IPv6 網路管理與安全 --

企業網路

All rights reserved. No part of this publication and file may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without prior written permission of Professor Nen-Fu Huang (E-mail: nfhuang@cs.nthu.edu.tw).

黃能富特聘教授 國立清華大學資訊工程系 E-mail: nfhuang@cs.nthu.edu.tw

網路安全 - 2

大綱

網路安全簡介

網路攻擊手法介紹

DoS, SYN-flooding, UDP flooding, ...

DDoS

反射式攻擊/放大式攻擊

攻擊觀測技術 一 網路黑洞

Botnet 偵測與防治

IPv4/IPv6 防火牆

入侵偵測與防禦系統 IDS/IPS, IDSv6/IPSv6

網路安全 - 3

大綱

路由器IPv6環境基本設定與安全性設定實務

DNSSEC介紹與實際操作

IPTABLES/IP6TABLES 防火牆介紹與實際操作

MRTG IPv4/IPv6 流量監控安裝實務

網路安全 - 4

網路安全簡介 (CIA 模式)

資通安全三個主要項目:

保密性(Confidentiality): 資料只對有授權的人, 在授權的時間內, 以核可的方式開放

完整性(Integrity): 資料保證沒有被竄改.

可用性(Availability): 合法使用者可隨時使用資料、資源以及服務.

保密性 認證技術 (Authentication)

完整性 加解密技術 (Encryption/Decryption)

可用性 網路安全技術

網路安全 - 5

網路安全簡介 -- 駭客無所不在

2000/3：駭客利用 DDoS 網路攻擊方式，引起 Yahoo、Amazon、CNN、eBay 等知名網站癱瘓

2001/7：Amazon.com 遭駭客盜走顧客的信用卡資料

2002 中美駭客大戰

2003/1 SQL Slammer 攻擊

2003/4 大陸「流光」後門程式

2003/8 Blaster 疾風病毒攻擊

2003/9 SoBig 老大病毒攻擊

2004/3 Netsky 天網病毒攻擊

2004/4 Sasser 殺手病毒攻擊

2005/5 台灣大考中心遭駭客竄改資料

網路安全 - 6

網路安全簡介 -- 駭客無所不在

2007/5 北歐小國愛沙尼亞國家基礎建設被蘇聯 DDoS 攻擊癱瘓, 引發第一次網路大戰

2008/10 Conficker 蠕蟲攻擊

2009 韓國遭受網路攻擊

2010/9 IMDDOS 殭屍網路 (Botnet) 提供租賃服務 (大陸)

2013/1 大規模手機感染殭屍網路 (大陸)

2014/9 俄羅斯黑能源(BlackEnergy)惡意程式攻擊比利時、波蘭、以及烏克蘭

2014/12 Sony Picture 公司被駭引發美國與北韓的駭客大戰

2015/4 國際刑警組織破獲 SIMDA 殭屍網路 (770,000 電腦獲救)。

網路安全 - 7

網路安全的挑戰

網路攻擊技術日新月異，攻擊工具易於取得,界面淺顯易懂，不需高深技巧，即可進行攻擊。

網路攻擊已不侷限於侵入動作，許多攻擊行為旨在阻斷網路或阻斷網站之服務能力。

網路通訊設備安全性不足。路由器及交換器僅能檢視封包第三層資訊。

防火牆著重在封包第四層資訊檢查。

防毒軟體逐漸無法精準辨識網路攻擊。

網路安全 - 8

網路攻擊工具範例 (SYN Flooder)

網路安全 - 9

網路攻擊工具範例 (流光)

網路安全 - 10

網路攻擊工具範例 (IGMP NUKE)

網路安全 - 11

網路攻擊工具範例 (DDoS Ping)

網路安全 - 12

網路攻擊工具範例 (UDP Flooder)

網路安全 - 13

網路攻擊工具範例 (N-Stealth Scanner)

網路安全 - 14

網路攻擊工具範例 (N-Stealth Scanner)

網路安全 - 15

網路攻擊種類

阻斷服務攻擊 (Denial of Service (DoS), DDoS)

網路入侵 (Network Invasion)

網路掃描 (Network Scanning)

網路竊聽 (Network Sniffing)

後門程式與木馬 (Backdoors and Torjan Horse)

蠕蟲 (Worm)

網路安全 - 16

(1)阻斷服務攻擊 DoS

阻斷正常使用者使用網路或伺服器的服務: Ping Flooding,

Ping of death,

Smurf,

Fraggle,

SYN flooding,

Teardrop,

Cyberslam

Land, NewTear, Bonk, Boink, IGMP Nuke, Land, buffer overflow.

