Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Flow-роrtscan






 

Цей модуль розроблений для виявлень роrtscans, заснованих на створенні потоку в flow препроцесорі. Метою є виявлення однієї -> багатьох хостів і одного -> багатьох сканувань портів.

Flow препроцесор як роrtscan визначник узятий з досвіду “spp_conversation/portscan2” створеним Jason Larsen і Jed Haile і “ipaudit” розробленим Jon Rifkin.

Ця підсистема стала дещо складніша, ніж передбачалося, але вона відмінно справляється з роботою пом'якшення помилкових позитивів від пристроїв, як, наприклад “squid-проксі”. Нова розробка також більш послідовна у використовуванні пам'яті порівняно з portscan1 або portscan2. Препроцесор також ігнорує одиночні syn повені порту, оскільки вони є роботами, не роrtscan.

Вимоги до пам'яті узяті від архітектури portscan2, хоча в flow-роrtscan перебуває трохи менше інформації для збереження. Нова архітектура діє по принципу кільцевого буфера. Коли сканер не був активним тривалий час, препроцесор тільки проводить відновлення, коли немає більше пам'яті для використовування.

Всі з попередніх методів для виявлення роrtscan в Snort засуджувалися і будуть виключені в найближчому майбутньому.

Flow препроцесор повинен бути доступний спершу для того, щоб flow-роrtscan функціонував належним чином.

Основними компонентами flow-роrtscan є:

1. scoreboards (табло)

Табло містить інформацію щодо шкали часу для єдиної ip адреси. Є два табло: одне для передавачів (вузли, які активні у вашій мережі) і один для сканерів (вузли, які звернулися до заздалегідь невідомого порту у вашій server-watch-net);

2. uniqueness tracker (винятковий мисливець)

Винятковий мисливець використовується, щоб визначити, чи повинно з'єднання вважатися як нове для конкретного ip. Він перевіряє чи зв'язок відповідає новому виду з'єднання для початкового ip за допомогою ігнорування початкового порту. Будь-яка зміна в sip, dip, ip_proto, і dport указує на новий унікальний зв'язок і буде оброблена надалі для таблиці статистики і оцінювання серверу. Це зберігає речі подібно web сторінці з 15 зображеннями від швидкого збільшення очок з великою кількістю доступів до одного і того ж серверу;

3. server statistics tracker (мисливець статистики серверу)

Використовується, щоб прослідити призначені потоки до “server-watchnet” і утримує “hitcounts” (число нападів) на число часу, за який конкретна служба була запитана з унікальними запитами з тих пір, як Snort була запущена. Цей “hitcount” (лічильник нападів) відстежується dip, dport, і protocol.

 

Якщо сервіс дуже популярний, з'єднання можуть ігноруватися для оцінювання за допомогою порівняння hitcount з “server-ignor-limit”. Якщо існує більше запитів до цього сервісу, ніж “server-ignore-limit”, то flow-роrtscan цілком проігнорує цей сервіс. Так само поступає “server-scanner-limit”, якщо запит до служби приймається, як очки сканера або як очки передавача.

Коли запит до сервісу не знаходиться в server-watchnet, це вважатиметься як очки передавача. Якщо не визначена server-watchnet (стежача мережа) всі попередження будуть попередженнями передавача.

 

 


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2025 год. (0.005 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал