論文摘要 在網際網路快速的發展之下，給人們帶來了莫

大的便利性，人們可以很輕易地建構出屬於自己的

網站。但隨之而來的問題。如被駭客攻擊、病毒破

壞、網路其他的惡意攻擊…等等問題，給人們帶來

了極大的傷害。其中以惡意電腦蠕蟲(worm)[5]也

成為當前網路安全的主要威脅之一，如 CodeRed、

Nimda。惡意的電腦蠕蟲程式可以在很短的時間中

危害網路上大量的電腦，尤其是透過潛藏在網路服

務程式中的安全性漏洞進行散播的蠕蟲程式，所以

網路管理人員對於此類病毒最感到頭痛。本文中，

我們使用Open Source的 Snort[10]來建構的入侵偵

測系統(Intrusion Detection System，IDS)。以 Snort

來說，每當發現入侵時，Snort 會產生病毒的 log

檔，記錄來源位址(source_ip)、來源埠(soruce_port)

等相關的資訊，同時，可根據產生之 log檔再配合

上流量管理程式來阻擋病毒的來源。如此一來，能

夠在病毒發作的初期，及時防止病毒對網路頻寬所

引發的破壞性。

關鍵字：入侵偵測系統，電腦蠕蟲，資訊安全

Abstract The more popular the “Internet” becomes, the

more convenient it brings. But behinds that there

exists some dangerous destructions such as hacker、

computer virus and other attacking event. The

malicious worm is one of the major damage in

network security issue currently , such as CodeRed、

Nimda. The worm can attack a large number of

computers via network in very short time , espically

distributed damage via the network services. In this

paper , we use Open Source like Snort[10] to

construct the Intrusion Detection System (IDS) .

Snort system will produce the virus log file including

source-ip , source-port , whenever the intruder come

in . In the mean time , we can use flow management

program to keep from the virus . That is , we kick out

the virus before it blow out the network bandwidth.

Keywords: Intrusion Detection System，Internet

Worm，Information Security

前言 因為網際網路不斷的發展，網路中的流量不斷

的增加，所以就有不肖的人製造病毒來危害電腦，

病毒的破壞性往往讓網站不能正常運做，使網路管

理人員傷透腦筋。如果利用防火牆(firewall)來阻

擋，防火牆是在網路的咽喉點檢查進出的封包，以

存取控制規則(rule)來決定是否允許其通過，在防

火牆所定的存取控制規則(rule)一多，整個網路的

速度勢必會慢下來，顧此失彼，因此，要解決此問

題，我們可利用入侵偵測系統(IDS)一旦偵測到可

疑或嘗試入侵情形時，會適時提出警示給網路管理

人員，而且 IDS會自動記錄入侵的事件，同時自

動化地蒐集並分析網路封包，網路管理人員可依照

所發生的事件，適時的去做必要的處理。

入侵偵測系統(IDS)不同於防火牆(firewall)的

地方是，入侵偵測系統(IDS)不會影響現有網路頻

寬的使用，監控封包的進出，只需架於一台具有入

侵偵測系統(IDS)的電腦，負責監視區網的封包，

一有異常，立即提出警訊，可大大的降低封包在進

Snort於網站管理之應用

蘇建郡 方鵬喜 南台科技大學計網中心 南台科技大學資訊管理所

台南縣永康市南台街一號 TEL：06-2533131 轉 2605

E-mail：ccsu@mail.stut.edu.tw 、 m9090102@email3.stut.edu.tw

第三屆離島資訊技術與應用研討會，2003年 6月

334

出時主機的負擔。

Snort IDS 簡介[1] 入侵偵測系統(Intrusion Detection System，IDS )

