Come faccio a identificare una porta / protocollo sconosciuto che viene prelevato dal mio IDS?

Vediamo, questo dovrebbe essere facile: leggi una buona carta come Classificazione del traffico offline / in tempo reale utilizzando l'apprendimento semi-supervisionato

Quindi magari mescolare alcune conoscenze comprendendo completamente una singola lettura attraverso Tecniche statistiche per la sicurezza delle reti (a buon mercato, solo $ 160 su Amazon)

Quindi attiva il tuo editor di testo preferito e codifica un po ', ma utilizza RapidMiner o Weka perché, beh, codificare quegli algoritmi è troppo facile .

Finalmente impiega un paio d'ore a sintonizzare gli algoritmi e poi tutto il tuo set.

Sarcasmo a parte, i passaggi sopra delineano un modo accademicamente popolare per risolvere in modo creativo molti problemi difficili in sicurezza. Vorrei poter dire che potrei fare quanto sopra con competenza - forse puoi scrivere uno strumento per farlo!

Vorrei iniziare con la lista di IANA qui . Successivamente vorrei indagare l'host (s) nella rete che il traffico sta fluendo da / a per cercare di determinare l'applicazione che è responsabile per il traffico. Se lo trovi nella lista IANA, questo è solo un passaggio di verifica. Se il traffico è coerente e non dannoso, dovresti essere in grado di capire quale applicazione sta ricevendo / generando il traffico usando netstat sull'host.

Usiamo Amap da The Hacker's Choice. Se qualcuno cerca di offuscare un servizio cambiando il suo numero di porta, Amap lo identificherà. Se si tratta di un protocollo che Amap non conosce, allora sei ancora SOL.

link

Amap is a next-generation tool for assisting network penetration testing. It performs fast and reliable application protocol detection, independant on the TCP/UDP port they are being bound to.