Tracciamento degli avvisi di IDS / IPS

0

Questa potrebbe essere più una questione di routing che una di sicurezza, ma sto chiedendo il motivo della sicurezza.

Controllo un IPS su una rete remota e sono stati attivati di recente degli avvisi di alto livello che corrispondono alle punture all'interno delle pagine Web a cui vari utenti accedono durante il giorno. Ho esaminato alcuni pacchetti e ho visto che determinate stringhe suggeriscono che l'utente stia accedendo a siti come Twitter e Expedia, siti che sembrano improbabili contenere codice dannoso.

Voglio essere in grado di trovare la pagina web originale da cui la stringa corrisponde alla firma per cercare me stesso, ma è qui che non riesco.

Quando eseguo un tracert dalla rete remota su ciascuna delle destinazioni in questione, ci sono 5 hop nello stesso percorso e l'hop finale è la destinazione che ho specificato di tracciare.

Quindi la mia domanda è -

perché il pacchetto non contiene informazioni relative alla vera fonte delle informazioni incapsulate all'interno di esso?

    
posta XOR 10.05.2012 - 11:40
fonte

1 risposta

4

I pacchetti fanno contengono informazioni sull'origine del pacchetto: il campo dell'indirizzo sorgente IP contiene l'indirizzo IP dell'origine del pacchetto. Gli indirizzi di origine IP possono essere falsificati, ma per le connessioni TCP su una rete cablata, questo tipo di spoofing è generalmente più impegnativo di quanto la maggior parte degli hacker possa raggiungere. Pertanto, questo indirizzo IP è generalmente ragionevolmente affidabile come fonte del pacchetto, per le connessioni TCP su reti cablate.

Tracert non sembra avere alcuna rilevanza ovvia qui. Se si ottiene lo stesso percorso per diversi host diversi, forse questi host sono tutti ospitati sulla stessa rete locale. (Un'altra possibilità è che sei stato infettato da malware di pirateria informatica DNS, che reindirizza tutte le ricerche DNS per indirizzarti verso un host proxy malintenzionato. Un controllo rapido e sporco per questo facendo alcune ricerche DNS sul tuo sistema e su un'altra totalmente indipendente sistema e vedere se si ottiene la stessa risposta.)

Sembra la domanda reale se vuoi visitare la pagina web nel tuo browser, e stai chiedendo come farlo, data una traccia del pacchetto. Per prima cosa, ti preghiamo di fare attenzione: potresti facilmente finire per essere compromesso. Esegui il browser in una macchina monouso e getta la VM dopo aver completato le tue indagini.

Per visitare la pagina Web, ti consigliamo di aprire l'acquisizione dei pacchetti in uno strumento di analisi dei pacchetti (ad esempio, Wireshark), trovare la richiesta HTTP, controllare l'indirizzo IP di destinazione in cui è stata inviata la richiesta HTTP e rieseguire la richiesta a quell'host e alla porta. Si noti che potrebbe essere necessario inviare la richiesta esatta esattamente così com'è: potrebbe essere necessaria l'intestazione Host: , se il sito è il solito hosting virtuale e potrebbero essere necessarie altre intestazioni per avere ragione, se il sito di hosting di malware utilizza i referer o altre intestazioni per determinare come rispondere alla richiesta.

Potresti provare a estrarre l'URL dalla richiesta (il nome host può solitamente essere estratto dall'intestazione Host: , il percorso URL può essere estratto dalla riga GET della richiesta HTTP), quindi aprirlo nel browser ( in una VM "usa e getta", per favore). Come controllo rapido e sporco, questo potrebbe essere sufficiente.

Se hai una cattura di pacchetti, potrebbe esserci un modo ancora più semplice. Se apri l'acquisizione di pacchetti in Wireshark, Wireshark decodificherà l'intera connessione TCP, riassemblerà tutto il traffico e mostrerà i byte inviati in entrambe le direzioni. Puoi usarlo per visualizzare la sorgente HTML inviata alle tue macchine.

Detto questo, mi chiedevo se tutto ciò è un buon uso del tuo tempo. Non sono sicuro di cosa ti aspetti di imparare. Di solito, cercare di tracciare il codice HTML / Javascript di un exploit web è una perdita di tempo. Potrebbe essere necessario scavare attraverso dozzine di reindirizzamenti e altri passaggi, quindi de-offuscare il codice e consultare le pagine di codice per avere un'idea di cosa sta facendo. E una volta che l'hai fatto, cosa hai guadagnato? Fondamentalmente, niente di molto. Di solito è meglio lasciare questa analisi alle aziende di sicurezza / IDS e concentrare le tue energie su cose che ti proteggeranno veramente: ad esempio, concentrarti sull'assicurare che i tuoi computer finali eseguano browser aggiornati con patch e altri software.

    
risposta data 10.05.2012 - 12:50
fonte

Leggi altre domande sui tag