封鎖異常行為

本節針對監測環境中所偵測到的異常行為，即時通訊、P2P 及限制網站存取，

如何以利用 ABBA System 進行封鎖做介紹。

（一）封鎖即時通訊

透過 ABBA System 的監測，我們發現當使用 Yahoo Messager 時，使用者會先 連接到即時通訊 Server，以下載好友名單及狀態。如果在其連接即時通訊 Server 之前，將即時通訊程式的連接封包加以封鎖，使客戶端無法連接即時通訊 Server，

即可封鎖住使用即時通訊的行為。以下為 Snort 偵測到 CHAT Yahoo Messenger Message 警告發生時，所連接的即時通訊 Server。

圖 40 即時通訊的 Server 列表

透過加入 Target_IP 將即時通訊 Server 寫入 guardian.target 中，當 Snort 偵測到有 CHAT Yahoo Messenger Message 警告發生時，即可透過 Guardain 呼叫 防火牆阻擋封包的傳送，阻止使用者與即時通訊 Server 連接。且因為只會封鎖住 即時通訊的 Server，因此並其他正常網路瀏覽，並不會因此而受到限制。

加入 Target_IP

（二）封鎖 P2P

由於使用 P2P 會直接對於網路頻寬造成重大的影響，且藉由 P2P 下載檔案的 同時，也同時分享本身電腦的檔案，容易造成個人資訊外洩及有侵犯著作權的問 題。因此，當發現校園內電腦有使用 P2P 程式下載檔案時，應立即監控其所有 IP 活動，並加以封鎖。利用 ABBA System 的事件 IP 統計模組，直接將發現使用 P2P 軟體傳輸檔案的 IP 加加入監控，並由監測／封鎖模組直接封鎖 IP 活動。

圖 41 加入監測 IP

圖 42 封鎖使用 P2P 軟體的 IP

由於 P2P 所連結下載檔案的電腦太多，因此直接將使用 P2P 傳輸檔案的電腦 IP 位址封鎖其所有封包，停止其所有網路活動，自然可阻止該 IP 與外部 IP 進行

（三）限制網站的存取

從 ABBA System 的事件 IP 統計模組中觀察，發現引發事件警訊的目的 IP，大 部分都是瀏覽網站所留下的紀錄。因此藉由引發警訊的事件 IP，我們可以藉由查 詢得知使用者瀏覽哪些網站。

在 2009 年 3 月 23 日，Snort 從 61.57.152.165 這個 IP 位址，偵測到了異常 的 ICMP 封包發送。經過查詢，發現此 IP 為一線上遊戲網站所使用。將該 IP 加入 監測名單，並透過 ABBA System 的監測封鎖模組，封鎖該 IP 網站的封包進入，以 限制該網站的存取。

圖 43 限制網站的存取

透過監控／封鎖模組限制遊戲網站的存取，可以避免學生因沈迷遊戲網站而 荒廢上課的學習，也可避免因安裝遊戲，連帶的也將後門程式一起安裝入電腦中，

減少電腦遭受入侵的機會。

第六章 結論

經由 ABBA System 分析 Snort Log，發現的確可以幫助網路管理人員省下許多察 看 Log 的時間，而且藉由觀察可以得知異常狀況，並藉由 ABBA System 的監控／ Iptables 為基礎，搭配 PHP 開發出 ABBA System，協助網路管理人員有效的從眾 多的警示訊息中分析出可疑的入侵行為，並透過防火牆加以封鎖。

在文檔中 以Snort偵測並封鎖網路異常行為之研究 (頁 59-62)