Выявление сетевых атак в трафике
Galadriel75
Дата: 20.05.2015 16:38:58
Доброго всем времени суток!
Вот для меня новая тема, но надо сделать - отмониторить трафик - нет ли там каких сетевых угроз.
Почитал теорию, почитал про методы анализа и все такое... Но пока еще не знаю с чего начать и куда курить. Все, что я сделал для начала, это сетевой сниффер. Нашел какой-то прототип на винапи и прикрутил его на MFC - это самое простое. И вот у меня на руках поток байтов, проходящих через сетевую карту компьютера. Сниффер умеет перехватывать пакеты по куче протоколов - я знаю только ftp, udp, tcp и еще штуки 3, а снифер знает штук 20 протоколов и по всем хватает пакеты из сети. Ну и толку с этого... Перехватвает и перехватывает. А вот как в перехваченной информации найти сетевую атаку. Знаю, что это задача не самая простая, но мне бы что-то, что хоть отдаленно напоминает на поиск атак - хотя бы сигнатурный поиск или циклический анализатор трафика для поиска в нем аномалий поведения. Язык реализации не важен, важна внятная идея! Заранее спасибо за любую помощь!
Dimitry Sibiryakov
Дата: 20.05.2015 16:45:27
Для начала определись какой именно вид сетевых атак ты хочешь обнаруживать. Их много,
знаешь ли... SYN-flood, например, обнаруживается по количеству SYN-пакетов.
Posted via ActualForum NNTP Server 1.5
Dima T
Дата: 20.05.2015 16:49:07
Galadriel75
Дата: 20.05.2015 16:51:21
А если просто выявить аномалии в трафике?
Dimitry Sibiryakov
Дата: 20.05.2015 16:58:39
Galadriel75 |
---|
А если просто выявить аномалии в трафике? |
Атаки могут использовать и не аномальный траффик.
Posted via ActualForum NNTP Server 1.5
Galadriel75
Дата: 20.05.2015 17:02:36
Хорошо, атаки атаками, как тогда можно просто выявить значимые изменения сетевого трафика? Не атаки ловить, а просто ощутимые изменения трафика?
Dimitry Sibiryakov
Дата: 20.05.2015 17:08:39
Galadriel75 |
---|
как тогда можно просто выявить значимые изменения сетевого трафика? |
Определить мат.ожидание и дисперсию характеристик. Фиксировать отклонение характеристики,
превышающее Х процентов от номинала.
Posted via ActualForum NNTP Server 1.5
wst
Дата: 20.05.2015 17:12:51
Шаг 1. Выбрать несколько атак, которые будешь ловить в первую очередь.
Шаг 2. Для каждой - выписать признаки, пример "100 tcp syn за последнюю секунду".
Дальше остается оценить какие данные понадобятся для проверки этих признаков. Результатом всех описанных действий будет почти готовое ТЗ.
mayton
Дата: 20.05.2015 23:14:09
Galadriel75 |
---|
Вот для меня новая тема, но надо сделать - отмониторить трафик - нет ли там каких сетевых угроз. Почитал теорию, почитал про методы анализа и все такое... Но пока еще не знаю с чего начать и куда курить. Все, что я сделал для начала, это сетевой сниффер. Нашел какой-то прототип на винапи и прикрутил его на MFC - это самое простое. |
И куда ты со своим MFC сунешся? Большинство серверов и маршрутизаторов стоят под *nix-ами.
MasterZiv
Дата: 20.05.2015 23:18:32
главный вид атак - DDoS - вообще никак не ловится, потому, что по сути это - штатное использование сервиса.
Ловится оно только на прикладном уровне, где можно например понял, что человек 200 раз пытается безуспешно залогиниться, а если трафик шифрованный, то вообще не ловится.