Редактирование: СБ, 05 лекция (от 28 марта)
Материал из eSyr's wiki.
Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы.
Правка может быть отменена. Пожалуйста, просмотрите сравнение версий, чтобы убедиться, что это именно те изменения, которые вас интересуют, и нажмите «Записать страницу», чтобы изменения вступили в силу.
Текущая версия | Ваш текст | ||
Строка 49: | Строка 49: | ||
Чтоже из себя представляют сигнатуры? | Чтоже из себя представляют сигнатуры? | ||
- | Рассмотрим на примере snort. | + | Рассмотрим на примере snort. |
- | Простые мэ работают с данными заголовка. Прелесть заголовков что они находятся по фикисрованному смещению. | + | Простые мэ работают с данными заголовка. Прелесть заголовков что они находятся по фикисрованному смещению. |
- | Правида обнаружения атак похожи на правила мэ. | + | Правида обнаружения атак похожи на правила мэ. |
- | alert -- это action, аля дроп, режект в мэ. Снорт позволяет несколько видов реагирования. Алерт базовый. Если посмтореть поглубже, то снорт умеет работать в качеств ипса. Тогд можно строитиь првила, которые говорят режект или ресет. | + | alert -- это action, аля дроп, режект в мэ. Снорт позволяет несколько видов реагирования. Алерт базовый. Если посмтореть поглубже, то снорт умеет работать в качеств ипса. Тогд можно строитиь првила, которые говорят режект или ресет. |
- | Дальше идет тип пртокола tcp, udp,icmp, arp в зависм от этого выбирается разборщик пакетов | + | Дальше идет тип пртокола tcp, udp,icmp, arp в зависм от этого выбирается разборщик пакетов |
- | Дальше параметры откуда куда. В точности соотв полям в правиле файерволла там может быть конкретный ип, ип с маской, список ипов. | + | Дальше параметры откуда куда. В точности соотв полям в правиле файерволла там может быть конкретный ип, ип с маской, список ипов. |
- | нпример 192.168..0.0/24 | + | нпример 192.168..0.0/24 |
- | Потом идет номер порта, | + | Потом идет номер порта, |
- | потом куда. | + | потом куда. |
- | Дальше начинается собтсвенн правило(за скобочками) | + | Дальше начинается собтсвенн правило(за скобочками) |
- | alert tcp $HOME_NET 16959->$EXTERNAL_NET any (msg "") | + | alert tcp $HOME_NET 16959->$EXTERNAL_NET any (msg "") |
- | в скобочкам можно использовать | + | в скобочкам можно использовать |
- | flow:to_server смотрим что только по направлению к серверу.(серерам считается то, кому приходит первый син). established -- смотрим только те пакеты, что идут после хендшейка. В пакетах от клиента к серверу содержится content:"tralala" | + | flow:to_server смотрим что только по направлению к серверу.(серерам считается то, кому приходит первый син). established -- смотрим только те пакеты, что идут после хендшейка. В пакетах от клиента к серверу содержится content:"tralala" |
- | контент раскрывается в мура лии в стрмп в зависмости от количества сигнатур. | + | контент раскрывается в мура лии в стрмп в зависмости от количества сигнатур. |
- | У коротких сигнатур в таком враинате может быть много ложных срабатываний. | + | У коротких сигнатур в таком враинате может быть много ложных срабатываний. |
- | Вторая сигнатура ещё хуже. Мы будем искать строчку pwd во всех патх, которые идут с сервера. Таки сигнатуры получают двумя способами -- сият аналитики и пишут, второй -- автоматиеская генерация. Иногда по виду можно понять поисхождение сигнатуры. | + | Вторая сигнатура ещё хуже. Мы будем искать строчку pwd во всех патх, которые идут с сервера. Таки сигнатуры получают двумя способами -- сият аналитики и пишут, второй -- автоматиеская генерация. Иногда по виду можно понять поисхождение сигнатуры. |
- | В снорте все правила сгруппировагы в файл, файлы хранятся в увидите. Каждый файл с рулсетом имеет имя в соотв с каим нибудь соображением, например все ицмп сигнатуры собраны в один icmp.rules. Есть толи http.rules с кучей автом сгенерированных сигнатур. Сейчас порядка 13000 сигнатур в базе.(Предсавтье что буедт если будет стрцмп 10000 на каждый тип сигнатур). А ип пкетов максимально может гнаться до 1.5 млн в секунду. | + | В снорте все правила сгруппировагы в файл, файлы хранятся в увидите. Каждый файл с рулсетом имеет имя в соотв с каим нибудь соображением, например все ицмп сигнатуры собраны в один icmp.rules. Есть толи http.rules с кучей автом сгенерированных сигнатур. Сейчас порядка 13000 сигнатур в базе.(Предсавтье что буедт если будет стрцмп 10000 на каждый тип сигнатур). А ип пкетов максимально может гнаться до 1.5 млн в секунду. |
- | Прежде чем начать анализ снорт подгружает всю базу и её анализирует. Сначала то что идет до скобочек. По ним он группирует правила в цепочки. Цепочки - сигнатуры обхединенные поп ростому признаку. Например все что касается ицпмп в одну цепочку. Здесь может быть какое-то условие, которое является общим для набора сигнатур внутри ицмп. Например может быть пачка сигнатур у которых совпадает откуда смотрим трафик, ответвляем. Получается дерево, у которого листья пачки сигнатур. Обход по этому дереву быстрее чем просто поиск правил по базе. | + | Прежде чем начать анализ снорт подгружает всю базу и её анализирует. Сначала то что идет до скобочек. По ним он группирует правила в цепочки. Цепочки - сигнатуры обхединенные поп ростому признаку. Например все что касается ицпмп в одну цепочку. Здесь может быть какое-то условие, которое является общим для набора сигнатур внутри ицмп. Например может быть пачка сигнатур у которых совпадает откуда смотрим трафик, ответвляем. Получается дерево, у которого листья пачки сигнатур. Обход по этому дереву быстрее чем просто поиск правил по базе. |