[2]就是一個監視電腦系統或者網路上發生的事

件，然後對其進行安全分析的過程。大多數的入侵

偵測系統都可以被歸入到以下三類，以網路為基

礎、以主機為基礎以及分散式三類。以網路為基礎

的入侵偵測系統能夠監視網路資料發現入侵或者

攻擊的蛛絲馬跡；以主機為基礎的入侵偵測系統能

夠監視針對主機的活動(用戶的命令、登錄/退出過

程，使用的資料等等)，以此來判斷入侵企圖；分

散式 IDS通過分佈於各個節點的感測器或者代理

對整個網路和主機環境進行監視，中心監視平臺收

集來自各個節點的資訊監視這個網路流動的資料

和入侵企圖。本文中所使用的是以網路為基礎的入

侵偵測系統。

各種入侵偵測系統使用的偵測方法可以分爲

兩類：基於特徵碼的偵測方法和異常偵測。使用以

特徵碼為基礎之檢測方法的系統從網路獲得資

料，然後從中發現以知的攻擊特徵。例如：在某些

URL中包含一些奇怪的 Unicode編碼字元就是針

對 IIS Unicode缺陷的攻擊特徵。此外各種模式匹

配技術的應用，提高了這種偵測方法的精確性。使

用異常偵測的系統能夠把獲得的資料與一個基準

進行比較，檢測這些資料是否異常。在本文中所使

用的方法為基於特徵碼的偵測方法。

snort是一個架構於 libpcap(http://www.tcpdump.

org )[8]的網路入侵偵測系統，基本架構圖如圖 1。

它運行在一個“感測器(sensor)”主機上，監聽網路

資料。snort能夠把網路資料和規則集進行模式比

對，具有執行即時流量分析與封包紀錄的特性，提

供了協定的分析，封包內容的搜尋。可用來偵測各

種不同的攻擊與調查 (如 buffer overflows，stealth

port scans，CGI attacks，SMB probes，OS

fingerprinting attempts 等等)，從而偵測出可能的

入侵企圖。

Snort使用一種易於擴展的模組化體系結構

(flexible rule based language) 來設定那些流量應該

被蒐集，感興趣的開發人員可以加入自己編寫的模

組來擴展 snort的功能。這些模組包括：HTTP解

碼外掛程式、TCP資料流程重組外掛程式、埠掃

描檢測外掛程式、FLEXRESP外掛程式以及各種

日誌輸入外掛程式等。

Snort利用一些入侵偵測規則來判斷網路上是

否有可能的入侵行為，而且這些偵測規則是使用開

放的方式來發展的，所以你自己也可以加入偵測規

則來加強入侵的偵測。它也具有模組化的偵測引

擎。Snort 具有即時警告的特性，其警告的機制可

使用 syslog或使用者自訂的檔案。

使用 Snort入侵檢測系統的好處：

1.網路龐大而複雜，並且難以監視。Snort的記錄

能夠幫助你找出網路中潛在的安全問題。

2.事故發生後，通過 Snort的事件記錄可能會有助

於追蹤攻擊者。

3.和防火牆不同，Snort是一種被動的保護系統，

不會影響網路的資料傳輸。因而，大多數攻擊或

者企圖繞過系統的攻擊者無法察覺入侵檢測節

點的存在，你可以把這些資訊不斷地記錄到日誌

中。

網路封包

封包蒐集部分

Rules資料庫

入侵行為偵測部分

判斷是否有異常資訊

送出正常資訊

提出警訊部分

否

是

圖1 Snort 基本架構圖

335

傳統作法 一般我們在網路上常見的電腦蠕蟲(worm)就

像是 CodeRed、Nimda、Klez等等的電腦蠕蟲

(worm)，當網路管理人員遇到了電腦蠕蟲(worm)

時，傳統的作法步驟如下：

1 網路管理人員觀看網路流量[3]，遇到異常的情

形，如一瞬間流量明顯過大，疑似病毒情形。

2 由網路管理人員手動到具網管功能的設備上(如

Switch 或 Router)去鎖住異常 IP。

3 中毒者的電腦己解毒完成，並向網路管理人員提

出申請，解開網路設備(如 Router)所阻擋的 IP。

此種做法一遇到大量中毒的電腦時，便會疲於

去鎖中毒 IP，而無法兼顧另外其他發生的網路狀

況。傳統作法流程圖如圖 2

網路管理者

Router使用者

1.監看是否有異常情況

2.發現異常情況，將異常IP在Router鎖住

3.使用者解毒完成並回報

4.確定回報之使用者己解毒完成，將Router所鎖之IP解除

圖2 傳統作法流程圖

實作環境與方法.

