то первая из трех глав, в которых обсуждаются фильтры и сигнатуры, предназначенные для обнаружения- нестандартного трафика. Для подробного обсуждения конкретных фильтров и сигнатур есть несколько причин. Первая из них- эти сигнатуры предоставляются бесплатно и доступны для широкого круга пользователей. Вторая причина заключается в том, что создано такое большое количество программных пакетов систем обнаружения вторжений, что рассмотреть их всех просто невозможно, из-за чего последуют обвинения в предвзятости. В качестве разумного компромисса мы решили посвятить эту главу сигнатурам TCPdump, а две следующие - сигнатурам Snort.

В этой главе обсуждается, каким образом с помощью фильтров можно выбрать определенные записи из отчета TCPdump. В следующей главе наши читатели познакомятся с бесплатной сетевой системой обнаружения вторжений Snort и ее сигнатурами. В последней из трех глав этой части изложена дополнительная информация о составлении сигнатур Snort.

Знаменитая программа TCPdump поставляется совместно с расширенным языком написания фильтров, который позволяет исследовать значения каждого поля, комбинации полей или даже отдельных битов IP-дейтаграмм. Если вам нравится решать загадки и вы не боитесь работы, то можете использовать фильтры TCPdump для обнаружения любого необычного трафика. Однако это средство не для тех, кто не хочет задумываться. Если вы предпочитаете получить готовое решение, то лучше будет использовать коммерческие программы с удобными графическими интерфейсами и предопределенными фильтрами.

В данной главе мы расскажем об использовании программы TCPdump и ее фильтров для обнаружения необычного сетевого трафика. TCPdump является ядром системы обнаружения вторжений Shadow, поэтому мы рекомендуем загрузить последнюю версию Shadow с сайта www.nswc.navy.mil/ISSEC/CID, чтобы изучить и улучшить исходные фильтры TCPdump. Shadow позаботится об автоматизации сборки и обработки трафика, а администратору останется только сконцентрироваться на создании собственных фильтров TCPdump для улучшения критериев отбора интересующего трафика.

В этой главе также рассмотрен алгоритм создания фильтров TCPdump. Изложены различные методы анализа битов и байтов IP-дейтаграмм с помощью этих фильтров. Примеры создания фильтров TCPdump покажут, как можно получать отчеты об интересующих событиях. Мы начнем с изучения самых простых, а завершим главу описанием более сложных и усовершенствованных фильтров.

Компьютер взломан | Обнаружение нарушений безопасности в сетях | Правила создания фильтров tcpdump


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июнь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс