- Аналізування локальної мережі. пасивний метод Навіщо аналізувати мережу, питання, думаю, риторичне:...
- Аналізування локальної мережі. пасивний метод
Аналізування локальної мережі. пасивний метод
Навіщо аналізувати мережу, питання, думаю, риторичне: цілі можуть переслідуватися найрізноманітніші, наприклад, щоб грамотно налаштувати систему безпеки або щоб визначити рівень оптимізації топології. Зрештою, аналізувати мережу може зловмисник для пошуку вразливих місць.
Пасивний аналіз мережі полягає в аналізі трафіку, архівів пакунків, що виходять від вузлів мережі для визначення їх складових, активних сполук, які працюють протоколів, використовуваних портів і т.п. Пасивний аналіз мережі дуже легко визначається, проте він вже досить довгий час є одним з найбільш поширених методів для визначення топології мережі і побудови карт. Пасивний аналіз також дозволяє визначити операційну систему, яка встановлена на досліджуваному хості, за допомогою протоколу TCP / IP. Для цього використовується технологія, яку вперше реалізував Майкл Залевський у своїй утиліті p0f v 2.0.8, вона до цих пір активно використовується багатьма мережевими адміністраторами.
Теоретична частина vs. практична
Пасивний метод аналізу дуже схожий на активний. Відмінності в тому, що активний метод має на увазі бомбардування вузла мережі пакетами, а пасивний просто збирає відповіді, які виходять від активних вузлів мережі. Таким чином, активну частину процесу аналізу виконує не сам аналізатор, а іншу програму.
У порівнянні з активним методом аналізу мережі, пасивний має ряд переваг. Першим і, мабуть, найвагомішим є не генерування "холостого трафіку" в мережі при аналізі, що позитивно позначається на пропускній спроможності, особливо якщо вона фізично невелика. Також пасивний аналіз не провокує системи виявлення вторгнень, тому що працює, аналізуючи природний трафік. Крім того, він здатний в деяких випадках виявляти брандмауери і навіть характеризувати хости, що знаходяться за ними. Однак при всіх позитивних сторонах є і недоліки, як же без них :). Мабуть, головний недолік - це порівняно незручне розгортання системи аналізу. Оскільки від адміністратора потрібно розташувати апаратний або програмний трафік таким чином, щоб через нього проходив корисний трафік, в іншому випадку нічого не вийде.
Щоб склалося враження, подивимося на програмний аналізатор трафіку Ethereal, який покликаний істотно спростити аналіз пакетів адміністратором мережі. Програма швидко класифікує пакети і розподіляє по групах. Також відмінно реалізовані фільтри, що дозволяють зробити вибірку пакетів, спираючись на певні характеристики. Оскільки трафік аналізується згодом безпосередньо системним адміністратором, то останнім необхідно знати те, які, власне, служби працюють з якими портами, а інакше весь захід буде безглуздим.
Кожна служба зазвичай працює зі стандартним для неї портом, такі порти призначаються Internet Assigned Numbers Authority і описані в RFC для TCP / IP служб. Що стосується протоколів не настільки поширених або зовсім використовуваних шкідливим програмним забезпеченням або хакерами, то їх вивчити можна, вдавшись до допомоги Internet Storm Center.
Ще одна тонкість пасивного аналізу полягає в поділі клієнта і сервера. Це можна зробити, якщо звернутися до деякої статистикою специфікацій пакетів, що виходять від сервера. Зазвичай сервер шле пакети на порт, що належить службі. Наприклад, якщо є TCP запит і він відправлений на 80 порт, то, значить, ви маєте справу з web-сервером.
Є можливість отримати деяку інформацію про инсталлированной на хост операційній системі. Це можливо завдяки тому, що TCP / IP fingerprinting працює практично ідентично як в пасивному, так і в активному режимах. Можливість визначити ОС дає той факт, що в різних системах по-різному реалізований TCP / IP стек. Є чотири параметри, які постійно змінюються, в залежності від встановленої операційної системи, до них відносяться: TOS, розмір вікна, TTL, DF. Саме аналіз цих значень дозволить нам судити про працюючої на хості операционке. Програма p0f 2.0 ці параметри розширює і дає ще більш точний і чіткий результат.
