Выявление сетевых атак в трафике

Galadriel75
Дата: 20.05.2015 16:38:58
Доброго всем времени суток!

Вот для меня новая тема, но надо сделать - отмониторить трафик - нет ли там каких сетевых угроз.
Почитал теорию, почитал про методы анализа и все такое... Но пока еще не знаю с чего начать и куда курить. Все, что я сделал для начала, это сетевой сниффер. Нашел какой-то прототип на винапи и прикрутил его на MFC - это самое простое. И вот у меня на руках поток байтов, проходящих через сетевую карту компьютера. Сниффер умеет перехватывать пакеты по куче протоколов - я знаю только ftp, udp, tcp и еще штуки 3, а снифер знает штук 20 протоколов и по всем хватает пакеты из сети. Ну и толку с этого... Перехватвает и перехватывает. А вот как в перехваченной информации найти сетевую атаку. Знаю, что это задача не самая простая, но мне бы что-то, что хоть отдаленно напоминает на поиск атак - хотя бы сигнатурный поиск или циклический анализатор трафика для поиска в нем аномалий поведения. Язык реализации не важен, важна внятная идея! Заранее спасибо за любую помощь!
Dimitry Sibiryakov
Дата: 20.05.2015 16:45:27

Для начала определись какой именно вид сетевых атак ты хочешь обнаруживать. Их много,
знаешь ли... SYN-flood, например, обнаруживается по количеству SYN-пакетов.

Posted via ActualForum NNTP Server 1.5

Dima T
Дата: 20.05.2015 16:49:07
Думаю надо начинать с изучения типов атак https://www.google.com/search?q=разновидности DDOS
Galadriel75
Дата: 20.05.2015 16:51:21
А если просто выявить аномалии в трафике?
Dimitry Sibiryakov
Дата: 20.05.2015 16:58:39

Galadriel75
А если просто выявить аномалии в трафике?

Атаки могут использовать и не аномальный траффик.

Posted via ActualForum NNTP Server 1.5

Galadriel75
Дата: 20.05.2015 17:02:36
Хорошо, атаки атаками, как тогда можно просто выявить значимые изменения сетевого трафика? Не атаки ловить, а просто ощутимые изменения трафика?
Dimitry Sibiryakov
Дата: 20.05.2015 17:08:39

Galadriel75
как тогда можно просто выявить значимые изменения сетевого трафика?

Определить мат.ожидание и дисперсию характеристик. Фиксировать отклонение характеристики,
превышающее Х процентов от номинала.

Posted via ActualForum NNTP Server 1.5

wst
Дата: 20.05.2015 17:12:51
Шаг 1. Выбрать несколько атак, которые будешь ловить в первую очередь.
Шаг 2. Для каждой - выписать признаки, пример "100 tcp syn за последнюю секунду".
Дальше остается оценить какие данные понадобятся для проверки этих признаков. Результатом всех описанных действий будет почти готовое ТЗ.
mayton
Дата: 20.05.2015 23:14:09
Galadriel75
Вот для меня новая тема, но надо сделать - отмониторить трафик - нет ли там каких сетевых угроз.
Почитал теорию, почитал про методы анализа и все такое... Но пока еще не знаю с чего начать и куда курить. Все, что я сделал для начала, это сетевой сниффер. Нашел какой-то прототип на винапи и прикрутил его на MFC - это самое простое.

И куда ты со своим MFC сунешся? Большинство серверов и маршрутизаторов стоят под *nix-ами.
MasterZiv
Дата: 20.05.2015 23:18:32
главный вид атак - DDoS - вообще никак не ловится, потому, что по сути это - штатное использование сервиса.
Ловится оно только на прикладном уровне, где можно например понял, что человек 200 раз пытается безуспешно залогиниться, а если трафик шифрованный, то вообще не ловится.