Rilevamento di malware nascosto nel traffico P2P

2

Considerare una situazione di rete che coinvolge (solo) traffico peer-to-peer in una rete di medie dimensioni.

Per comodità, si può ipotizzare una semplice applicazione P2P come DC ++, anche se mirano a un set più ampio che coinvolga anche i torrent ecc.

Il peer A esegue una ricerca per il file qwerty.mp3 e quindi inizia a estrarre il file, a pezzi, da diversi Peer-B, C, D ed E.

Ora dite che Mr. C è quello che ha condiviso questo file tra i peer, ed è un peer maligno e il file contiene un malware / trojan ecc.

Poiché il file viene scaricato in pezzi da peer diversi, è improbabile che un sistema di rilevamento intrusioni standard sia in grado di rilevarlo poiché la maggior parte di essi comporta tecniche di rilevamento basate su firma.
E molto probabilmente quando i pezzi vengono riassemblati nel sistema di Mr. A, il suo anti-virus segnalerà un avviso sui contenuti dannosi.

Quindi, la mia domanda:
              A livello di rete, quale approccio può adottare un amministratore in modo che i pezzenti innocenti come A siano protetti da tali situazioni?

Gentilmente non suggerire azioni o misure relative all'utente finale. Qualunque cosa debba essere fatta, deve essere fatta a livello di rete.

Si noti che lo sto guardando più da un punto di vista della ricerca ed è perfettamente giusto non indicarmi tecniche esistenti usate negli ambienti di produzione, ma condividere link per documenti di ricerca e dare risposte che raccontino di tecniche finite.

    
posta pnp 25.07.2012 - 15:15
fonte

5 risposte

1

Il traffico P2P ha in effetti influito direttamente sulle prestazioni della maggior parte degli IDS / IPS e c'è un aumento significativo del falso positivo. I problemi riguardano il comportamento del traffico P2P che è molto simile al traffico dannoso.

Per la seconda parte della domanda, l'approccio più idealistico che può essere adottato a livello di rete è DPI (Deep packet inspection). L'idea è di separare il più possibile il traffico P2P dal traffico normale, sebbene DPI non sia applicabile sul traffico P2P crittografato. Nella fase successiva, le firme vengono applicate a questo traffico P2P separato per separare il traffico dannoso per P2P.

Fonte: qual è l'impatto del traffico P2P sul rilevamento di anomalie

    
risposta data 17.01.2013 - 05:37
fonte
4

Molti software P2P creeranno degli hash di ogni pezzo per impedire a un'entità maligna di modificare i pezzi durante il volo. Quando il tuo client P2P ottiene un pezzo, verifica che sia un hash. Ciò impedirà a un'entità maligna di modificare un pezzo di un file valido, ma non sarà di aiuto se il file stesso (qwerty.mp3) è dannoso.

Se il file stesso è dannoso, una soluzione semplice è semplicemente eseguire una scansione anti-virus sul file finale e vedere se ci sono problemi. Questo soddisferà il rilevamento basato su firma / anomalia (a seconda di cosa fa l'Antivirus)

    
risposta data 25.07.2012 - 16:47
fonte
2

Forse potresti eseguire i programmi p2p su un proxy, scaricare l'intero file (questa è la prima volta che lo vedrai ed essere in grado di effettuare una scansione completa del virus ... la trasmissione p2p è irrilevante), quindi scannerizzalo e servilo all'utente.

Modo semplice: interfaccia utente web per le persone da cercare, richiedere e amp; Scaricare. Difficile: intercettare dai client p2p e fingere di essere l'unico peer mentre in effetti si sta scaricando da un sacco di altri peer, non lasciando che molti file colpiscano il downloader fino a quando non l'hai scansionato

    
risposta data 14.10.2012 - 11:46
fonte
-1

Questo è simile a IP fragmentation attack . Frammentando il datagramma IP in parti più piccole, per quanto ne so, viene eseguito un tipo di attacco DOS. Puoi google it. Questo è il 4 ° risultato in google, ma OffensiveSecurity è generalmente uno dei migliori problemi di sicurezza.

Spero che questo aiuti

    
risposta data 16.01.2013 - 17:10
fonte
-1

Deep packet inspection o semplicemente utilizzare un file server per condividere file invece di fare P2P. Se non si abilita il P2P nella rete, non si dovrebbe vedere un computer peer che parla 445 con un'altra macchina peer, dovrebbero invece parlare al file server. E questo solleverà un avviso se vedi il traffico p2p. Il compromesso qui non consente all'utente di parlare sulla porta 445, che non credo sia un grosso problema se si dispone di un file server.

    
risposta data 23.01.2019 - 02:16
fonte

Leggi altre domande sui tag