При повторному запуску p0f 2.0 ми отримаємо результат обробки трафіку web-сервера, який, як виявилося, працює на фрюше.
Що може
Тепер пропоную спробувати визначити ті ситуації і варіанти, в яких пасивний аналіз локальної мережі може стати в нагоді. Проведемо свого роду конкретизацію.
Першою хотів би виділити корисність техніки при запобіганні атак хакерів або шкідливого програмного забезпечення. Техніка пасивного аналізу має на увазі аналіз трафіку адміністратором, а, значить, виділення і, згодом, виняток паразитного трафіку, причиною якого може бути і атака. Також позитивну роль пасивний аналіз зіграє і при реагуванні на злом або атаку. У такій ситуації він дозволить дати досить стабільну оцінку ситуації і отримати можливу відповідь на питання про реалізацію і проведенні атаки.
Пасивний аналіз може стати ключовою ланкою в організації захисту від витоку інформації. Це можливо завдяки постійному контролю пакетів, при цьому контролю з боку людини, що істотно знижує помилки і помилкові спрацьовування.
Пасивний аналіз дозволяє виявити недозволені служби та інші аномальні поведінки користувачів в мережі практично миттєво. Простий збір пакетів за допомогою Ethereal або будь-який інший програми спостереження за мережею буде визначати наявність передачі потоків даних, відкритих файлів в Peer-to-peer мережах, ігрової активності та інші джерела несанкціонованого використання мережі. Найпростіший спосіб зробити це - використовувати Ethereal з фільтром пакетів на певний IP-адреса внутрішньої мережі, а потім відсортувати по портах TCP або UDP. У більшості випадків ви побачите загальний набір служб, які легко ідентифікувати як сприятливі. Ці TCP-порти, як правило, використовуються операційними системами для роботи в мережі і типовими службами (DNS, FTP, HTTP і т.д.). Головне - це порівняти джерела, певні вами як авторизовані ресурси, з отриманими в результаті пасивного аналізу. Зрештою, чому б Трояну не використовувати порт 80 замість довільно обраних ефемерних портів.
Ну і наостанок відзначу, що пасивний аналіз дозволяє системному адміністратору бути постійно в курсі ситуації, яка має місце в локальній мережі. Це, мабуть, найбільший плюс техніки пасивного аналізу мережі. При цьому обізнаність не несе за собою додаткового навантаження на пропускну здатність мережі, що робить перспективу ще більш смачною.
Exit
Незважаючи на очевидні плюси техніки пасивного аналізу, багато адміни недолюблюють його через клопітність. Словом, якщо ж вам потрібен аналіз, то проведіть активний за допомогою, скажімо, XSpider 7.5. Однак це трохи не так виглядає, втім, я все розписав. Висновки робіть самі.
Євген КУЧУК,
SASecurity gr., sa-sec.org
Аналізування локальної мережі. пасивний метод
Навіщо аналізувати мережу, питання, думаю, риторичне: цілі можуть переслідуватися найрізноманітніші, наприклад, щоб грамотно налаштувати систему безпеки або щоб визначити рівень оптимізації топології. Зрештою, аналізувати мережу може зловмисник для пошуку вразливих місць.
Пасивний аналіз мережі полягає в аналізі трафіку, архівів пакунків, що виходять від вузлів мережі для визначення їх складових, активних сполук, які працюють протоколів, використовуваних портів і т.п. Пасивний аналіз мережі дуже легко визначається, проте він вже досить довгий час є одним з найбільш поширених методів для визначення топології мережі і побудови карт. Пасивний аналіз також дозволяє визначити операційну систему, яка встановлена на досліджуваному хості, за допомогою протоколу TCP / IP. Для цього використовується технологія, яку вперше реалізував Майкл Залевський у своїй утиліті p0f v 2.0.8, вона до цих пір активно використовується багатьма мережевими адміністраторами.
Теоретична частина vs. практична
Пасивний метод аналізу дуже схожий на активний. Відмінності в тому, що активний метод має на увазі бомбардування вузла мережі пакетами, а пасивний просто збирає відповіді, які виходять від активних вузлів мережі. Таким чином, активну частину процесу аналізу виконує не сам аналізатор, а іншу програму.
