利用第四章所建構的 SSH 字典攻擊偵測模組,我們以 2008 年 8 月 1 日至 2008 年 10 月 31 日為期兩個月的高屏澎區網核心路由器 NetFlow 資料,將高屏澎區網內兩個月 的 SSH 字典攻擊 IP 連線紀錄應用 SSH 字典攻擊追蹤演算法,找出高屏澎區網 SSH 字 典攻擊路徑拓樸關係圖。由於數量龐大無法以完整圖形呈現,本研究以部份拓樸關係圖 加以討論,並為了保護隱私,本研究皆以變數取代真實 IP 呈現。本研究觀察歸納 SSH 字典攻擊路徑拓樸關係圖,可獲得的網路管理資訊分別討論如下:
1. 出現於攻擊路徑拓樸關係圖上的兩個 IP 節點 S1_IP、S2_IP,如圖 5-1 所示,S1_IP 節點箭頭連線指向 S2_IP 節點,因為 SSH 字典攻擊偵測模組偵測到 S1_IP 為 SSH 客 戶端與 S2_IP 為 SSH 伺服器端於 2008 年 8 月 23 日的 SSH 傳輸流量為 SSH 字典攻 擊連線。S1_IP 攻擊者可能利用這次的 SSH 字典攻擊連線猜測出 S2_IP 伺服器的帳 號密碼,因此本研究推論該連線則可能為 S2_IP 遭受攻擊的網路連線,當攻擊路徑 拓樸關係出現像圖 5-1 的情形。
圖 5-1. SSH 字典攻擊連線示意圖
2. 可定義攻擊角色,攻擊路徑拓樸關係圖,如圖 5-2。在圖 5-2 中,我們觀察到 S1_IP
於 2008 年 8 月 23 日攻擊 S2_IP,S2_IP 又於 2008 年 8 月 25 日攻擊 S3_IP。發現 S1_IP 發動 SSH 字典攻擊 S2_IP 的時間早於 S2_IP 攻擊 S3_IP 的時間,並且攻擊時間相當 接近。因此,本研究推論 S1_IP 可能於 2008 年 8 月 23 日先成功入侵 S2_IP 後,於 兩天後 S1_IP 操縱 S2_IP 向 S3_IP 進行 SSH 字典攻擊。由於 S1_IP 為最早發動 SSH 字典攻擊的 IP,S1_IP 在攻擊角色中便扮演攻擊者的角色。S3_IP 為最晚被攻擊的節 點,S3_IP 攻擊角色中便扮演受害者角色。S2_IP 節點位於 S1_IP 與 S3_IP 中間,由 S1_IP 操縱 S2_IP 再攻擊 S3_IP,便在攻擊角色中扮演跳板的角色。由圖 5-2 進一步 歸納得出,若將攻擊路徑拓樸關係圖視為樹狀結構,則 IP 節點位於根節點為攻擊者 (如 S1_IP),而 IP 節點若位於葉節點為受害者(如 S3_IP),其餘位於根節點與葉節點 間的節點即可能為跳板(如 S2_IP)。
圖 5-2. 攻擊角色示意圖
3. 可歸納出網路上不同攻擊者所發動的 SSH 字典攻擊的攻擊範圍,如圖 5-3。圖 5-3 中 有 6 個節點,A1_IP、A2_IP、A3_IP、B1_IP、B2_IP 與 B3_IP,由圖 5-2 可得知,圖 5-3 中有兩組不同的攻擊角色示意圖。一組為 A1_IP、A2_IP 與 A3_IP,另一組為 B1_IP、B2_IP 與 B3_IP。A1_IP、A2_IP 與 A3_IP 這組的節點與 B1_IP、B2_IP 與 B3_IP 節點彼此組間節點都無連接的情形,表示 A1_IP 攻擊者與 A2_IP 跳板並無向 B1_IP、
B2_IP 與 B3_IP 發動 SSH 字典攻擊。表示不同的攻擊角色示意圖彼此之間若無節點 相連接,表示兩組的攻擊者或跳板並無向另一組的節點進行攻擊,兩組為各為不同 的攻擊者的攻擊範圍。因此,A1_IP 為根節點的樹狀結構子圖與 B1_IP 為根節點的
樹狀結構子圖可歸納出兩個不同的攻擊者所發動的 SSH 字典攻擊的攻擊範圍。到目 前為止,由於僅收集到高屏澎區網範圍的 NetFlow 資料,僅能呈現部份的攻擊路徑 拓樸關係。若欲進一步確認 A1_IP 與 B1_IP 是否分屬不同的攻擊發起端或 A_IP 與 B_IP 僅為同一攻擊者的跳板,則需更廣域的路由器 NetFlow 資料才能加以驗證。
圖 5-3. 攻擊範圍示意圖