我們使用一台 Cisco 2600 路由器(Router)、二

台 100M Hub，再加上數台 PC 來組成這次的入侵

偵測測試環境，實作環境架構圖如圖 3。

入侵偵測系統(IDS)－Snort是一台 PC，配備為

PentiumIII-500的 CPU、256MB的 RAM、1顆 IDE

硬碟共 40GB、一張 10/100M bps 的網卡，作業

系統使用 Linux Red Hat 7.3。

再以其餘 PC來模擬不同網段的電腦，配備皆

為 PentiumIII-500的 CPU、256MB的 RAM、1顆

IDE 硬碟共 13GB、一張 10/100M bps 的網卡，

作業系統皆使用Microsoft Windows 2000。一台 PC

為中毒電腦，其他台之 PC則為正常電腦。

圖 3 實作環境架構圖 本文中所架構之自動偵測與阻斷系統是藉由

Snort之 Pattern Rule(病毒 Pattern模組)，偵測到病

毒發送出病毒封包(病毒分析模組)，並依照管理者

所下之網路流量[4]規則（網路流量分析模組），自

動通知管理者己將某 IP 阻斷(自動通報管理)，且

自動在 Router 將病毒來源 IP 封鎖(Router 控制)，

並建立相關病毒來源事件查詢環境(事件查詢管

理)。等待使用者解毒完畢回報給網路管理者，並

由網路管理者啟動使用者之網路使用服務。自動偵

測與阻斷系統架構圖如圖 4

Hub

Cisco 2600Router

Hub裝設Snort之機器

己中毒的電腦

一般正常運作的電腦

336

圖 4 自動偵測與阻斷系統架構圖

本文中所設計之程式使用 Snort來修改而成，

並利用 PHP[9]、MySQL[11]、phpMyAdmin[12]等

工具在 Linux下開發，程式流程如下。

程式流程圖如圖 5：

圖 5 自動偵測與阻斷系統流程圖

(1) 架設入侵偵測系統 Snort 的電腦，根據 Snort

Pattern Rule來監聽是否有病毒的感染封包。

(2) Snort發現了病毒封包，自動的記錄病毒的 log

檔。

(3)根據我們所定的網路流量規則(如一瞬間流量異

常變大，或封包數量異常多但每個封包皆很小)，

例如：1秒內有 100個封包以上，封包大小皆固定

為 68 Bytes。

(4) 利用修改 Snort的原始程式碼，在 Snort發現病

毒封包時，除了自動產生 log檔外，同時也自動產

生我們所需阻斷之 script檔，向 Router發出訊息，

阻斷發出病毒的來源 IP。

(5) 阻斷 IP時，同時也使用 E-mail 通知網路管理

人員。

(6) 如果中毒者的電腦己解毒完成，並向網路管理

人員提出申請，可直接由網路管理人員解開 Router

所阻擋的 IP。

Snort中有許多的 Rule。如：

alert tcp $EXTERNAL_NET any->$SMTP 25 (msg

“VIRUS Klez Incoming”;flags:A+;dsize:>120;

content:”MIME”;content:”VGhpcybwcm9”;classtype

:misc-activity;sid:1800;rev:1;)

此 Rule表示的是，來源埠為任意埠，目地埠

為 25，內容包含”MIME”和”VGhpcybwcm 9”，byte

大於 120的連線，代表可能為 Klez病毒的威脅。

我們根據以上的 Snort Rule找出了 Klez病

毒。且 Snort自動的產生以下之 Log檔。

Klez病毒之 Log：

[**] VIRUS Klez Incoming [**]

09/29-19:49:59.946074 0:4:80:1C:C8:0 ->

0:2:B3:AC:A8:E1 type:0x800 len:0x5EA

10.1.64.40:1102 -> 203.73.94.211:25 TCP TTL:126

TOS:0x0 ID:22787 IpLen:20 DgmLen:1500 DF

例如在上面 Log中，我們可以發現到病毒的

IP 10.1.64.40 正在攻擊 IP 203.73.94.211且目

地 Port為 25。

在產生上面的 Log檔後，我們所設計的程式

也會自動的產生下面的 Script檔，並利用 expect

指令執行產生的 Script會自動登入 Router，在

Router裡把病毒的來源 IP給阻擋掉(deny)，在下面

的 Script中可知，己把病毒的來源 IP 10.1. 64.40

在 Router當中給阻擋掉了，如此就可以阻擋病毒

對網路頻寬所帶來的困擾。

病毒分析模組

病毒Pattern模組

自動通報管理

事件查詢管理

管理者回應模組

Router控制

路由器

網路流量判斷模組

網路

使用者解毒回報告理

病毒Pattern

Log資料自動分析

自動偵測

記錄病毒攻擊資料

自動阻斷與通報

E-mail通知病毒來源IP即時停用

Router

流量分析

337

以上指令為 telnet進 Router裡，輸出密碼後，

輸入 enable後，再輸入密碼變成管理者權限，輸

入 conf設定 Router，最後將要鎖定的 IP輸入，以

10.1.64.40為例，輸入

“access-list 111 deny ip host 10.1.64l.40 any \r”，最

後再輸入 exit，離開 Router，此方法可將中毒 IP

在 Router鎖定。

要將 Router封鎖之 IP解除的話，可直接將

“access-list 111 deny ip host 10.1.64l.40 any \r”