利用協議錯誤或是程式錯誤

破壞網路或是系統服務的可用性 (Availability).

網路安全 - 17

阻斷服務攻擊案例一(Ping Flooding)

Ping Flooding

攻擊者藉由傳送大量的 ICMP echo 封包至受害主機，以耗盡其系統資源。

單點攻擊

Victim Attacker

Internet

PING

ICMP Echo packets

網路安全 - 18

Ping Flooding attack

Ping command options –n

網路安全 - 19

Ping Flooding attack

Ping Flooding 缺點

攻擊者容易被辨識出來 (真實 IP)

反彈的大量 ICMP Echo Reply 封包可能造成攻擊者內傷

Victim Attacker

Internet

ICMP Echo Reply packets

網路安全 - 20

阻斷服務攻擊案例二 (Ping of Death)

Ping of Death

攻擊者傳送夾帶 65,500 位元組的 ICMP echo 封包至受害主機，

受害主機將因此而當機 (TCP/IP 協定實作漏洞)。

Victim Attacker

Internet

PING (65500 bytes)

ICMP Echo packet (65500 bytes)

網路安全 - 21

Ping of Death attack

使用 ping command options -n –l

Ping of Death

網路安全 - 22

Ping of Death attack

通常對大網路或是大網站無效

網路安全 - 23

阻斷服務攻擊案例三 (Smurf attack)

Smurf Attack 借刀殺人計策。

攻擊者對某網域的 IP 廣播位址傳送 ICMP echo 封包，而來源 IP 網址填上欲加害之主機網址。

造成此網域的每一台機器均會傳送 ICMP reply 至被害主機，

此網域頻寬阻塞

被害主機也因處理大量攻擊封包而耗盡資源。

網路安全 - 24

“Smurf” Attack

LAN

Victim

Attacker

Internet

ICMP Echo

ICMP Echo Reply ICMP Echo with spoofed source IP address (Victim) Sent to IP broadcast address

網路安全 - 25

阻斷服務攻擊案例四 (Fraggle attack)

Fraggle (UDP flooding)

攻擊者傳送大量的 UDP 封包至受害網路廣播位址 (broadcast IP address)

此網路的所有主機皆送出回應的UDP封包

耗盡網路的頻寬。

受害者也收到大量封包

現今 router 大都已經不轉送此類 IP 廣播封包, 所以 Smurf 以及 Fraggle 已不易發動

網路安全 - 26

“Fraggle” attack

LAN

Victim

Attacker

Internet

UDP Echo

UDP Reply UDP packets with spoofed source IP address (Victim)

網路安全 - 27

阻斷服務攻擊案例五 (SYN Flooding)

SYN flooding

攻擊者以每秒送出數千個 SYN 封包（用以建立TCP連線）的速度攻擊受害主機

使用 偽造 (Spoofed) 或不存在的來源 IP 網址 。

造成受害主機回送 SYN-ACK 給不存在的網址，而此偽造網址不會回應。

受害主機將被迫建立大量的半開放連線 (half_open connections), 耗盡記憶體資源以及 port numbers

受害主機無法再接受其他正常的 TCP 連線，也就無法讓合法的使用者登入。

阻斷受害主機的服務能力。

網路安全 - 28

SYN-Flooding Attack

Victim Attacker

Internet

SYN

SYN with spoofed source IP address (A,B,C,D)

SYN ACK SYN ACK

SYN ACK

SYN ACK

Connection Table

A

B

C D

A

B

C

D

?

網路安全 - 29

阻斷服務攻擊案例六 (Teardrop)

淚珠攻擊 (Teardrop)

Teardrop 是一種程式, 會送出重疊 IP 片段 (overlapping IP fragments) 給受害主機

例如傳送 4000 bytes 資料

正常片段 (Bytes 1-1500) (Bytes 1501 – 3000) (Bytes 3001-4500)

重疊片段 (Bytes 1-1500) (Bytes 1501 – 3000) (Bytes 1001-3600)

Teardrop 引發主機在組合重疊 片段時發生錯誤

網路安全 - 30

阻斷服務攻擊案例七 (Cyberslam)

另類 DDoS 攻擊

殭屍電腦 (Zombies) 不發動 SYN Flooding 攻擊來阻斷 Web 伺服器的網路

殭屍電腦發出大量的檔案讀取或資料庫查詢的需求給 Web 伺服器

Web 伺服器認為這些需求都是正常需求, 並花大量時間處理

導致正常的使用者無法得到服務

網路安全 - 31

(2)網路入侵 (Invasion)

網路入侵

目標是入侵標的系統並取得所需資訊

帳號密碼

程式原始碼

商業機密資料(信用卡資料)

通常因為不當的系統設定、權限設定, 或是程式錯誤.

