網路行為異常偵測 TANET2017 論文 與北區 ASOC 共同發表 1
傳統網路分析之瓶頸與限制 Netflow Layer 2 mac address Level: 無法觀察 無法偵測 broadcast storm, arp spoofing Layer 3 IP Level 無法偵測同網段之網路連線行為無法即時反應網路連線資訊 僅能提供連線 Summary 結果 路由器 Netflow Active Time 預設 30 分鐘 : 一個持續檔案傳輸之連線需 30 分鐘後才會匯出 Summary 傳輸結果資料 無法觀察 TTL(Time to Live) 變化 Layer 4 TCP Level: 有限分析 無法觀察 TCP Sessions TCP retrasmistion Out of order Duplicate ack Layer 7 Application Level: 無法分析 2
傳統網路分析之瓶頸與限制 見樹不見林 : Wireshark 可詳細觀察每個封包所有欄位資訊, 但缺乏整體統計與分析 針對高速網路 10Gbps,100Gbps 側錄有困難 無法針對 Layer7 應用層分析與過濾 filter all Skype traffic is not possible 3
Network Overview based on packet level Wireshark + ntop plugin ntop plugin (sharkfest 2017) Lua script for wireshark (Open Source) https://github.com/ntop/ndpi/tree/dev/wireshark Copy ndpi.lua to App\Wireshark\plugins 4
分析案例一 網路很慢 vs. 網站很慢 使用者抱怨反應 網路很慢 vs. 網站很慢 Network Delay vs. Application Delay 5
分析案例一 網路很慢 vs. 網站很慢 Application Delay 6
分析案例二 SYN Flood 統計 TCP flag 比例偵測異常行為 自行新增 Lua script 程式碼 7
臺大校內某系所網頁首頁 Web Server 新增統計 TCP 封包異常比例,Lua script 程式碼 label = label.. "Abnormal Packets Percentage : ".. formatpctg((num_tcp_retrans + num_tcp_ooo + num_tcp_lost_segment + num_tcp_duplicate_ack) / last_processed_packet_number * 100).. "\n" 分析案例三 實體網路線異常 8
分析案例四 IPS 誤擋 連線臺大首頁 www.ntu.edu.tw 封包遭 IPS 誤擋 新增統計 TCP 封包異常比例,Lua script 程式碼 ( 同前頁 ) 9
分析案例五重複嘗試登入 不尋常的重複嘗試登入, 可能被入侵的徵兆 傳統偵測方式 : 需於應用程式 Access Log 進行分析 SSH login failed RDP login failed 10
分析連入 Server 封包, 相同 Clinet IP 在短時間內不斷建立不同 tcp.stream, 即可能是嘗試登入行為 自行新增 Lua script 程式碼 分析案例五 重複嘗試登入 11
LAYER 7 網路行為分析 12
Layer 7 分析 - 傳統方式 傳統分析方式 21 ftp 22 ssh 23 telnet 80 http 443 https 13
Layer 7 分析 -ASN 使用 Geoip 查詢 IP 所屬 Autonomous System Number(ASN) 優點 : 現有 IP 就可分析, 可套用於現成 Netflow 分析工具 缺點 : 僅能大略分析網路行為, 無法辨識如 P2P 等 Protocol 14
Layer 7 分析 -ASN 區網 TANet 100G Top 10 ASN 分析結果 netflow + ELK Stack 2017/11/09 15
Layer 7 分析 -ASN 80 34.6% 443 64.3% port Source ASN % 443 Facebook, Inc. 26% 443 Google Inc. 25% 443 Academic Sinica Network 19% 443 Taiwan Academic Network (TANet) Information Center 14% 443 Data Communication Business Group 3% 80 Taiwan Academic Network (TANet) Information Center 50% 80 Microsoft Corporation 25% 80 Apple Inc. 11% 80 Academic Sinica Network 8% 80 Akamai International B.V. 16 6%
Layer 7 分析 -DPI 使用 DPI(Deep Packet Inspection ) 分析 商業硬體設備 Proprietary protocol pattern 非公開 倚賴廠商不斷更新 pattern Open Source DPI Library ndpi,support 186+ application protocols https://github.com/ntop/ndpi/tree/dev/example 網路社群力量大 17
ndpi Support 186+ Protocols FTP POP SMTP IMAP DNS IPP HTTP MDNS NTP NETBIOS NFS SSDP BGP SNMP XDMCP SMB SYSLOG DHCP PostgreSQL MySQL TDS DirectDownloadLink I23V5 AppleJuice DirectConnect Socrates WinMX VMware PANDO Filetopia imesh Kontiki OpenFT Kazaa/Fasttrack Gnutella edonkey Bittorrent OFF AVI Flash OGG MPEG QuickTime RealMedia Windowsmedia MMS XBOX QQ MOVE RTSP Feidian Icecast PPLive PPStream Zattoo SHOUTCast SopCast TVAnts TVUplayer VeohTV QQLive Thunder/Webthunder Soulseek GaduGadu IRC Popo Jabber MSN Oscar Yahoo Battlefield Quake VRRP Steam Halflife2 World of Warcraft Telnet STUN IPSEC GRE ICMP IGMP EGP SCTP OSPF IP in IP RTP RDP VNC PCAnywhere SSL SSH USENET MGCP IAX TFTP AFP StealthNet Aimini SIP Truphone ICMPv6 DHCPv6 Armagetron CrossFire Dofus Fiesta Florensia Guildwars HTTP Application Activesync Kerberos LDAP MapleStory mssql PPTP WARCRAFT3 World of Kung Fu MEEBO FaceBook Twitter DropBox Gmail Google Maps YouTube Skype Google DCE RPC NetFlow_IPFIX sflow HTTP Connect (SSL over HTTP) HTTP Proxy Netflix Citrix CitrixOnline/GotoMeeting Apple (imessage, FaceTime ) Webex WhatsApp Apple icloud Viber Apple itunes Radius WindowsUpdate TeamViewer Tuenti LotusNotes SAP GTP UPnP LLMNR RemoteScan Spotify H323 OpenVPN NOE CiscoVPN TeamSpeak Tor CiscoSkinny RTCP RSYNC Oracle Corba UbuntuONE CNN Wikipedia Whois-DAS Collectd Redis ZeroMQ Megaco QUIC WhatsApp Voice Stracraft Teredo Snapchat Simet OpenSignal 99Taxi GloboTV Deezer Instagram Microsoft cloud services Twitch KakaoTalk Voice and Chat HotspotShield VPN 18
Install ndpi with Wireshark Wireshark Extcap plugin 19
ndpi Layer 7 protocol 分析 20
簡報完畢 謝謝 21