4. 若發現攻擊路徑拓樸關係圖中有 IP 節點的內分支度(In-Degree)高,如圖 5-4 中的 T1_IP 節點。圖 5-4 中 T1_IP 節點分別於 2008 年 9 月 2 日至 11 日遭受 C1_IP、C2_IP、
C3_IP、C4_IP 與 C5_IP 節點 SSH 字典攻擊,表示 T1_IP 於 9 日內便遭受 5 次的 SSH 字典攻擊,被攻擊次數十分頻繁。本研究推論 T1_IP 節點所處的網路環境可能網路 安全防護措施較差,伺服器無限定 SSH 連線的網路範圍或無安裝稽核日誌檔軟體防 禦 SSH 字典攻擊,因此較易成為攻擊者攻擊的對象。但觀察攻擊路徑拓樸關係,T1_IP 並無再繼續發動 SSH 字典攻擊,推論 T1_IP 雖遭受 C1_IP、C2_IP 等 IP 進行 SSH 字 典攻擊,但 C1_IP、C2_IP 等 IP 攻擊者均無成功入侵 T1_IP,因此本研究推論 T1_IP 的帳號密碼應較不易破解或是具有其他安全防禦機制。若發現此攻擊路徑拓樸關係 出現時,本研究建議應通知 T1_IP 的伺服器管理者已經被 C1_IP、C2_IP 等攻擊者發 動過 SSH 字典攻擊,並且告知伺服器管理者限定 SSH 連線的網路範圍與設定阻擋 C1_IP、C2_IP 等攻擊者的防火牆規則。網路管理者應注意 C1_IP、C2_IP 等 IP 後續 的網路流量,可設定路由器的 ACL(Access Control List)規則阻擋 C1_IP、C2_IP 等 IP 向管理網路範圍內的網路連線,以避免後續 C1_IP、C2_IP 等 IP 進行其他網路攻擊
危及網路安全。
圖 5-4. 內分支度高的 IP 節點示意圖
5. 若發現攻擊路徑拓樸關係圖中 IP 節點的外分支度(Out-Degree)高,如圖 5-5 中 D1_IP 的 IP 節點,由攻擊路徑拓樸關係得知 D1_IP 於 2008 年 8 月 1 日各別向 E1_IP、E2_IP、
E3_IP、E4_IP 與 E5_IP 發動 SSH 字典攻擊。一天之內總共攻擊 5 次,攻擊次數十分 頻繁,若將圖 5-5 視為樹狀結構並定義其攻擊角色,位於根節點的 D1_IP,其攻擊角 色為攻擊者且為入侵來源,而 E1_IP、E2_IP、E3_IP、E4_IP 與 E5_IP 皆位於葉節點,
其攻擊角色為被攻擊者。由以上資訊進一步歸納 D1_IP 節點為攻擊者節點且發動 SSH 字典攻擊頻率較高,有可能影響管理網路範圍的其他開啟 SSH 服務的伺服器網路安 全。本研究建議發現此攻擊路徑拓樸關係時,若 D1_IP 非重要的伺服器,網路管理 者可使用路由器的 ACL 指令或 SNMP 的管理指令阻擋 D1_IP 對外的網路連線,並通 知 D1_IP 管理者,該 IP 已向其他網路上的伺服器發動網路攻擊。若 D1_IP 為重要的 伺服器,管理者可設定 D1_IP 對外流量的 QoS(Quality of Service),將非正常網路服 務流量的優先權降低,注意後續該節點的網路流量,避免該 IP 節點發動更多的網路 攻擊,攻擊其他伺服器。而若要確認 D_IP 是否為跳板或真正的攻擊發起端,則需更 廣域的路由器 NetFlow 資料,才能得知 D_IP 為跳板或真正的攻擊發起端。
圖 5-5. 外分支度的 IP 節點示意圖
6. 若發現攻擊路徑拓樸關係圖中 IP 節點的內分支度與外分支度皆高,如圖 5-6 中 F1_IP 的節點。圖 5-6 的攻擊路徑拓樸關係圖同時具有圖 5-4 內分支度高的節點(如 F1_IP) 與圖 5-5 外分支度高的節點(如 F1_IP)的攻擊路徑拓樸關係。F1_IP 節點同時具備為 攻擊者較易攻擊的對象也為攻擊頻率較高的攻擊者,可推測 F1_IP 攻擊角色為跳板。
