實作實驗

Function Pcap_GetMacAddress (P: pPcap; var ErrStr:string): TMacAddr ;取得 網卡 MAC 位址。

應用程式的開發以 Winpcap 所提供的函式開發。

啟動協防機制的流程如下：

1. LAN1 及 LAN2 中的 SPAs 已安裝 P2P Agent 程式。

2. LAN3 中的 PAA 發佈我們所開發的封包監聽與攔截應用程式 sockmon 及 虛 擬 閘 道 伺 服 器 應 用 程 式 spoof 。 發 佈 訊 息 為 ”Publish sockmon.exe;

Publish spoof.exe”。

3. 收到發佈訊息的 SPA 將，透過 P2P 下載服務找尋具有 Sockmon 及 spoof 等兩支協防應用程式的資源，並自動下載回本地端，以便執行協防應用 程式。

4. 自行開發的 TCP SYN 攻擊偵測軟體以 TCP SYN/ACK 每分鐘發送超過 100 次視為攻擊。

5. PAA 啟動所有的 Agent 執行 sockmon 應用程式。發佈訊息為 “RUN -1 sockmon.exe 140.126.130.41 80 3 “。 Sockmon 後面的參數分別為受攻擊 主機資訊。140.126.130.41：受害主機之 IP 位址。80:受攻擊 Port。 3 ： 執行 3 分鐘。。

6. 參與平台中的 Agents 收到啟動協防應用程式。並啟動 sockmon 應用程 式。而 Sockmon 應用程式會在執行時自動呼叫虛擬閘道伺服器應用程 式 spoof。欺騙所屬 LAN 中的其它主機。使協防平台中的所有 Agents 變成虛擬閘道伺服器，當同一區網內有兩台以上的 Agents 時，則以先 連線的 Agent 啟動虛擬閘道伺服器。應用程式會自動偵測受害主機是否 位於目前的 Agent 同屬的區域網路內，如果是的話，將自動變成受害主 機與其它主機間的虛擬主機。

網路攻擊流程如下：

1. 由各區網中的主機發動攻擊。

2. 攻擊發動 30 秒後，啟動攻擊偵測軟體。

3. 攻擊偵測軟體偵測到網路攻擊時，透過 PAA 送發協防命令。使其它區

網中的協防主機進行網路協防行為。

虛擬閘道伺服器啟動前，區網 LAN2 內的攻擊主機 Attacker 4 中的 ARP cache 表的內容，如圖 5-12 所示。

圖 5-12：虛擬閘道伺服器啟動前

虛擬閘道伺服器啟用後，區網 LAN2 內的攻擊主機 Attacker 4 中的 ARP cache 表的內容，如圖 5-13 所示

圖 5-13 虛擬閘道伺服器啟動後

比較圖 5-9 與圖 5-10，其中「140.126.130.44」是本協防系統中成員，擔任 SPA 角色，受害主機「140.126.130.41」在虛擬閘道伺服器啟動前的真實 MAC 位址為「00-02-b3-e9-c5-5b」。而在啟動虛擬閘道伺服器後，其 MAC 位址會變 更為本平台之 Agent 所屬之 MAC 位址「00-18-f3-33-e6-3b」。在受害主機所屬 的區域網路中，亦存在攻擊者時，攻擊者的攻擊封包將不會直接發送至受害主 機，而是先送至 Agent 後，再轉送至受害主機。在進行攔截時，使得受害主機 端的區域網路亦受本協防應用服務之保護。

參與平台中的各 Agents 開始進行 TCP SYN 封包攔截。執行三分鐘後自動 停止網路協防。攔截到的封包記錄會存放在各 Agent 端，並待協防服務完成 後，自動回傳給啟動協防服務的 PAA。

透過協防平台上的 Agent，將收集到的相關連線記錄檔案，回傳給 PAA，

其檔案內容如圖 5-14 所示。因一般的 IDS/IPS 系統，僅監聽對外連線，當攻擊 來源來自受害主機內部網路時，將無法發揮功效。

圖 5-14：內部網路監聽記錄

受害主機在單位時間內所收到的攻擊封包如圖 5-15 所示。攻擊發動後 30 秒啟動協防服務，在第 90 秒，發現 TCP SYN 攻擊，PAA 發送協防命令，使得 其它的 SPA 一同進行 TCP SYN 封包過濾。使得受害主機收到的 TCP SYN 封包 數量大幅降低。

受害主機單位時間TCP SYN封包數量

0 20 40 60 80 100 120 140

10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180

時間(Sec)

TCP SYN封包個數

圖 5-15：受害主機單位時間內所收到 TCP SYN 次數

受害主機所收到的 TCP SYN 封包累積數量如圖 5-16 所示。在協防系統啟動 後，使得受害主機所收到的 TCP SYN 封包累積數量的成長逐漸趨緩。透過本篇 論文所提的虛擬閘道伺服器，使得協防的範圍更加擴大，對於 DDoS 的攻擊有 較佳的防禦能力。

受害主機TCP SYN封包累積數量

0 200 400 600 800 1000 1200

10 20 30 40 50 60 70 80 90 100 110 120 130 140 150 160 170 180

時間(Sec)

TCP SYN封包數量

圖 5-16 ：受害主機所收到 TCP SYN 累積次數

第六章

結論

最普遍的個人電腦為主，我們希望所設計可共同協防的網路安全平台，可以像 分享檔案資源的 P2P 軟體，如 eMule、BT 等，被廣泛的應用並藉此平台開發更 多可用於協防的資源服務。將來更可將有助於防禦網路安全的 IDS/IDP，甚至 具有追蹤能力的路由器的資源，納入協防的平台，如此便可運用分散於網路上 可用的資源，讓惡意的網路行為，無所遁形。