利用的检测
远程安全漏洞利用的检测
komunling
?
高性能远程调用解决方案
高性能远程调用解决方案高性能远程调用解决方案
高性能远程调用解决方案
Ady Liu
?
虎尾科大报告
虎尾科大报告虎尾科大报告
虎尾科大报告
琮凱 蘇
?
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоида
bekkermankn
?
互联网创业服务器运维工具集
互联网创业服务器运维工具集互联网创业服务器运维工具集
互联网创业服务器运维工具集
zhen chen
?
Windows Mobile 多媒體應用程式開發
Windows Mobile 多媒體應用程式開發Windows Mobile 多媒體應用程式開發
Windows Mobile 多媒體應用程式開發
Chui-Wen Chiu
?
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
?
恶性代码和分析方案
恶性代码和分析方案恶性代码和分析方案
恶性代码和分析方案
Youngjun Chang
?
公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)公司安全应急响应与渗透反击痴0.04(程冲)
公司安全应急响应与渗透反击痴0.04(程冲)
WASecurity
?
Python 爬蟲
Python 爬蟲 Python 爬蟲
Python 爬蟲
Andy Yao
?
常用开发工具介绍
常用开发工具介绍常用开发工具介绍
常用开发工具介绍
haozes
?
2012 the botnet traffic forensics system
2012 the botnet traffic forensics system2012 the botnet traffic forensics system
2012 the botnet traffic forensics system
Canaan Kao
?
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking System
log0
?
Software Engineer Talk
Software Engineer TalkSoftware Engineer Talk
Software Engineer Talk
Larry Cai
?
资讯安全入门
资讯安全入门资讯安全入门
资讯安全入门
Tyler Chen
?
Clientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyClientside attack using HoneyClient Technology
Clientside attack using HoneyClient Technology
Julia Yu-Chin Cheng
?
柔性数据接口的设计与实现
柔性数据接口的设计与实现柔性数据接口的设计与实现
柔性数据接口的设计与实现
Leo Zhou
?
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
?
Berserk js
Berserk jsBerserk js
Berserk js
taobao.com
?
2018 Week 15 Speech Recognition
2018 Week 15 Speech Recognition2018 Week 15 Speech Recognition
2018 Week 15 Speech Recognition
AkashaC1
?
远程安全漏洞利用的检测
远程安全漏洞利用的检测远程安全漏洞利用的检测
远程安全漏洞利用的检测
komunling
?
高性能远程调用解决方案
高性能远程调用解决方案高性能远程调用解决方案
高性能远程调用解决方案
Ady Liu
?
虎尾科大报告
虎尾科大报告虎尾科大报告
虎尾科大报告
琮凱 蘇
?
Построение гиперболического параболоида
Построение гиперболического параболоидаПостроение гиперболического параболоида
Построение гиперболического параболоида
bekkermankn
?
互联网创业服务器运维工具集
互联网创业服务器运维工具集互联网创业服务器运维工具集
互联网创业服务器运维工具集
zhen chen
?
Windows Mobile 多媒體應用程式開發
Windows Mobile 多媒體應用程式開發Windows Mobile 多媒體應用程式開發
Windows Mobile 多媒體應用程式開發
Chui-Wen Chiu
?
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
?
恶性代码和分析方案
恶性代码和分析方案恶性代码和分析方案
恶性代码和分析方案
Youngjun Chang
?

More from Shi-Hwao Wang (15)

Szmcim his lab
Szmcim his labSzmcim his lab
Szmcim his lab
Shi-Hwao Wang
?
101 應用snmp於大型校園e化教學設備管理初探
101 應用snmp於大型校園e化教學設備管理初探101 應用snmp於大型校園e化教學設備管理初探
101 應用snmp於大型校園e化教學設備管理初探
Shi-Hwao Wang
?
100 snmp e化講桌管理tanet 2012
100 snmp e化講桌管理tanet 2012100 snmp e化講桌管理tanet 2012
100 snmp e化講桌管理tanet 2012
Shi-Hwao Wang
?
100 2012南區技專校院師生產學合作實務專題製作競賽
100 2012南區技專校院師生產學合作實務專題製作競賽100 2012南區技專校院師生產學合作實務專題製作競賽
100 2012南區技專校院師生產學合作實務專題製作競賽
Shi-Hwao Wang
?
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
Shi-Hwao Wang
?