由於 F1_IP 於 2008 年 9 月 4 日之後進行 SSH 字典攻擊,依攻擊路徑拓樸關係圖上攻 擊時間推測最有可能操縱 F1_IP 做為跳板進行 SSH 字典攻擊的 IP 為 G1_IP、G2_IP 與 G3_IP,因為 G1_IP、G2_IP 與 G3_IP 攻擊 F1_IP 的時間皆在 2008 年 9 月 4 日之
前,其中以 G3_IP 可能性最高,因為 G3_IP 攻擊 F1_IP 的攻擊時間為 2009 年 9 月 4 日與 F1_IP 開始攻擊的時間最接近。而 F1_IP 節點具有內分支度高與外分支度高的 IP 節點的特性,本研究建議若觀察到此攻擊路徑拓樸關係時,適合放置誘捕系統 (Honeypot)替換內分支度高與外分支度高的節點(如 F1_IP),應該可收集到各種不同 攻擊者利用 F1_IP 做為跳板進行網路攻擊的資訊,供管理者進一步分析後續這些攻 擊者操縱誘捕系統的攻擊資訊,瞭解攻擊者的攻擊行為模式。
圖 5-6. 內分支度高且外分支度也高的 IP 節點示意圖
7. 若發現攻擊路徑拓樸關係圖中 IP 節點的外分支度高且鄰近節點的外分支度也高,如 圖 5-7 中的 P1_IP 的 IP 節點。由圖 5-7 可推論出攻擊情境為 P1_IP 為攻擊者節點,
先向 Q1_IP 與 Q2_IP 發動 SSH 字典攻擊且成功入侵 Q1_IP 與 Q2_IP 伺服器後,操縱 Q1_IP 與 Q2_IP 做為跳板向 R1_IP、R2_IP 等伺服器發動 SSH 字典攻擊。因此,P1_IP 節點即為 NetFlow 資料中較早發動 SSH 字典攻擊的節點。進一步歸納,若將攻擊路 徑拓樸關係視為樹狀結構,外分支度高且鄰近節點的外分支度也高的 IP 節點通常位 於攻擊路徑拓樸關係的根節點(如 P1_IP),為網路中較早發動 SSH 字典攻擊的網路節 點。若攻擊者直接使用自家用電腦為直接攻擊發起端進行 SSH 字典攻擊,外分支度 高且鄰近節點的外分支度也高的 IP 節點即可能為攻擊者的真正來源攻擊發起端。但 外分支度高且鄰近節點的外分支度也高的 IP 節點也可能為攻擊者使用的跳板伺服 器。若要確認外分支度高且鄰近節點的外分支度也高的 IP 節點是否為真正的來源發 起端或僅是攻擊者所使用的跳板,則需更廣域的路由器 NetFlow 資料,才能得知是
否為跳板或真正的攻擊發起端。若外分支度高且鄰近節點的外分支度也高的 IP 節點 為攻擊者直接操控跳板的 IP 節點,本研究建議可持續監控攻擊路徑拓樸關係中所有 外分支度高且鄰近節點的外分支度也高的 IP 節點的網路流量資訊,攻擊者若再利用 該 IP 節點做為跳板進行網路攻擊時,就可追查到攻擊者來源 IP 位置,可採取進一步 的稽核與法律行動。
圖 5-7. 外分支度高且鄰近節點的外分支度也高的 IP 節點示意圖
本研究歸納兩個月高屏澎區網的攻擊路徑拓樸關係彙整 7 個攻擊路徑拓樸關係的並 且解釋其網路管理資訊意義。管理者可藉由比對其攻擊路徑拓樸關係瞭解目前管轄範圍 內 SSH 字典攻擊的攻擊路徑拓樸關係的網路管理資訊意義,針對特定攻擊路徑拓樸關 係的 IP 節點採取後續的行動,如放置誘捕系統、使用路由器 ACL 指令阻擋網路連線、
設定 QoS 與監控其網路流量等行為,以確保管轄網路範圍內的網路安全。
第6章 結論與未來研究方向
典攻擊 NetFlow 資料來源為高雄大學管理學院路由器所產生的 NetFlow 資料,未來研 究可嘗試收集更多不同型態的網路管理範圍 SSH 字典攻擊 NetFlow 資料來訓練 SSH 字典攻擊偵測模組,以驗證本研究所提出的方法在不同型態的網路環境下是否能具有 很好的偵測效力(2)本研究僅針對 SSH 協定偵測字典攻擊,後續研究可嘗試應用本研
典攻擊 NetFlow 資料來源為高雄大學管理學院路由器所產生的 NetFlow 資料,未來研 究可嘗試收集更多不同型態的網路管理範圍 SSH 字典攻擊 NetFlow 資料來訓練 SSH 字典攻擊偵測模組,以驗證本研究所提出的方法在不同型態的網路環境下是否能具有 很好的偵測效力(2)本研究僅針對 SSH 協定偵測字典攻擊,後續研究可嘗試應用本研