網路入侵方法繁多, 了解其攻擊手法有助於偵測, 但不易偵測所有攻擊

網路安全 - 32

網路入侵範例: IIS unicode buffer overflow

For IIS 5.0 on windows 2000 without this security patch, a simple URL string: http://address.of.iis5.system/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ will show the information of root directory.

http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/http://address.of.iis5.system/scripts/..%c1�../winnt/system32/cmd.exe?/c+dir+c:/

網路安全 - 33

(3)網路掃描 (Scanning)

網路掃描

目的是偵測受害網路的拓譜架構(topology).

主機以及網路設備的名稱以及網址

服務器開放的服務.

通常使用掃描技術

ICMP scanning

X’mas scan

SYN-FIN scan

SNMP scan

自動且功能強大的掃描工具: Nmap.

網路安全 - 34

Nmap

Nmap ("Network Mapper") is a free and open source utility for network discovery and security auditing

https://nmap.org/

網路安全 - 35

(4)網路竊聽 (Sniffing)

網路竊聽

目標是獲得通訊的內容

帳號密碼, 電郵帳號

網路拓譜

通常竊聽程式將網路卡設為全收模式 (promiscuous mode) 並且儲存收集封包以便事後查詢

執行竊聽程式(如 NetBus) 的主機往往是經過攻擊程序被感染的主機.

網路安全 - 36

(5)後門及木馬程式

木馬程式原名特洛伊木馬 (Trojan Horse)又稱後門程式 (Backdoor)。

「特洛伊木馬」是指在可下載的應用程式中植入惡意的遠端遙控程式。

此程式可經由 email 寄給大眾, 或是放在網站上吸引人點擊下載

使用者不小心下載此程式，電腦就會被控制成為所謂的殭屍電腦 (bot).

可能造成資料外洩、甚至成為攻擊的跳板, 網路攻擊的棋子。

網路安全 - 37

(5)後門及木馬程式

後門及木馬程式往往是主機被入侵後所造成(遺留)的結果

他們會建立一個私密的通訊管道 (private communication channel) 等待遠端主人的指令.

工具範例:

Subseven,

BirdSpy,

Dragger

可以經由監控已知的控制管道活動來偵測是否被植入後門及木馬程式, 但無法 100% 準確

網路安全 - 38

(6)蠕蟲 (Worm)

蠕蟲

蠕蟲主要的意圖是大量散佈 (propagate) 以及繁殖 (survive).

通常利用系統的漏洞或是弱點 (vulnerabilities) 侵入, 然後試著去感染其他主機.

嘗試建立大量的連線來複製自己

短時間大量連線造成網路癱瘓

蠕蟲會減少系統的效能, 遺留後門程式, 偷竊機密資訊等等.

網路安全 - 39

分散式阻斷服務攻擊 (DDoS)

阻斷服務攻擊屬於單機發動攻擊, 力道較不足

分散式阻斷服務攻擊 (Distributed DoS) 多機攻擊

攻擊者從遠端控制多個傀儡機器同時對受害主機做大量的攻擊。

癱瘓網路或伺服器的服務

控制指令 (Control command)

加密或

隱藏在正常流量中(不易被發現)

網路安全 - 40

分散式阻斷服務攻擊 (DDoS)

控制指令 加密或隱藏在 正常流量中

偽造封包

Victim

Attacker

Handler Handler Handler

agent

網路安全 - 41

DDoS 攻擊範例

DDOS 攻擊程式範例：

Trin00 (會進行破壞)

Tribe Flood Network（TFN） (會進行破壞)

