如何验证Netflow设备抓到蠕虫(Worm)的正确性?
实际范例:南部屏东某国立大学,测试Flowview设备抓到蠕虫(Worm)发生情况。
说明:1﹒于2007年4月19日南部屏东某国立大学发现Flowview设备到蠕虫(Worm),且以e-mail方式通知MIS(信息室)人员,其中共有5个IP感染蠕虫,我们挑一个IP来证明。
2﹒MIS人员向治科公司提出如何证明140.127.33.138的IP,是真正感染蠕虫?以下数据是发生情况及治科公司如何证明Flowview设备抓到蠕虫(Worm)的正确性。
3﹒治科公司在证明Flowview设备抓到蠕虫(Worm)的正确性,同时也提出”下载档案”、”P2P”、”蠕虫”在报表呈现情况之比较。
From: 为了保护使用者曝光 ,将此mail删除
Sent: Thursday, April 19, 2007 12:35 PM
To: xx isadmin
Subject: [daily] Local IP affected by worm
IP Port Flows/Sessions
1 140.127.1.4 icmp 11167
2 140.127.15.51 5100 11355
3 140.127.31.99 icmp 18333
4 140.127.33.138 139 88199
5 140.127.35.250 139 43344
根据以上的信件内容如何能够查出140.127.33.138的IP是受到蠕虫(worm)攻击?
Step 1:
如下图所示,点选报表底下的”有被蠕虫攻击现象的本地端地址”功能选项,查询2007/04/19当日的日报表,所显示的信息与MIS人员接收到Flowview设备所发出的通知e-mail吻合。
PS:以140.127.33.138这个IP来验证Flowview设备是否正确抓到蠕虫。
Step 2:
如下图所示,透过设备查询底下的”实时查询” 功能选项,跟据e-mail时间在中午2007 12:35 PM我们可查证出2007/4/19中午12:00至13:00,计算机之IP地址为140.127.33.138的统计情形,感染蠕虫的计算机IP攻击139 Port在网络产生大量的Session,故我们查询400名IP情况。
PS:在”来源地址 ”填入140.127.33.138之IP,在”目的埠号 ” 填入139端口,在”主题 ”选择经由地址,再按查询键,会出现上述报表及下述报表。
PS:从上述三个报表得知140.127.33.138攻击139埠,以前400名IP来看,每个IP都不一样,3~8名的流量为480Bytes且Sessions为5个,13~17名﹐20、21名﹐23~28名﹐30~32名﹐34~40名﹐42~44名﹐46、47名﹐49~52名﹐的流量均为384Bytes且Sessions为4个,此现像不是一般IP在下载数据,一般下载数据流量不会如此整齐480Bytes、384Bytes、336Bytes,如果是P2P则不会在139埠累积400个都不同之IP,因P2P会跳埠所以埠会有很多个。
Step 3:
如下图所示,透过设备Zoom In功能,查看140.127.4.113。
PS: Zoom In功能就是在”16 “ Sessions点入即可,就会出现如下图之报表。
PS:Zoom In之报表内,来源地址IP140.127.33.138及目的地址IP140.127.4.113在139埠之流量均很整齐且为40Bytes,从更进一步的细节得知蠕虫攻击的封包(Packets)才会如此整齐,一般下载流量不会如此整齐如下图。
PS:下载流量范例,3.49M Bytes、3.42M Bytes、3.48M Bytes、3.36M Bytes、2.00 M Bytes、372K Bytes这些流量是呈现不整齐之规率。
如下图,此报表为P2P范例,来源端口及IP都是同一个,但是目的地址也是同一个,只是目的埠会跳埠故产生很多都不同的目的埠,注意﹗P2P所产生的流量封包(Packets)也是很整齐80Bytes或40Bytes。蠕虫跟P2P都会产生很整齐的流量封包(Packets),但是如何判别是蠕虫或是P2P以达到抓到蠕虫之准确性,这就是治科公司Flowview设备对于抓到蠕虫精准之处。
Step 4:
如下图所示,透过设备Zoom In功能,查看140.127.44.142。
Step 5:
如下图所示,透过设备Zoom In功能,查看140.127.49.173。
Step6:
如下图所示,透过设备Zoom In功能,查看140.127.51.198。
Step7:
如下图所示,透过设备Zoom In功能,查看140.127.55.232。
附件: 您所在的用户组无法下载或查看附件
