透过封包监聽分析侦测IP-MAC位址盗用行为.ppt

上传人:小飞机 文档编号:6351477 上传时间:2023-10-19 格式:PPT 页数:29 大小:402.50KB
返回 下载 相关 举报
透过封包监聽分析侦测IP-MAC位址盗用行为.ppt_第1页
第1页 / 共29页
透过封包监聽分析侦测IP-MAC位址盗用行为.ppt_第2页
第2页 / 共29页
透过封包监聽分析侦测IP-MAC位址盗用行为.ppt_第3页
第3页 / 共29页
透过封包监聽分析侦测IP-MAC位址盗用行为.ppt_第4页
第4页 / 共29页
透过封包监聽分析侦测IP-MAC位址盗用行为.ppt_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《透过封包监聽分析侦测IP-MAC位址盗用行为.ppt》由会员分享,可在线阅读,更多相关《透过封包监聽分析侦测IP-MAC位址盗用行为.ppt(29页珍藏版)》请在三一办公上搜索。

1、1,透過封包監聽分析偵測IP-MAC位址盜用行為,作者:蘇建郡、范聖緯主講人:范聖緯,TANET 2009 台灣網際網路研討會,2,前言,網際網路已深入到生活中每個角落網路資源並不是無限的,需要有效的管理正確的辨認使用者的身份,才能作出正確的 資源分配、控管在管理上大多會使用到MAC位址,3,研究背景1,MAC位址(Media Access Control):在乙太網路上,是透過MAC位址來辨認設備,決 定封包由誰接收。在出廠時已經有設定了,但隨著作業系統進步,透過軟體來假造MAC位址變的很容易。,4,研究背景2,一般基礎的網路網理方式以確認MAC位址為出發點,一旦MAC位址遭到了 冒用,便會

2、對管理上造成問題,5,研究背景3,一般的解決方式,是透過Port Security,對第二層設備每個Port上的MAC位址進行綁定使用者只要更改了MAC,就會無法通過第二層設備的過濾管理的範圍越大,對管理者的負擔越大,也需考量到設備成本的問題。,6,研究背景4,管理不易的情形,7,系統架構1,實作一套系統,不使用Port Security的機制來幫助網路管理者識別1:IP-MAC冒用與異常的分享。2:主機的系統是否有變化、移動。3:不受歡迎的應用程式,8,系統架構2,使用的元件:(1)Winpacp:全名為Windows packet capture,主要是使用其抓取封包的功能(2)MySQL

3、:一個免費的資料庫系統,用來儲存封包裡所需留下的資料。(3)使用者特徵:為一些在網路上未加密且與使用者或其主機系統、應用程式有關的資訊。,9,系統架構3,特徵值取出,10,系統架構4:一般特徵,使用者代理(User-agent):與使用者瀏 覽器相關的資訊電腦名稱:即時通訊軟體帳號:,11,系統架構5:一般特徵,Facebook序號:YAHOO系列Cookie:P2P軟體(迅雷、電驢):,12,系統架構6:重點特徵,防毒軟體名稱、識別碼:防毒軟體公司用 來辨識使用者授權的授權碼。,Kaspersky,McAfee,Avira,13,系統架構7:重點特徵,Google Cookie(背後靈)瀏覽

4、器相關:Firefox 與 Chrome 都有內嵌 安全瀏覽API 瀏覽器相關:google 工具列、google 地球等,14,系統架構4,系統架構主要為三個部份(1):特徵值比較部份:,計數欄:特徵值發生變化的次數現有特徵:當系統開始運作,初次截取到的特徵最後出現時間:現有特徵最後的出現時間,格式 為SQL timestamp 2010-04-05 12:00:00。,計數欄,15,系統架構5,暫存特徵:當系統開始後,在同樣的IP-MAC配對 上所出現與現有資料特徵的紀錄相異的特徵 值。為了避免是正常的更新(如:IE6升為IE7),先行紀錄下來。最初出現時間:暫存特徵值的最初出現時間,格

5、式與最後出現時間相同。,16,系統架構6,在資料庫中,檢視特徵值比較運作情形。,17,系統架構,對每個特徵值皆會進 行此流程安全時間n應隨著監 控環境的進行調整有異常狀況就會對計 數欄進行更新,18,系統架構,(2)特徵值傳送紀錄(針對重點特徵),IP,DATE,Time,DATE:重點之特徵值,19,系統架構,(3)異常找尋流程,訪視所有IP,重點特徵異常,特徵值變化次數過多,對安全瀏覽API進行判斷1:是否有重覆產生2:30分鐘內的變化數並列出3:是否有移動到別的IP並列出,對其它Google特徵進行判斷1:是否有重覆產生2:是否有移動到別的IP,對防毒特徵進行判斷1:是否有重覆產生2:是

6、否有移動到別的IP3:各防毒的活動時間,Y,Y,N,下一個IP,N,檢視文件,20,實驗環境,外部網路,某科技大學校園網路,監控主機,對外路由,21,實驗結果(冒用、移動),22,實驗結果(冒用、移動),防毒,即時通,Google,23,實驗結果(IP分享器),至少有四種IE瀏覽器,24,實驗結果4(IP分享器),至少有四種防毒軟體,25,實驗結果4(IP分享器),30分鐘內有發生變化至少有三個Google 瀏覽器在運作,26,實驗結果5(電腦教室),防毒與google cookie都完全一模一樣,27,實驗結果5(應用程式),P2P軟體紀錄,28,結論與未來發展,能夠在使用者不知情的情況下判斷出IP-MAC 冒用、分享的情形繼續增加可供參考判斷的特徵值,也可與校 務系統、或軟體廠商進行合作,提高判斷的 準確度。提升系統的自動化程度,加強即時性,進行斷網等。,29,謝謝指教,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号