TFN2K

Trin00：

可由某機器或某群機器發動，當攻擊發動後，每一台被暗藏 Trin00 程式的電腦都向受害主機傳送 UDP 封包（含四個位元組的資料），並一直改變目的地埠號

受害主機疲於奔命地回傳 ICMP port unreachable 訊息，而無法順利地服務合法封包及連線

網路安全 - 42

DDoS 攻擊範例

TFN：

啟動模式和 Trin00 相同

但 TFN 的攻擊較具多樣化

它能傳送 SYN flood、UDP flood、ICMP flood、或 Smurf 攻擊

能自行變動攻擊封包上的來源位址，使得安全機制更難以檢查過濾此型攻擊

網路安全 - 43

DDoS 攻擊實例

Oct 2002, 全球 DNS 伺服器遭受 DDoS 攻擊

持續一小時

13 DNS 伺服器中有 9 個受到嚴重影響

May 2007, 北歐小國愛沙尼亞 (Estonia) 國家基礎建設被蘇聯 DDoS 攻擊癱瘓, 引發第一次網路大戰。

2009 年韓國遭受 DDoS 網路攻擊

Aug 2009, Twitter 以及 Facebook 遭受 DDoS 攻擊

網路安全 - 44

反射式攻擊與放大式攻擊

反射式攻擊 (Reflector attacks) 與 放大式攻擊 (Amplifier attacks)

與 DDoS 不同, 中間系統 (Intermediary) 是未被感染的

反射/放大式攻擊 利用網路系統正常的功能

攻擊程序:

攻擊者送出一個偽造來源 IP 網址的封包給在某一個伺服器上執行的服務

伺服器回覆一個封包給偽造 IP 網址 (受害主機)

也可同時寄發大量具有相同偽造來源 IP 網址的封包給多個伺服器

巨量的回覆封包阻塞受害主機的網路或是讓受害主機疲於奔命處理回覆封包

此類攻擊容易發動, 不易追朔源頭

網路安全 - 45

反射式攻擊與放大式攻擊

Victim

Attacker

Internet Request with spoofed source IP address (Victim)

Reflector (Servers)

Amplifier (Servers or networks)

Request

Request

Response

Victim

Response

網路安全 - 46

反射式攻擊 (Reflection attacks)

反射器 (Reflector) : 反射(回覆)攻擊封包的中間設備

攻擊者確保攻擊流量與正常流量相似, 以免被偵測

攻擊者期望: 回覆封包大小 > 原始封包大小

質量放大效果, 以小換大

混合運用多種符合此條件的協議

TCP, UDP, DNS services 等等

中間系統通常是高效能的服務器/路由器

網路安全 - 47

反射式攻擊案例一(TCP/SYN)

利用建立 TCP 連線的三方交握程序

屬於 Flooding 攻擊, 但與 SYN Spoofing 攻擊不同

SYN Spoofing 攻擊 ---- 伺服器是受害者

SYN Reflection 攻擊 --- 伺服器是反射器 (幫兇)

與送出一系列的連線建立 SYN 封包給伺服器, 但來源IP 網址偽造成受害主機的 IP 網址.

伺服器回覆一系列的 SYN/ACK 封包給受害主機

可利用大量伺服器來加倍攻擊力道

即使被部分伺服器偵測阻擋, 還有許多伺服器回應

網路安全 - 48

TCP/SYN 反射式攻擊

Victim

Attacker

Internet

SYN

SYN with spoofed source IP address (Victim)

SYN/ACK

SYN/ACK

Reflector (Server)

Reflector (Server)

SYN

網路安全 - 49

反射式攻擊案例二 (DNS)

DNS 伺服器 被當成反射器

小查詢封包 (60 bytes) 大回覆封包 (512-4000 bytes)

與送出一系列的 DNS 查詢小封包給 DNS 伺服器, 但來源IP 網址偽造成受害主機的 IP 網址.

DNS 伺服器回覆一系列的 DNS 回覆大封包給受害主機

可利用多量 DNS伺服器來加倍攻擊力道

放大倍數夠的話，攻擊者只須送出適量攻擊封包

網路安全 - 50

DNS 反射式攻擊

Victim

Attacker

Internet

DNS query (小封包)

DNS query with spoofed source IP address (Victim)

DNS Response (大封包)

Reflector (DNS Server)

Reflector (DNS Server)

DNS

DNS Response (大封包)

網路安全 - 51

放大式攻擊 (Amplification attacks)

放大器 (Amplifier) : 放大(回覆)攻擊封包的中間設備(網路)

攻擊者確保攻擊流量與正常流量相似, 以免被偵測

針對每個原始封包, 中間設備(網路)會產生多個回覆封包

攻擊者期望: 回覆封包數量 > 原始封包數量

數量放大效果, 以少換多

混合運用多種符合此條件的協議

TCP, UDP services 等等

中間系統通常是整個子網路中的主機

網路安全 - 52

放大式攻擊

利用中間網路(intermediate network)的大量主機

利用 ICMP echo request 封包的 ping flooding

Ex: Smurf DoS program

利用 UDP service

Ex: Fraggle program

TCP 服務不合適放大式攻擊 (只有 one-to-one 回覆)

