使用說明

最新消息:

※已將NETFLOW流量分析系統移至新機器，並自即日起停止CodeRed、DDoS http及Slapper三類的異常流量偵測(2008/1/14)

為使台中縣教育網路專線頻寬能更有效使用於正常連線，自即日起對於flow異常之主機縣網中心將予以封鎖上透過此專線連上internet權利（仍可與縣網連線），對於被封鎖之主機各連線單位網管人員煩請務必確實檢查確認已排除flow異常之原因後，可至教網首頁>網管專區>資安回報解除限制（若未能真正排除flow異常原因馬上又會被縣網路中心自動限制）。為避免對於貴單位之伺服器如proxy、NAT/firewall及SMTP server產生誤判情形，請各單位網管人員務必儘快將貴單位各伺服器ip資料填報至網管專區>網管資訊處。

目前限制上網之原則為若10分鐘內flow量符合下面條件時，縣網將自動予以封鎖:

編號	名稱	外部主機flow量門檻值	內部有登記之主機	內部其它	設定或修改日期
1	CodeRed	500	5000	1000	2008/1/14 停止
2	DDoS http	10000	50000	5000	2008/1/14 停止
3	SMTP	未限制	1000	100
4	Scan Port 137-139	100	100	100
5	Slapper	1000	3000	3000	2008/1/14 停止
6	DDoS dp445	100	100	100	2002/12/20
7	DDoS dp1434-1433	100	100	100	2003/1/26
8	MSBLAST	1000	5000	1000	2003/8/15
9	SSH Attack	300	1000	300	2004/9/7
10	企圖登入縣網主機	9	9	9	2006/3/19

對於上述之條件若有意見或是能提供更佳之判斷原則者，煩請與網路中心黃老師連絡作為日後調整之依據，謝謝！

使用說明

1. 請選擇欲觀察之日期（預設值為昨日）

2. TANet 為各單位透過興大區網進出 internet 的量；

3. 各連線單位可透過Netflow分析了解各單位單日各項服務之總流量。各類服務所使用之port參考資料

4. 每隔十分鐘產生一份報告。

5. CodeRed病毒主機的攻擊特徵為每個 flow的destination port=80, packets=3, size=144bytes。雖然在 internet上，符合上述特性的正常行為還是存在（如使用ICQ），但是一般正常使用的電腦並不會在10分鐘內出現符合此特徵20次以上之流量，所以當網管人員發現貴單位電腦10分鐘內符合codered特徵的flow流量超過20次以上時就要加以檢查注意了。

6. 疑遭感染 DDoS http 病毒的統計分析中每個Flow代表一次destination port=80(http)的行為，如果10分鐘內Flows數超過1000，除非是proxy server，很有可能該主機已遭Nimda感染或是其它會送出大量http攻擊封包的病毒，請儘快檢查。
而下列情況也應予以考慮:
(1)若該主機是proxy，10分鐘內的flow數若超過10000的話，不是已遭病毒感染就是proxy設定不佳或是被當成攻擊別人主機的跳板。
(2)若該主機有架設apache http server，若感染Slapper Worm亦會送出大量http封包，請網管人員務必儘快檢查。

7. SMTP流量之分析統計中每個每個Flow代表一次destination port=25(SMTP)的行為也就是寄一封e-mail的行為。網管人員要注意的是：是否有非貴單位預設之SMTP主機出現寄發e-mail行為及SMTP主機之flow量是否持續不斷大量寄發e-mail。

8. Scan Port 137-139 流量統計中每個每個Flow代表一次destination port=137,138,139(NETBIOS Name Service 網路上的芳鄰 or net use...)的行為，如果10分鐘內Flows數超過100，代表該主機正在進行scan port 137,138,139 的動作，不是被安裝後門程式就是有人利用scan port的軟體正在嘗試入侵別人的主機，請網管人員儘快檢查。(2002.12.30修改)

9. Slapper Worm 它會入侵啟動mod_ssl 的apache web server，目前又增加了二種病毒變形。因此目前網路中心關於slapper wrom的統計以slapper會使用的udp+來源port及目的port=(1812,1978,4156,2002)作為判斷標準，因這些port在正常情形下很少使用，所以若是十分鐘內flow量超過1000便可能已經中毒，煩請網管人員儘快處理。(2002.12.15)

10. DDoS dp445 會持續送出大量TCP port=445 packets=2 size=96 封包，DDoS dp445解決方法，感謝社口國小黃子欣老師提供的訊息。(2004.3.3)

11. DDoS UDP destination port=1434 及 1433 ，會在網路上大量發送攻擊封包的情形,請各單位注意!!!為Microsoft-SQL server的問題,所以請有安裝MS-SQL server的電腦儘速下載更新漏洞修正程式及serveic pack及未設定sa密碼請儘速設定.(2003.1.26 新增)
病毒名稱為DDOS_SQLP1434.A, 病毒是針對微軟關聯式資料庫軟體SQL Server 2000版本的安全設計漏洞攻擊,可上趨勢科技下載解毒程式和微軟下載SQL Server 2000 SP3及更新程式(2003.1.26 新增)

12. 「疾風病毒」WORM_MSBLAST.A,B,C及D，會利用大量icmp封包攻擊網路packet大小為92byte，請各單位持續注意。縣網已將此攻擊類型加入鎖定的範圍，網管人員使用ping時，請避免十分鐘內超過1000次，以免被縣網偵測程式誤判！(20030820)
趨勢科技關於WORM_MSBLAST.D的解決方案(20030905)

13. SSH Attack ,會利用大量ssh以暴力方式攻擊取得root密碼。

14. 企圖登入縣網電腦對於縣網中心管轄之電腦，利用ssh方式登入失敗達九次；若登入之使用者不存在，則錯誤達六次即列入封鎖名單。