170 likes | 270 Views
校園網路流量監測 與 系統異常檢測. 監測系統. Ping http://ping.tn.edu.tw 網路服務偵測系統 http://192.83.190.237/RLC/ MRTG http://mrtg.tn.edu.tw NetFlow http://netflow.tn.edu.tw LikeScan http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html. PING.
E N D
校園網路流量監測 與 系統異常檢測
監測系統 • Ping • http://ping.tn.edu.tw • 網路服務偵測系統 • http://192.83.190.237/RLC/ • MRTG • http://mrtg.tn.edu.tw • NetFlow • http://netflow.tn.edu.tw • LikeScan • http://netflow.tn.edu.tw/likeScan/html/20090816/15-30.html
PING • 學校www主機連通率區分為三種情況: 100% 、 90% 、 80%以下 ;分別以 綠色 、黃色 、 紅色 表示。
PING 狀況1:跳電、系統更新網路斷線、DNS、防火牆 狀況2:區域網路異常 狀況3:系統更新、駭客攻擊、區網異常
網路服務偵測 • http://192.83.190.237/RLC/
TANET 網路維運中心 http://nms.moe.edu.tw/
MRTG • 狀況1:電腦中毒 • 僵屍電腦 • 狀況2:mail無法寄出 • 狀況3:駭客入侵 • 狀況4:LOOP
NetFlow 當天7時、9時、12時、15時統計一次
NetFlow 流量統計 學校流出到TANET前100名統計
MailVirus • 每日統計一次 • 監測SMTP協定 • http://netflow.tn.edu.tw/mailVirus/html/20090820/daily.html
如何看懂 likeScan ? • 網址 http://netflow.tn.edu.tw/likeScan/down.html • 記錄每10分鐘 (主機:port)依flows數排出前100名 • 共有6組數字,分別用” . ”區隔( 例:120.115.32.30.6.25) • 前4組為IP位置120.115.34.254 • 第5組為協定 6:TCP , 17: UDP • 第6組80為HTTP ( 21:FTP,25:SMTP,53:DNS,445…) • 目標主機:代表不同主機數 • FLOW:代表一次的行為 • PACKETS : 封包數 • Bytes:封包大小 ※ 120.115.32.30 10分鐘內向1301台主機寄了4892次的信,很明顯超出正常合理行為,判定為異常。
LikeScan 統計各IP和PORT連線狀態 http://netflow.tn.edu.tw/likeScan/html/20100222/10-0.html ※ 120.115.23.26 10分鐘內透過TCP 445 對 282台主機做了282次的連線,Packets和Bytes數也不大。 這樣的狀況大都是主機存在病毒,且透過TCP 445 做Scan行為,試途去感染其它電腦。
ESET SysInspector • 軟體名稱:ESET SysInspector(NOD32免費系統檢測軟體) • 官方網站 、 軟體下載 • ESET SysInspector 是一個分析電腦作業系統、處理程序、登錄檔和網路連接的免費應用程式。 • 藉由ESET SysInspector匯出的記錄檔,把電腦中所收集 到的系統數據和資料傳送給 專業人員分析和威脅評估 。
案例分析 163.26.57.45在likeScan上看到有異常的TCP 445連線行為 使用ESET SysInspector對該電腦進行分析
VirSCAN 線上掃毒服務 • 網址:http://www.virscan.org/ • 整合「37個防毒軟體」的線上掃毒服務! 相類似網站http://www.virustotal.com/
ThreatExpert 病毒、木馬、蠕蟲…「行為分析」檢測工具 網址http://www.threatexpert.com/ submit.aspx
結語 • 每日至少能觀察學校流量狀況一次。 • 每日至少能觀察學校連通狀況一次。 • 電腦異常時處理步驟 • 請將有問題的電腦離線,阻止災害持續擴大。 • 使用工具軟體找尋可疑的程式和病毒並移除。 • 更新作業系統、病毒碼與相關應用程式至最新版本。 • 若問題還是存在,則重新安裝作業系統。