放大式攻擊防護方法

不允許外部來的廣播封包進入網路

網路安全 - 53

放大式攻擊案例一 (Smurf attack)

LAN

Victim

Attacker

Internet

ICMP Echo

ICMP Echo Reply ICMP Echo with spoofed source IP address (Victim)

Amplifiers (Intermediaries nodes)

網路安全 - 54

放大式攻擊案例二 (Fraggle attack)

LAN

Victim

Attacker

Internet

UDP Echo

UDP Reply UDP packets with spoofed source IP address (Victim)

Amplifiers (Intermediaries nodes)

網路安全 - 55

反射流量分析 (Backscatter Analysis)

反射流量分析 (Backscatter Analysis)

The UCSD Network Telescope (網路望遠鏡) 是一個被動的異常流量觀測系統.

又稱為網路黑洞 (black hole)

流量只進不出

http://www.caida.org/data/passive/network_telescope.xml

http://zh.wikipedia.org/zh-tw/%E9%BB%91%E6%B4%9E

網路安全 - 56

UCSD Network Telescope (網路望遠鏡)

建構在全球連通 (globally routed) 但很少使用的 Class A 網路 ( /8 network).

約占用所有 IPv4 網址的 1/256.

很少 ISP 供應此網段的 IP 網址給用戶

此網段平常幾乎沒有正常流量

當成黑洞來集或是觀測異常流量

提供網路安全研究者價值不斐的數據

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 57

Internet Background Radiation (IBR)

互聯網背景輻射 (Internet Background Radiation, IBR).

將流入黑洞的流量先慮掉合法的流量, 剩下的流量代表不請自來的異常流量, 這些異常流量可視為互聯網上的背景輻射

IBR 流量來自多種事件, 如

亂數假造來源IP 網址 DoS 攻擊的反射封包

蠕蟲或是病毒自動亂數產生 IP 網址的封包

攻擊者或惡意程式尋找漏洞主機的封包

設定錯誤產生的封包 (如疏忽誤植 IP 網址)

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 58

反射流量分析

The UCSD network telescope 可用來觀測 DDoS 攻擊之假造來源 IP 網址的散佈度 (spread of random-source)

攻擊者寄給受害主機的每一個封包會使用假的來源 IP 網址

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 59

反射流量分析

由於受害主機無法分辨來者是正常需求或是攻擊需求, 因此會盡力回應每一個需求

有些需求無法回應(受害主機能力不同)

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 60

反射流量分析

當假造的網址落入觀測望眼鏡(黑洞)範圍, 我們就收集到一個給不存在電腦的回覆

此電腦永遠不會送出該需求 (不存在)

因為黑洞範圍約佔 1/256 的 IPv4 網址, 所以可以收集到約 1/256 的假造網址 (量)

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 61

反射流量分析

觀測這些不請自來的回應封包, 可以知道有哪些受害者主機以及相關攻擊資訊

攻擊者攻擊力道 (Volume of the attack)

受害主機頻寬 ( Bandwidth of the victim)

受害主機位置 (Location of the victim), 以及

攻擊者針對的服務類型 (Types of services)

注意

網路望遠鏡無法觀測使用真實 IP 網址的攻擊

也無法觀測非亂數產生的來源 IP 網址的攻擊

網路安全 - 62

反射流量分析

網路蠕蟲 (Internet Worms)

許多蠕蟲在散佈時會使用亂數產生的 目的地 IP 網址

嘗試與這些主機建立連線 並經由系統漏洞傳送蠕蟲過去

受感染的主機 也是任意嘗試 (亂數) 去感染更多主機

約1/256 的感染嘗試會被網路望遠鏡觀測到

http://www.caida.org/data/passive/network_telescope.xml

網路安全 - 63

反射流量分析

近年觀察流入黑洞的許多流量具以下特性

長時期 (longer-duration)

低強度 (low-intensity)

應該是意圖建置及維護 殭屍網路 (botnets) 所造成的流量行為.

這些觀測也代表網路攻擊的存在事實

CAIDA 建置、擴充網路望遠鏡系統的設備, 收集、紀錄、分析相關數據, 提供專業網路安全研究者使用

http://www.caida.org/data/passive/network_telescope.xml