99 google sketch up workshop 在台灣
99 google sketch up workshop 在台灣99 google sketch up workshop 在台灣
99 google sketch up workshop 在台灣
Shi-Hwao Wang
?
99 99年優秀資訊志工 廖文煥
99 99年優秀資訊志工 廖文煥99 99年優秀資訊志工 廖文煥
99 99年優秀資訊志工 廖文煥
Shi-Hwao Wang
?
99 99年教育部優秀志工選拔 陳芸靖
99 99年教育部優秀志工選拔 陳芸靖99 99年教育部優秀志工選拔 陳芸靖
99 99年教育部優秀志工選拔 陳芸靖
Shi-Hwao Wang
?
98 99年資訊志工成果報告 990048
98 99年資訊志工成果報告 99004898 99年資訊志工成果報告 990048
98 99年資訊志工成果報告 990048
Shi-Hwao Wang
?
98 98年資訊志工成果報告 980058_final
98 98年資訊志工成果報告 980058_final98 98年資訊志工成果報告 980058_final
98 98年資訊志工成果報告 980058_final
Shi-Hwao Wang
?
97 flv串流引擎之應用 以康健資訊網為例
97 flv串流引擎之應用 以康健資訊網為例97 flv串流引擎之應用 以康健資訊網為例
97 flv串流引擎之應用 以康健資訊網為例
Shi-Hwao Wang
?
101 路竹區農特產品形象推廣暨網路行銷平台建置
101 路竹區農特產品形象推廣暨網路行銷平台建置101 路竹區農特產品形象推廣暨網路行銷平台建置
101 路竹區農特產品形象推廣暨網路行銷平台建置
Shi-Hwao Wang
?
101 將軍國中 健康促進活動
101 將軍國中 健康促進活動101 將軍國中 健康促進活動
101 將軍國中 健康促進活動
Shi-Hwao Wang
?
100 衛保組 健康餐盒活動宣傳單
100 衛保組 健康餐盒活動宣傳單100 衛保組 健康餐盒活動宣傳單
100 衛保組 健康餐盒活動宣傳單
Shi-Hwao Wang
?
100 郭綜合醫院 衛教影片剪輯教學
100 郭綜合醫院 衛教影片剪輯教學100 郭綜合醫院 衛教影片剪輯教學
100 郭綜合醫院 衛教影片剪輯教學
Shi-Hwao Wang
?
Szmcim his lab
Szmcim his labSzmcim his lab
Szmcim his lab
Shi-Hwao Wang
?
101 應用snmp於大型校園e化教學設備管理初探
101 應用snmp於大型校園e化教學設備管理初探101 應用snmp於大型校園e化教學設備管理初探
101 應用snmp於大型校園e化教學設備管理初探
Shi-Hwao Wang
?
100 snmp e化講桌管理tanet 2012
100 snmp e化講桌管理tanet 2012100 snmp e化講桌管理tanet 2012
100 snmp e化講桌管理tanet 2012
Shi-Hwao Wang
?
100 2012南區技專校院師生產學合作實務專題製作競賽
100 2012南區技專校院師生產學合作實務專題製作競賽100 2012南區技專校院師生產學合作實務專題製作競賽
100 2012南區技專校院師生產學合作實務專題製作競賽
Shi-Hwao Wang
?
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
99 蔬果王b2 b 電子商務網站開發初探_2010產學合作專題佳作
Shi-Hwao Wang
?
99 google sketch up workshop 在台灣
99 google sketch up workshop 在台灣99 google sketch up workshop 在台灣
99 google sketch up workshop 在台灣
Shi-Hwao Wang
?
99 99年優秀資訊志工 廖文煥
99 99年優秀資訊志工 廖文煥99 99年優秀資訊志工 廖文煥
99 99年優秀資訊志工 廖文煥
Shi-Hwao Wang
?
99 99年教育部優秀志工選拔 陳芸靖
99 99年教育部優秀志工選拔 陳芸靖99 99年教育部優秀志工選拔 陳芸靖
99 99年教育部優秀志工選拔 陳芸靖
Shi-Hwao Wang
?
98 99年資訊志工成果報告 990048
98 99年資訊志工成果報告 99004898 99年資訊志工成果報告 990048
98 99年資訊志工成果報告 990048
Shi-Hwao Wang
?