У порівнянні з активним методом аналізу мережі, пасивний має ряд переваг. Першим і, мабуть, найвагомішим є не генерування "холостого трафіку" в мережі при аналізі, що позитивно позначається на пропускній спроможності, особливо якщо вона фізично невелика. Також пасивний аналіз не провокує системи виявлення вторгнень, тому що працює, аналізуючи природний трафік. Крім того, він здатний в деяких випадках виявляти брандмауери і навіть характеризувати хости, що знаходяться за ними. Однак при всіх позитивних сторонах є і недоліки, як же без них :). Мабуть, головний недолік - це порівняно незручне розгортання системи аналізу. Оскільки від адміністратора потрібно розташувати апаратний або програмний трафік таким чином, щоб через нього проходив корисний трафік, в іншому випадку нічого не вийде.
Щоб склалося враження, подивимося на програмний аналізатор трафіку Ethereal, який покликаний істотно спростити аналіз пакетів адміністратором мережі. Програма швидко класифікує пакети і розподіляє по групах. Також відмінно реалізовані фільтри, що дозволяють зробити вибірку пакетів, спираючись на певні характеристики. Оскільки трафік аналізується згодом безпосередньо системним адміністратором, то останнім необхідно знати те, які, власне, служби працюють з якими портами, а інакше весь захід буде безглуздим.
Кожна служба зазвичай працює зі стандартним для неї портом, такі порти призначаються Internet Assigned Numbers Authority і описані в RFC для TCP / IP служб. Що стосується протоколів не настільки поширених або зовсім використовуваних шкідливим програмним забезпеченням або хакерами, то їх вивчити можна, вдавшись до допомоги Internet Storm Center.
Ще одна тонкість пасивного аналізу полягає в поділі клієнта і сервера. Це можна зробити, якщо звернутися до деякої статистикою специфікацій пакетів, що виходять від сервера. Зазвичай сервер шле пакети на порт, що належить службі. Наприклад, якщо є TCP запит і він відправлений на 80 порт, то, значить, ви маєте справу з web-сервером.
Є можливість отримати деяку інформацію про инсталлированной на хост операційній системі. Це можливо завдяки тому, що TCP / IP fingerprinting працює практично ідентично як в пасивному, так і в активному режимах. Можливість визначити ОС дає той факт, що в різних системах по-різному реалізований TCP / IP стек. Є чотири параметри, які постійно змінюються, в залежності від встановленої операційної системи, до них відносяться: TOS, розмір вікна, TTL, DF. Саме аналіз цих значень дозволить нам судити про працюючої на хості операционке. Програма p0f 2.0 ці параметри розширює і дає ще більш точний і чіткий результат.
При повторному запуску p0f 2.0 ми отримаємо результат обробки трафіку web-сервера, який, як виявилося, працює на фрюше.
Що може
Тепер пропоную спробувати визначити ті ситуації і варіанти, в яких пасивний аналіз локальної мережі може стати в нагоді. Проведемо свого роду конкретизацію.
Першою хотів би виділити корисність техніки при запобіганні атак хакерів або шкідливого програмного забезпечення. Техніка пасивного аналізу має на увазі аналіз трафіку адміністратором, а, значить, виділення і, згодом, виняток паразитного трафіку, причиною якого може бути і атака. Також позитивну роль пасивний аналіз зіграє і при реагуванні на злом або атаку. У такій ситуації він дозволить дати досить стабільну оцінку ситуації і отримати можливу відповідь на питання про реалізацію і проведенні атаки.
Пасивний аналіз може стати ключовою ланкою в організації захисту від витоку інформації. Це можливо завдяки постійному контролю пакетів, при цьому контролю з боку людини, що істотно знижує помилки і помилкові спрацьовування.