改成

“no access-list 111 deny ip host 10.1.64l.40 any \r”

即可達到目的。

實作結果 因為企業內部的電腦網路環境較類似於學校

宿舍的網路環境，所以本系統於校內宿舍實際測

試。

為了瞭解我們程式是否會誤判率太高，而造成

使用宿舍網路之同學的抱怨，我們直接把我們修改

過的 Snort程式放到學校的機器上(如圖 6中裝有

Snort之主機)，實際的偵測學校進出的封包。

學校宿舍網路架構如圖 6，全校對外的網路皆

是透過 BigIron跟外部連線，而宿舍的每一樓層的

網路線皆是由 Hub集中，透過每一樓層的 Switch

Hub (Cisco 3524)連到路由器(4802)，由路由器 4802

連到 BigIron跟外部網路連線。而安裝 Snort的主

機則 mirror到路由器(4802)負責監聽封包，一旦發

現異常封包則自動發出訊息給網路設備 (Cisco

3524)，將發出病毒封包的 IP給阻擋住，以防止病

毒繼續對外擴散。

對外網咯

BigIron

4802

Hub

十樓舍的電腦

Hub

一樓宿舍的電腦

一樓宿舍之Cisco 3524 十樓宿舍之Cisco 3524

裝有Snort之主機

mirror

圖 6 校園宿舍網路架構圖

在程式運作一段時間後，根據程式所存之 log

檔的資訊，通知擁有該 IP的宿舍同學，一一詢問

該同學的電腦上網速度是否有變慢或電腦的使用

情況有異常，而每位同學給我們的回答皆是肯定的

答案，皆是己中了電腦蠕蟲病毒(worm)，所以經過

以上的詢問結果，我們可以發現到，只要是偵測出

來的病毒封包之來源 IP是學校宿舍的 IP(如附表所

標示的地方)，那麼就會有接近百分之百的機率是

己中毒的電腦，也可以確定我們程式在防治宿舍的

病毒是有一定的效用存在的。

圖 7可以查詢到學校宿舍實際中毒的 IP、中毒之病毒名稱、封鎖的時間。圖 8為管理者介面，可根據使用者的回報，將己解毒完成之 IP解除封鎖。圖 9為學校流量的統計系統，可查詢某一固定IP實際的流量及封包數量。

#!/usr/bin/expect –f

spawn telnet 163.26.220.xxx

expect "Password:"

send "xxxxxxxx\r"

send "enable\r"

expect "Password:"

send "xxxxxxx\r"

expect "#"

send "conf t\r"

expect "#"

send "access-list 111 deny ip host 10.1.64.40

any \r"

expect “#”

send “exit”

338

圖 7 學校宿舍 IP中毒封鎖名單查詢系統

圖 8 網路管理者啟動使用者網路服務介面

圖 9 網路流量統計

本文所設計的系統將實際運用於本校宿舍之

網路，一般而言，學校宿舍的網路使用量大，同學

下載的檔案也多，中病毒的機會也會變多，所以使

用此程式相信可以減少網路管理人員在那兒看流

量，忙著鎖中毒 IP的情形。

結論 在現今的資訊科技中，網路可以說是整個資訊

傳輸的重心，並連結網路使用者以使用網路資源。

但是當網路規模變得愈來愈大且複雜時，要保護它

們避免受到駭客以通訊協定的漏洞來攻擊伺服器

和桌上型電腦，就變得更為困難了。何況尚有其他

如由電腦病毒(virus)或電腦蠕蟲(worm)引發的危

險與橫行網際網路的惡意網路程式(applets)等。

而在網站中，為了使網路管理人員不再為了每

一次的電腦蠕蟲發作，佔掉網路頻寬而手忙腳亂，

所以就以不用改變網路架構，又能發揮功能的入侵

偵測系統來幫助網路管理人員，網路管理人員在使

用後，應可使網站的流量不再被病毒所佔掉，來使

用電子商務的使用者也可盡情的使用網路。

參考文獻 1. 陳培德、賴溪松，”入侵偵測系統簡介與實現”， 資訊安全通訊，March 2002 Vol.8 NO.2 P.8-20。

2. 陳正昌譯 (2002), Stephen Northcutt & Judy Novak 原著, 2002年 2月，網路入侵偵測教戰手冊, 台灣培生教育, 台北

