1 / 17

校園網路流量監測 與 系統異常檢測

校園網路流量監測 與 系統異常檢測. 監測系統. Ping http://ping.tn.edu.tw 網路服務偵測系統 http://192.83.190.237/RLC/ MRTG http://mrtg.tn.edu.tw NetFlow http://netflow.tn.edu.tw LikeScan http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html. PING.

amanda
Download Presentation

校園網路流量監測 與 系統異常檢測

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 校園網路流量監測 與 系統異常檢測

  2. 監測系統 • Ping • http://ping.tn.edu.tw • 網路服務偵測系統 • http://192.83.190.237/RLC/ • MRTG • http://mrtg.tn.edu.tw • NetFlow • http://netflow.tn.edu.tw • LikeScan • http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html

  3. PING • 學校www主機連通率區分為三種情況: 100% 、 90% 、 80%以下 ;分別以 綠色 、黃色 、 紅色 表示。

  4. PING 狀況1:跳電、系統更新網路斷線、DNS、防火牆 狀況2:區域網路異常 狀況3:系統更新、駭客攻擊、區網異常

  5. 網路服務偵測 • http://192.83.190.237/RLC/

  6. TANET 網路維運中心 http://nms.moe.edu.tw/

  7. MRTG • 狀況1:電腦中毒 • 僵屍電腦 • 狀況2:mail無法寄出 • 狀況3:駭客入侵 • 狀況4:LOOP

  8. NetFlow 當天7時、9時、12時、15時統計一次

  9. NetFlow 流量統計 學校流出到TANET前100名統計

  10. MailVirus • 每日統計一次 • 監測SMTP協定 • http://netflow.tn.edu.tw/mailVirus/html/20090820/daily.html

  11. 如何看懂 likeScan ? • 網址 http://netflow.tn.edu.tw/likeScan/down.html • 記錄每10分鐘 (主機:port)依flows數排出前100名 • 共有6組數字,分別用” . ”區隔( 例:120.115.32.30.6.25) • 前4組為IP位置120.115.34.254 • 第5組為協定 6:TCP , 17: UDP • 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) • 目標主機:代表不同主機數 • FLOW:代表一次的行為 • PACKETS : 封包數 • Bytes:封包大小 ※ 120.115.32.30 10分鐘內向1301台主機寄了4892次的信,很明顯超出正常合理行為,判定為異常。

  12. LikeScan 統計各IP和PORT連線狀態 http://netflow.tn.edu.tw/likeScan/html/20100222/10-0.html ※ 120.115.23.26 10分鐘內透過TCP 445 對 282台主機做了282次的連線,Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒,且透過TCP 445 做Scan行為,試途去感染其它電腦。

  13. ESET SysInspector • 軟體名稱:ESET SysInspector(NOD32免費系統檢測軟體) • 官方網站 、 軟體下載 • ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和網路連接的免費應用程式。 • 藉由ESET SysInspector匯出的記錄檔,把電腦中所收集  到的系統數據和資料傳送給  專業人員分析和威脅評估 。

  14. 案例分析 163.26.57.45在likeScan上看到有異常的TCP 445連線行為 使用ESET SysInspector對該電腦進行分析

  15. VirSCAN 線上掃毒服務 • 網址:http://www.virscan.org/ • 整合「37個防毒軟體」的線上掃毒服務! 相類似網站http://www.virustotal.com/

  16. ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具 網址http://www.threatexpert.com/ submit.aspx

  17. 結語 • 每日至少能觀察學校流量狀況一次。 • 每日至少能觀察學校連通狀況一次。 • 電腦異常時處理步驟 • 請將有問題的電腦離線,阻止災害持續擴大。 • 使用工具軟體找尋可疑的程式和病毒並移除。 • 更新作業系統、病毒碼與相關應用程式至最新版本。 • 若問題還是存在,則重新安裝作業系統。

More Related