Пасивний аналіз дозволяє виявити недозволені служби та інші аномальні поведінки користувачів в мережі практично миттєво. Простий збір пакетів за допомогою Ethereal або будь-який інший програми спостереження за мережею буде визначати наявність передачі потоків даних, відкритих файлів в Peer-to-peer мережах, ігрової активності та інші джерела несанкціонованого використання мережі. Найпростіший спосіб зробити це - використовувати Ethereal з фільтром пакетів на певний IP-адреса внутрішньої мережі, а потім відсортувати по портах TCP або UDP. У більшості випадків ви побачите загальний набір служб, які легко ідентифікувати як сприятливі. Ці TCP-порти, як правило, використовуються операційними системами для роботи в мережі і типовими службами (DNS, FTP, HTTP і т.д.). Головне - це порівняти джерела, певні вами як авторизовані ресурси, з отриманими в результаті пасивного аналізу. Зрештою, чому б Трояну не використовувати порт 80 замість довільно обраних ефемерних портів.
Ну і наостанок відзначу, що пасивний аналіз дозволяє системному адміністратору бути постійно в курсі ситуації, яка має місце в локальній мережі. Це, мабуть, найбільший плюс техніки пасивного аналізу мережі. При цьому обізнаність не несе за собою додаткового навантаження на пропускну здатність мережі, що робить перспективу ще більш смачною.
Exit
Незважаючи на очевидні плюси техніки пасивного аналізу, багато адміни недолюблюють його через клопітність. Словом, якщо ж вам потрібен аналіз, то проведіть активний за допомогою, скажімо, XSpider 7.5. Однак це трохи не так виглядає, втім, я все розписав. Висновки робіть самі.
Євген КУЧУК,
SASecurity gr., sa-sec.org
Аналізування локальної мережі. пасивний метод
Навіщо аналізувати мережу, питання, думаю, риторичне: цілі можуть переслідуватися найрізноманітніші, наприклад, щоб грамотно налаштувати систему безпеки або щоб визначити рівень оптимізації топології. Зрештою, аналізувати мережу може зловмисник для пошуку вразливих місць.
Пасивний аналіз мережі полягає в аналізі трафіку, архівів пакунків, що виходять від вузлів мережі для визначення їх складових, активних сполук, які працюють протоколів, використовуваних портів і т.п. Пасивний аналіз мережі дуже легко визначається, проте він вже досить довгий час є одним з найбільш поширених методів для визначення топології мережі і побудови карт. Пасивний аналіз також дозволяє визначити операційну систему, яка встановлена на досліджуваному хості, за допомогою протоколу TCP / IP. Для цього використовується технологія, яку вперше реалізував Майкл Залевський у своїй утиліті p0f v 2.0.8, вона до цих пір активно використовується багатьма мережевими адміністраторами.
Теоретична частина vs. практична
Пасивний метод аналізу дуже схожий на активний. Відмінності в тому, що активний метод має на увазі бомбардування вузла мережі пакетами, а пасивний просто збирає відповіді, які виходять від активних вузлів мережі. Таким чином, активну частину процесу аналізу виконує не сам аналізатор, а іншу програму.
У порівнянні з активним методом аналізу мережі, пасивний має ряд переваг. Першим і, мабуть, найвагомішим є не генерування "холостого трафіку" в мережі при аналізі, що позитивно позначається на пропускній спроможності, особливо якщо вона фізично невелика. Також пасивний аналіз не провокує системи виявлення вторгнень, тому що працює, аналізуючи природний трафік. Крім того, він здатний в деяких випадках виявляти брандмауери і навіть характеризувати хости, що знаходяться за ними. Однак при всіх позитивних сторонах є і недоліки, як же без них :). Мабуть, головний недолік - це порівняно незручне розгортання системи аналізу. Оскільки від адміністратора потрібно розташувати апаратний або програмний трафік таким чином, щоб через нього проходив корисний трафік, в іншому випадку нічого не вийде.
Щоб склалося враження, подивимося на програмний аналізатор трафіку Ethereal, який покликаний істотно спростити аналіз пакетів адміністратором мережі. Програма швидко класифікує пакети і розподіляє по групах. Також відмінно реалізовані фільтри, що дозволяють зробити вибірку пакетів, спираючись на певні характеристики. Оскільки трафік аналізується згодом безпосередньо системним адміністратором, то останнім необхідно знати те, які, власне, служби працюють з якими портами, а інакше весь захід буде безглуздим.
