Come faccio a identificare una porta / protocollo sconosciuto che viene prelevato dal mio IDS?

7

Effettuare il googling di una porta e di un protocollo porta a una descrizione concisa al meglio ea una farm di collegamenti nel caso medio. La maggior parte dei protocolli su porte alte assortite e sconosciute contengono poco o nessun testo normale e spesso se l'ID scatta nel mezzo di una sessione non vedo nemmeno l'impostazione della sessione.

Ci sono utili elenchi di firme di file che denotano diversi tipi di file. Non ho mai visto qualcosa di simile per protocolli sopra il livello di trasporto, oltre a quello integrato in Wireshark.

Qualcuno sa di una buona fonte di informazioni per questo?

Un'altra opzione sarebbe un classificatore di apprendimento automatico per i dati di rete. Ho visto documenti che li descrivono e ho visto progetti per creare un inizio, ma non l'ho mai trovato in uno stadio di sviluppo utilizzabile.

    
posta user502 08.12.2010 - 22:23
fonte

3 risposte

4

Vediamo, questo dovrebbe essere facile: leggi una buona carta come Classificazione del traffico offline / in tempo reale utilizzando l'apprendimento semi-supervisionato

Quindi magari mescolare alcune conoscenze comprendendo completamente una singola lettura attraverso Tecniche statistiche per la sicurezza delle reti (a buon mercato, solo $ 160 su Amazon)

Quindi attiva il tuo editor di testo preferito e codifica un po ', ma utilizza RapidMiner o Weka perché, beh, codificare quegli algoritmi è troppo facile .

Finalmente impiega un paio d'ore a sintonizzare gli algoritmi e poi tutto il tuo set.

Sarcasmo a parte, i passaggi sopra delineano un modo accademicamente popolare per risolvere in modo creativo molti problemi difficili in sicurezza. Vorrei poter dire che potrei fare quanto sopra con competenza - forse puoi scrivere uno strumento per farlo!

    
risposta data 09.12.2010 - 06:04
fonte
3

Vorrei iniziare con la lista di IANA qui . Successivamente vorrei indagare l'host (s) nella rete che il traffico sta fluendo da / a per cercare di determinare l'applicazione che è responsabile per il traffico. Se lo trovi nella lista IANA, questo è solo un passaggio di verifica. Se il traffico è coerente e non dannoso, dovresti essere in grado di capire quale applicazione sta ricevendo / generando il traffico usando netstat sull'host.

    
risposta data 09.12.2010 - 03:05
fonte
2

Usiamo Amap da The Hacker's Choice. Se qualcuno cerca di offuscare un servizio cambiando il suo numero di porta, Amap lo identificherà. Se si tratta di un protocollo che Amap non conosce, allora sei ancora SOL.

link

Amap is a next-generation tool for assisting network penetration testing. It performs fast and reliable application protocol detection, independant on the TCP/UDP port they are being bound to.

    
risposta data 09.12.2010 - 08:04
fonte

Leggi altre domande sui tag