出差心得-惡意程式之網路分析技術-劉楨民Diamond Liu

這位老師來學校推過封包偵錄與分析工具軟體,但是我個人認為沒有意義,因為工作上的關係,不可能有時間或是機會,用工具軟體去分析網路封包。
還有一點就是,有網路問題才需要去處理。但是問題是,木馬和病毒通常不會發生網路問題,所以很難有機會去處理。
但是有一個網路管理方式,會需要使用到-封包偵錄與分析工具軟體,就是錄下封包的需求被確認之後,開始把全校的封包錄下來。就如同監視錄影一樣。這樣只要在錄影時間內,都可以使用錄製工具。


單元一:惡意程式的通訊原理分析
惡意程式的通訊特點:感染、回報、受命、干擾
惡意程式的通訊特徵:病毒蠕蟲與木馬後門封包特徵不同、蠕蟲的攻擊模式會相同,駭客的攻擊模式會改變。蠕蟲攻下一個主機目標之後,會再主動找下一個攻擊目標。
tcp封包才具備封包分析的價值,因為大部份的網路工作都是透過tcp封包在處理。
三向交握協定是網路通訊上的特例,只有TCP才會使用三向交握通訊方式,唯讀大部份的網路工作都是使用tcp協定。
------------------------
封包側錄的三種方法(講義沒有)
第一種:Local-Host本機型態的封包側錄方式
第二種:Switch-Hub偵錄方法:Switch-Hub是屬於Switch,Switch不能偵錄。只能使用Port Mirror(有vlan的switch才可以使用, 802.1p、802.1q協定支援。)
第三種:Gateway閘道型態的封包偵錄方式:最少使用、最差的方法、會影響網路效能。
駭客世界:只能想不到,沒有做不到的事情。
----------------------------
網路封包分析的三種重組方法:畫面重組、通訊重組、封包重組。
單元二:惡意程式的之通訊封包分析法
2-1:傳統流量分析法
使用MRTG方式,容易執行,精準度不高,不易找出木馬後門與SPYWARE的通訊
2-2:Session分析法
重組session與還原通訊檔案,經常用於犯罪偵防與通訊監聽。
2-3:改良式分析法
封包負載BPP分析法與通訊行為PBA分析法
單元三:惡意程式之封包負載分析法-BPP(Byte per Packet, 單位封包覆載量)
每個封包的平均資料值,也就是每個封包平均傳送的Byte數值(正常值400BPP~800BPP),病毒感染和木馬後門BPP偏低。
優點:無須觀察封包內容,易適用於加密封包,兼顧隱私與安全。

單元四:惡意程式之通訊行為分析法-PBA(Packets Behavior Analysis)
正常通訊行為可以事先偵測,並且測量每個Session的變化,常用的通訊協定均可以分析其通訊內容。
缺點:精確度高,但是不適用於加密封包,僅能用於攻擊分析。

單元五:病毒惡意程式封包範例分析(見投影片)
單元六:木馬惡意程式封包範例分析(見投影片)

留言