Кожна служба зазвичай працює зі стандартним для неї портом, такі порти призначаються Internet Assigned Numbers Authority і описані в RFC для TCP / IP служб. Що стосується протоколів не настільки поширених або зовсім використовуваних шкідливим програмним забезпеченням або хакерами, то їх вивчити можна, вдавшись до допомоги Internet Storm Center.
Ще одна тонкість пасивного аналізу полягає в поділі клієнта і сервера. Це можна зробити, якщо звернутися до деякої статистикою специфікацій пакетів, що виходять від сервера. Зазвичай сервер шле пакети на порт, що належить службі. Наприклад, якщо є TCP запит і він відправлений на 80 порт, то, значить, ви маєте справу з web-сервером.
Є можливість отримати деяку інформацію про инсталлированной на хост операційній системі. Це можливо завдяки тому, що TCP / IP fingerprinting працює практично ідентично як в пасивному, так і в активному режимах. Можливість визначити ОС дає той факт, що в різних системах по-різному реалізований TCP / IP стек. Є чотири параметри, які постійно змінюються, в залежності від встановленої операційної системи, до них відносяться: TOS, розмір вікна, TTL, DF. Саме аналіз цих значень дозволить нам судити про працюючої на хості операционке. Програма p0f 2.0 ці параметри розширює і дає ще більш точний і чіткий результат.
При повторному запуску p0f 2.0 ми отримаємо результат обробки трафіку web-сервера, який, як виявилося, працює на фрюше.
Що може
Тепер пропоную спробувати визначити ті ситуації і варіанти, в яких пасивний аналіз локальної мережі може стати в нагоді. Проведемо свого роду конкретизацію.
Першою хотів би виділити корисність техніки при запобіганні атак хакерів або шкідливого програмного забезпечення. Техніка пасивного аналізу має на увазі аналіз трафіку адміністратором, а, значить, виділення і, згодом, виняток паразитного трафіку, причиною якого може бути і атака. Також позитивну роль пасивний аналіз зіграє і при реагуванні на злом або атаку. У такій ситуації він дозволить дати досить стабільну оцінку ситуації і отримати можливу відповідь на питання про реалізацію і проведенні атаки.
Пасивний аналіз може стати ключовою ланкою в організації захисту від витоку інформації. Це можливо завдяки постійному контролю пакетів, при цьому контролю з боку людини, що істотно знижує помилки і помилкові спрацьовування.
Пасивний аналіз дозволяє виявити недозволені служби та інші аномальні поведінки користувачів в мережі практично миттєво. Простий збір пакетів за допомогою Ethereal або будь-який інший програми спостереження за мережею буде визначати наявність передачі потоків даних, відкритих файлів в Peer-to-peer мережах, ігрової активності та інші джерела несанкціонованого використання мережі. Найпростіший спосіб зробити це - використовувати Ethereal з фільтром пакетів на певний IP-адреса внутрішньої мережі, а потім відсортувати по портах TCP або UDP. У більшості випадків ви побачите загальний набір служб, які легко ідентифікувати як сприятливі. Ці TCP-порти, як правило, використовуються операційними системами для роботи в мережі і типовими службами (DNS, FTP, HTTP і т.д.). Головне - це порівняти джерела, певні вами як авторизовані ресурси, з отриманими в результаті пасивного аналізу. Зрештою, чому б Трояну не використовувати порт 80 замість довільно обраних ефемерних портів.
Ну і наостанок відзначу, що пасивний аналіз дозволяє системному адміністратору бути постійно в курсі ситуації, яка має місце в локальній мережі. Це, мабуть, найбільший плюс техніки пасивного аналізу мережі. При цьому обізнаність не несе за собою додаткового навантаження на пропускну здатність мережі, що робить перспективу ще більш смачною.
Exit
Незважаючи на очевидні плюси техніки пасивного аналізу, багато адміни недолюблюють його через клопітність. Словом, якщо ж вам потрібен аналіз, то проведіть активний за допомогою, скажімо, XSpider 7.5. Однак це трохи не так виглядає, втім, я все розписав. Висновки робіть самі.
Євген КУЧУК,
SASecurity gr., sa-sec.org