98 98年資訊志工成果報告 980058_final
98 98年資訊志工成果報告 980058_final98 98年資訊志工成果報告 980058_final
98 98年資訊志工成果報告 980058_final
Shi-Hwao Wang
?
97 flv串流引擎之應用 以康健資訊網為例
97 flv串流引擎之應用 以康健資訊網為例97 flv串流引擎之應用 以康健資訊網為例
97 flv串流引擎之應用 以康健資訊網為例
Shi-Hwao Wang
?
101 路竹區農特產品形象推廣暨網路行銷平台建置
101 路竹區農特產品形象推廣暨網路行銷平台建置101 路竹區農特產品形象推廣暨網路行銷平台建置
101 路竹區農特產品形象推廣暨網路行銷平台建置
Shi-Hwao Wang
?
101 將軍國中 健康促進活動
101 將軍國中 健康促進活動101 將軍國中 健康促進活動
101 將軍國中 健康促進活動
Shi-Hwao Wang
?
100 衛保組 健康餐盒活動宣傳單
100 衛保組 健康餐盒活動宣傳單100 衛保組 健康餐盒活動宣傳單
100 衛保組 健康餐盒活動宣傳單
Shi-Hwao Wang
?
100 郭綜合醫院 衛教影片剪輯教學
100 郭綜合醫院 衛教影片剪輯教學100 郭綜合醫院 衛教影片剪輯教學
100 郭綜合醫院 衛教影片剪輯教學
Shi-Hwao Wang
?

99 第六屆國際健康資訊管理研討會簡報botnet

  • 1. 跨站式动态网页殭尸网路侦测 與模擬之探討 樹人醫護管理專科學校 國立成功大學企業管理學系 資訊管理科 溫丹瑋 組員: 謝昀芮 林柏伶 楚凱琳 曾嘉霖 指導老師:王士豪 王榮宗 蔣帛勳
  • 2. 大鋼 a. 介绍 b. 研究步驟與成果 c. 結論與未來展望 d. 未來研究方向 e. 致謝
  • 3. 介绍 研究背景 ? 透過僵屍電腦犯罪數值連年成長 ? 殭屍惡意程式碼的演進日新月異 研究目的 ? 觀察並挖掘出跨站式動態網頁 Bots 之特性作為日後 偵測 Botnet 之準則 ? 透過探討已知之 Bots 行為並模擬實作以期發現特性 ? 提出一套偵測架構並以此架構發展系統雛型 ? 於實際網路環境進行測試以驗證該系統雛形之有效性
  • 4. Botnet ? Bot是 robot 的縮寫,又稱為殭屍 ( Zombie ) ? 隱藏於受感染主機上,會主動對外連接至指定 的溝通管道,接收並執行駭客要求的命令。 ? 駭客利用不同的管道,殖入殭屍,以達到控制 的目的,其會讓電腦在看起來運轉正常的情況 下,其實已經成為殭屍網路( Botnet )的一 員。
  • 6. 殭屍網路偵測機制及相關系統雛型 ? Bot 所在網路之流量監控 ? 藉由偵測區域網路內主機不合理的規律行為,可以偵測出 Bot 之存在。 ? Controller 流量以及訊息之分析 ? 監控 IRC 訊息或 Web 連線成為 Botnet 防治的方法之一。 ? DNS Server 之分析 ? 藉由分析可疑之 Web Server 檔案下載與 DNS Server 查詢 之資訊,可以發現 Botnet 活動之徵兆。 ? 受害者流量之分析 ? 藉由 Trace Back 技術偵測攻擊來源,並限制其網路存取能 力,以降低傷害。
  • 7. 3. 研究步驟與成果 ? 本研究利用模擬測試系統建構之相關軟體,建 置跨站式動態網頁殭屍網路的模擬雛型系統, 藉以觀察、收集與探究殭屍網路之形成 ? 因為 pbot 是 php 版本,所以需要 WEB SERVER + PHP 的環境
  • 8. 跨站式動態網頁殭屍網路的模擬雛型系統 詳細的建置程序步驟條列如下 : ? 修改 pbot 的原始碼。 ( 一定要修改的部分包含 Server 、 passwword 、 Port 、 Channel 以及 Prefix) ? 將 pbot 放入可執行 PHP 的 WEB SERVER ? 使用任何一台主機的 browser 連到 pbot 去執行 ? 在此用 192.168.14.250 與 192.168.14.252 兩台殖入 pbot 的主機 ? 到 IRCD 上確認 BOT 上線 ? 使用 .user + 密碼 登入 BOT ? 測試 BOT 來源主機的資訊,成功這樣又多一個 BOT client 可用對 info 指令回應成功,知道來源主機資訊
