Contents ...
udn網路城邦
網路行為模式偵測Botnet
2011/03/07 03:25
瀏覽1,947
迴響0
推薦7
引用0



Botnet入侵者是由一個集團所控制不同病毒及蠕蟲,因為Botnet入侵是以利益為導向,例;美國聯邦調查局(FBI)宣布,一名二十三歲斯洛維尼亞籍駭客已落網,他編寫的惡意程式碼被用來打造「殭屍網路(botnet)」,感染全球一千兩百萬部電腦,並入侵各大銀行和世界各地的公司。而有些Botnet集團是以收取金錢來攻擊對方網站使得商業網站不能營業。

 

 政府也致力在防止Botnet入侵,但是成效?從99 8 月份殭屍網路發現國家的排行蘇聯、日本、美國、馬來西亞、台灣,我們台灣是名列第5,探究其原因吾人發現台灣防止Botnet入侵都是採用防毒軟體或硬體式設備透過特徵碼的比對方式,雖然能夠偵測出Botnet入侵但是大部份的Botnet入侵是不能偵測出來,台灣是名列第5數據會講話,因為Botnet程式會自行透過網路進行自我程式更新,也就是隨時改變特徵碼不被防毒軟體或硬體式設備偵測出來。

 

 如果以網路行為模式來偵測Botnet入侵也是方案之一,何謂網路行為模式?就是以網路最底層的封包流量為依據做為判斷Botnet入侵SSH及偵測UDP Flood 攻擊,此方案不是以特徵碼的比對方式,此方案對於攻擊對方網站使得商業網站不能營業及癱瘓政府網站是最佳方案,何以見得?Botnet入侵SSH猜解密碼成功植入木馬程式後會向IRC Server報到,此電腦或伺服器就成IRC Server的殭屍電腦,當Botnet集團接到指令要攻擊某一個網站,Botnet集團會以UDP Flood 攻擊方式而不是以DDOS攻擊方式,因為DDOS攻擊方式已經是落伍,此方式需要100台電腦或許更多電腦,來同一時間發動攻擊才能產生癱瘓網站之效果,而UDP Flood 攻擊方式Botnet集團只要23台電腦之IP即可發動驚人攻擊威力,不信可以問吳鳳科大資訊處詹處長,今年122日一個IP發動UDP Flood 攻擊方式校內IP就癱瘓全校網路,連J牌的防火牆都被攻垮造成當機,這是真實事件。另外一個學校是中部最大國立大學2010119日也是遭到UDP Flood 攻擊雖然沒有全校網路癱瘓,但是網路流量之慢也讓他們夠嗆。

 

 以網路行為模式就可以偵測Botnet入侵SSH及偵測UDP Flood 攻擊,但是此方面的技術就我所知在台灣本土只有一家,可以突破大網路流量瓶頸以最底層封包流量來判斷UDP Flood 攻擊,其他家設備可能都當機,不信可以問吳鳳科大資訊處詹處長,或許這也是解決Botnet入侵之一管道。

 

PS:此台灣本土廠商2010年有接到南科高速網路中心訂單,初步在MRTG圖流出及流入總合2Gbps還沒有當機,此設備主要目的配合南科高速網路中心提供的黑名單做交叉比對功能,所謂黑名單就是指IRC ServerIP名單。



有誰推薦more
發表迴響

會員登入