it-swarm-es.com

¿Cómo identifico un puerto / protocolo desconocido que detecta mi IDS?

Buscar en Google un puerto y un protocolo conduce a una descripción concisa en el mejor de los casos, y una granja de enlaces en el caso promedio. La mayoría de los protocolos en puertos altos desconocidos y variados contienen poco o ningún texto sin formato y, a menudo, si el IDS se dispara en medio de una sesión, ni siquiera veo la configuración de la sesión.

Hay listas útiles de firmas de archivos que indican diferentes tipos de archivos. Nunca había visto algo como esto para los protocolos por encima de la capa de transporte, además de quizás el integrado en Wireshark.

¿Alguien sabe de una buena fuente de información para esto?

Otra opción sería un clasificador de aprendizaje automático para datos de red. He visto artículos que los describen y he visto proyectos para construir un comienzo, pero nunca encontré uno en una etapa de desarrollo utilizable.

7
user502

Veamos, esto debería ser fácil: lea un buen artículo como Clasificación de tráfico fuera de línea/en tiempo real usando aprendizaje semi-supervisado

Luego, tal vez combine algunos conocimientos de la comprensión total de una sola lectura Técnicas estadísticas para la seguridad de la red (barato, solo $ 160 en Amazon)

Luego, encienda su editor de texto favorito y codifique un poco, pero utilice RapidMiner o Weka porque, bueno, codificar esos algoritmos también es fácil.

Finalmente, dedique un par de horas a ajustar los algoritmos y luego todo listo.


Dejando a un lado el sarcasmo, los pasos anteriores describen una forma académicamente popular de resolver creativamente muchos problemas difíciles de seguridad. Me gustaría poder decir que puedo hacer lo anterior con soltura, ¡tal vez puedas escribir una herramienta para hacerlo!

4
Tate Hansen

Comenzaría con la lista de IANA aquí . A continuación, investigaría los hosts de su red hacia los que fluye el tráfico para intentar determinar la aplicación responsable del tráfico. Si lo encuentra en la lista de IANA, este es solo un paso de verificación. Si el tráfico es constante y no malicioso, debería poder averiguar qué aplicación está recibiendo/generando el tráfico usando netstat en el Host.

3
sdanelson

Usamos Amap de The Hacker's Choice. Si alguien intenta ofuscar un servicio cambiando su número de puerto, Amap lo identificará. Si es un protocolo que Amap no conoce, entonces todavía eres SOL.

http://freeworld.thc.org/thc-amap/

Amap es una herramienta de próxima generación para ayudar a las pruebas de penetración de la red. Realiza una detección de protocolo de aplicación rápida y confiable, independientemente del puerto TCP/UDP al que están vinculados.

2
Weber