  • 9. 模拟测试系统建构软体清单 軟體名稱 用途說明 參考資料 1. pDbot (php source code) 2. BewareIrcd IRC Server http://ircd.bircd.org/ 3. Talkative Irc IRC Client http://www.talkative-irc.com/Talka 4. appserv Web Server http:// www.appservnetwork.com/ 5. Wireshark 流量監聽 http://www.wireshark.org/ 6. notepad ++ 文字修改軟體 http://notepad- plus.sourceforge.net/tw/site.htm
  • 12. 將 pbot 放入可執行 PHP 的 WEB SERVER
  • 13. 使用任何一台主機的 browser 連到 pbot 去執行
  • 14. 到 IRCD 上確認 BOT 上線
  • 15. 使用 .user + 密碼 登入 BOT ( 兩台都成功登入 )
  • 17. 測試 udpflood DOS 攻擊到 192.168.14.249
  • 18. 在 192.168.14.249 安裝 wireshark 擷 取攻擊 封包
  • 19. wireshark 擷 取攻擊 封包後資訊判 讀
  • 20. 使用動態網頁技術撰寫之殭屍程式,有 以下不易被偵測之特性 : ? 動態網頁檔案未存在執行程序,無法藉由網站伺 服器上之防毒軟體或其他工具偵測。 ? 攻擊者使用一般的 web service 所用之通訊埠, (80 port) ,控制殭屍網路,不易被網路或伺服 器管理員察覺。 ? 動態網頁技術通常為純文字檔案不易被察覺。 ? 純文字檔案型態之殭屍惡意程式,易於修改原始 程式碼。 ? 攻擊者無論在隨時隨地皆能夠可透過 script executants (script 的執行者 ) 加以控制潛伏於 網站伺服器上的惡意程式。
  • 21. 用於架設網站伺服器或網際網路伺服器之硬體設備作為 殭 屍節點,相較於只感染一般個人電腦主機,更存在以 下優勢: ? 伺服器硬體規格等級較一般個人電腦主機來得好,因此代表 其有較高之攻擊能力。 ? 伺服器為維持其高可用性與良好之服務品質,多選擇頻寬較 高之 ISP 機房做為建置地點。 ? 伺服器之存活率較高,大多數伺服器一般均須維持在網際網 路上正常運作,不像一般個人用電腦,操作者為使用時可能 會被隨時被關機,或是進入休眠狀態無法連線與操作。 ? 伺服器無特定對象經常於本機端操作使用,被殖入之殭屍不 易被察覺,且網站伺服器有為數眾多之連線存取記錄 (log) , 也將讓攻擊者連線到殭屍之紀錄容易被忽視。 ? 網站伺服器多採用主機代管或是虛擬主機方式建置,因此一 部伺服器即可被殖入多個殭屍,使得網際網路上之殭屍節點 數倍增。 ? 伺服器本身極為有高度流量之主機,一般利用異常流量偵測 方式偵測惡意行為的方式可能不適合應用在伺服器上。
  • 22. 5. 結論與未來展望 具體之研究貢獻如下所列 : 1. 收集資料以及文獻探討 2. 了解互動式動態網頁殭屍網路之架構 3. 了解互動式動態網頁殭屍網路之感染模式 4. 了解互動式動態網頁殭屍網路之攻擊模式 5. 觀察且分析異常 HTTP 連線模式 6. 觀察以及分析異常 C&C 訊息
  • 23. 具體未來研究方向 1. 建置異常 HTTP 分析模式以及 Alert 發佈系統 2. 建置異常 C&C 訊息分析模式以及 Alert 發佈系統 3. 建置 Alert Correlation 模式以及系統 4. 建置完整網路伺服器之入侵偵測系統
  • 24. 誌謝 本研究感謝樹人醫護管理專科學校 99 年度 教師專題研究計畫 ( 計畫編號: SZI09905011 ,計畫名稱:基於網路流量 與預警訊息之殭屍網路偵測機制 NetFlow and Alert based Botent Detection Mechanism) 之經費支持。作者並感謝本計 畫研究團隊成員對於本文初稿提供的豐富建 議。
AboutCopyright
? 2025 狠狠撸