3. 黃文穗、林守仁，利用 NetFlow建置 Code Red Worm 偵測系統，TANET 2001， P471-474，2001年。

4. 范修維、廖鴻圖、邱孟佑、伍啟錄，”網路流量分析系統之建置及應用”，TANET 2001， P419-424，2001年

5. 電腦蠕蟲，http://www.trend.com.tw/ 6. A. Larson. “Global Security survey: virus

attack,”http://www.informationweek.com/743/security.htm

7. Ian Whalley , Bill Arnold, David Chess, John Morar, Alla Segal, Morton Swimmer.”An Environment for Controlled Worm Replication and Analysis,” IBM TJ Watson Research Center. http://www.research.ibm.com/antivirus/SciPapers/VB2000INW.htm

8. libpcap Website：http://www.tcpdump.org 9. PHP Website：http://www.php.net/ 10. Snort Website：http://www.snort.org/ 11. MySQL Website：http://www.mysql.com/ 12.phpMyAdmin Website：http://www.phpwizard.net

339

附表 Snort發現 Klez病毒所產生的 Log檔

[**] VIRUS Klez Incoming [**]

09/29-19:49:59.946074 0:4:80:1C:C8:0 -> 0:2:B3:AC:A8:E1 type:0x800 len:0x5EA

10.1.64.40:1102 -> 203.73.94.211:25 TCP TTL:126 TOS:0x0 ID:22787 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ [**] VIRUS Klez Incoming [**] 09/29-22:07:55.691092 0:4:80:1C:C8:0 -> 0:2:B3:AC:A8:E1 type:0x800 len:0x5EA 10.1.70.36:2556 -> 203.73.94.211:25 TCP TTL:126 TOS:0x0 ID:46353 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ [**] VIRUS Klez Incoming [**] 09/30-00:12:50.323902 0:4:80:1C:C8:0 -> 0:2:B3:AC:A7:39 type:0x800 len:0x5EA 10.1.69.62:2521 -> 211.20.183.105:25 TCP TTL:126 TOS:0x0 ID:60835 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

VIRUS Klez Incoming [**]

09/30-08:14:46.202095 0:4:80:1C:C8:0 -> 0:E0:18:0:80:A6 type:0x800 len:0x5EA

10.1.65.52:1116 -> 202.107.236.183:25 TCP TTL:126 TOS:0x0 ID:54023 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] VIRUS Klez Incoming [**]

09/30-16:22:29.290978 0:4:80:1C:C8:0 -> 0:2:B3:AC:A7:39 type:0x800 len:0x5EA

10.1.11.67:1317 -> 203.75.157.35:25 TCP TTL:126 TOS:0x0 ID:22901 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] VIRUS Klez Incoming [**]

09/30-16:55:23.998218 0:4:80:1C:C8:0 -> 0:2:B3:AC:A7:39 type:0x800 len:0x5EA

10.1.33.58:2831 -> 203.245.15.198:25 TCP TTL:126 TOS:0x0 ID:30077 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] VIRUS Klez Incoming [**]

09/29-20:53:42.499036 0:4:80:1C:C8:0 -> 0:2:B3:AC:A8:E1 type:0x800 len:0x5EA

10.1.31.55:1068 -> 203.73.94.211:25 TCP TTL:126 TOS:0x0 ID:1793 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] VIRUS Klez Incoming [**]

09/30-18:21:39.424078 0:4:80:1C:C8:0 -> 0:2:B3:AC:A7:39 type:0x800 len:0x5EA

10.1.13.44:1118 -> 168.95.4.49:25 TCP TTL:126 TOS:0x0 ID:18181 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

[**] VIRUS Klez Incoming [**]

09/30-17:30:41.763622 0:4:80:1C:C8:0 -> 0:E0:18:0:80:A6 type:0x800 len:0x5EA

10.1.33.45:1061 -> 203.245.15.198:25 TCP TTL:126 TOS:0x0 ID:53761 IpLen:20 DgmLen:1500 DF

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

以下省略…

340