Libri delle firme di attacco [chiuso]

0

Ho un incarico da fare per la scuola che coinvolge le firme degli attacchi (devo fare un ID servizio specifico). Fondamentalmente quello che devo fare è generare firme per alcuni attacchi con Metasploit su alcuni programmi, e quindi devo essere in grado di riconoscere questi stessi attacchi.       Attualmente sono nella fase di ricerca, in particolare come generare le firme degli attacchi. Qualcuno ha qualche idea di dove potrei trovare dei buoni libri / documenti / articoli per la generazione della firma (metodi, approcci ....)?       Ho già cercato su Google e ho cercato nelle prime 40-50 pagine di risultati e non ho trovato molte grandi risorse. Ci sono libri dedicati alle firme di attacco?       Qualsiasi aiuto sarebbe molto apprezzato! Grazie!

Modifica: ti darò un esempio di passaggi. Diciamo che il mio ID guarda il file di log generato da un'applicazione (proprio come l'esempio). 1) Nella fase di addestramento (apprendimento), My IDS cerca nel file di registro di generare firme dagli attacchi 2) Nella fase di rilevamento, IDS esaminerà i file di registro quando l'applicazione viene attaccata e tenta di abbinare il contenuto del file di registro con il database che contiene le firme generate nel passaggio precedente.       La mia domanda è: come generare le firme Cosa dovrei guardare? Ad esempio, per il rilevamento, utilizzo FSA (Finite State Automaton) per esprimere i passaggi di un attacco (ad esempio ssh- > apri un file- > leggi il file- > carica il contenuto del file nel caso di un hacker che fa una connessione remota che legge un file segreto e quindi carica il suo contenuto)

    
posta user2435860 03.04.2014 - 11:12
fonte

2 risposte

1

Vorrei esaminare le firme Snort, imparare come sono scritte e usarle come modello se devi crearne di tue. Per alcuni esempi, questa pagina ha raccolto diverse firme che ha trovato più efficaci contro il malware trovato da Honeypot.

Questo è un buon articolo sulla verifica di Snort con Metasploit.

Da quando hai chiesto informazioni su un libro, sono passati quasi 10 anni da quando questo libro è uscito ma quella pagina ha tutti i problemi e le risposte dalla sezione della firma del libro.

Infine, la mailing list di snort-sigs ha una discussione approfondita su esattamente ciò che stai cercando. Vorrei creare una domanda molto più specifica di "dove guardo" se ti avvicini a quella mailing list.

È comune che feed Wireshark acquisisca Snort manualmente e penso che questo è quello che faresti per questo esercizio

    
risposta data 03.04.2014 - 12:39
fonte
0

Quindi dovresti essere in grado di riconoscere diversi exploit, o diversi attacchi perché quelli non sono gli stessi. È possibile utilizzare wireshark per acquisire pacchetti e analizzarli. Per gli attacchi dovresti cercare contromisure. Ma per attacco intendo D / DoS, esecuzione arbitraria di codice ecc. E per exploit intendo MS08-067 per esempio. Se hai bisogno di qualcos'altro, chiedi qui.

    
risposta data 03.04.2014 - 11:22
fonte

Leggi altre domande sui tag