- | На слайде "анализ -задача реального времени" показано, что на гигабитном канале у нас всё плохо. Закон гилдера -- аналог закона мура для сетевых каналов. | + | На слайде "анализ -задача реального времени" показано, что на гигабитном канале у нас всё плохо. Закон гилдера -- аналог закона мура для сетевых каналов. |
- | Если посомтрим на сетевой интерфейс в одно м компьютере. Вначале 80ых и в начале 90 ых там 10 мегабитный езернет. В то время для обработки всего трафика можно было найти машину, которая это успевала бы делать. Сегодня затруднительно найти машину, которая могла бы просто так обработать 10 гигабитный канал(просто купить в магазине компьютер) Две причины -- увеличивается общая пропусканя способность, но плюс к этому частота событий в худешм случае растет так, что мы ожем получить на каждый пакет 700 в секунду. При этом время переключения котнекстов ос на порядок превосходит это время. То есть если на каждый пакет переключать контексты мы гаранировано не успеем это сделать. | + | Если посомтрим на сетевой интерфейс в одно м компьютере. Вначале 80ых и в начале 90 ых там 10 мегабитный езернет. В то время для обработки всего трафика можно было найти машину, которая это успевала бы делать. Сегодня затруднительно найти машину, которая могла бы просто так обработать 10 гигабитный канал(просто купить в магазине компьютер) Две причины -- увеличивается общая пропусканя способность, но плюс к этому частота событий в худешм случае растет так, что мы ожем получить на каждый пакет 700 в секунду. При этом время переключения котнекстов ос на порядок превосходит это время. То есть если на каждый пакет переключать контексты мы гаранировано не успеем это сделать. |
- | Системы обнаржуения атак сталиваются с кучй проблем -- обеспечение наджности, обеспечение базы сигнатур(как успеват за плохими ребятамми) кроме того -- как успевать переработать всю базу сигнатур за отведённое технологией время. | + | Системы обнаржуения атак сталиваются с кучй проблем -- обеспечение наджности, обеспечение базы сигнатур(как успеват за плохими ребятамми) кроме того -- как успевать переработать всю базу сигнатур за отведённое технологией время. |
- | Сигнатурники остановили свое развитие в плане методов лет 10 как. Алгоритмы остаются одними и ттеми же - регвыры, ахокарасик. Битва идет за упевать их обрабтывать с исп специализированного железа, параллельных вычислений итп. | + | Сигнатурники остановили свое развитие в плане методов лет 10 как. Алгоритмы остаются одними и ттеми же - регвыры, ахокарасик. Битва идет за упевать их обрабтывать с исп специализированного железа, параллельных вычислений итп. |
- | Системы обнаружения аномалий использутся для защиты от ддос атак. Как правило ситуация такая - у вас есть сеть и один сервер с которого вы идёте в интернет. И вы должны не пропустить трафик атакующего как можно раньше, например на стороне проайдера. | + | Системы обнаружения аномалий использутся для защиты от ддос атак. Как правило ситуация такая - у вас есть сеть и один сервер с которого вы идёте в интернет. И вы должны не пропустить трафик атакующего как можно раньше, например на стороне проайдера. |
Выбирается несколько характеристик, которые могли бы описыватьнормальное йункционирование сети: | Выбирается несколько характеристик, которые могли бы описыватьнормальное йункционирование сети: | ||
Регулярная структура по времени. её можно увидеть и глазами. Суть в том, чтобы увидеть кто из многчисленных клиетво сделал нехорошее. Исходя из этой задачи мы можем понять какие параметры нам надо собирать. | Регулярная структура по времени. её можно увидеть и глазами. Суть в том, чтобы увидеть кто из многчисленных клиетво сделал нехорошее. Исходя из этой задачи мы можем понять какие параметры нам надо собирать. | ||
- | Прежде всего количество переданных данных на сессию. Это параметр может сильно зависеть от того, что м защищаем -- веб сервис, сервис разадчи видео, аудио. Для тех ресурсов которые разадют регионально значимый трафик мы можем получить пользу если собиирать гео ип. Гео ип формируется на основе информаций от регистраторов. В случае когда у нас начинается ддос атака у нас есть гео распределение ботнета -- больше всего сша, потом китай, потом бразилия. Есть ботнеты которые только из бразилии... Учет статистики ведётся в течение длительного рвмени, причем с разбивкой по часам, по дням недели, по месяцам. отдельно для каждого интервала выстраиваются свои пороги. | + | Прежде всего |
+ | * количество переданных данных на сессию. Это параметр может сильно зависеть от того, что м защищаем -- веб сервис, сервис разадчи видео, аудио. Для тех ресурсов которые разадют регионально значимый трафик мы можем получить пользу если собиирать гео ип. Гео ип формируется на основе информаций от регистраторов. В случае когда у нас начинается ддос атака у нас есть гео распределение ботнета -- больше всего сша, потом китай, потом бразилия. Есть ботнеты которые только из бразилии... Учет статистики ведётся в течение длительного рвмени, причем с разбивкой по часам, по дням недели, по месяцам. отдельно для каждого интервала выстраиваются свои пороги. | ||
== Задание == | == Задание == |