اطلاعیه

Collapse
No announcement yet.

طراحی یک ids

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • طراحی یک ids

    این چندوقت داشتم روی یک فایروال کار میکردم ( فکر میکردم ) دیدم همه فایروالها پورت میبندن ، پروتکل میبندن ، آی پی میبندن ، پس من کار تکراری نکنم ، گفتم بیام پکتهای آلوده را دتکت کنم ، پکتهای شامل اکسپلویتها و شلکدها و اینجکشن ها... یه ids نرم افزاری حسابی خلاصه

    توی دتکت مشکلی ندارم ، مشکل اصلی که دارم توی تغییرات پلی مورفیک پکتها هست
    یه شلکد با شکل ثابت را میشه با کدهای nop - push pup - inc -dec وووو کدهای مشابه بی اثر از شکل اصلی خارج کرد و عملا دیگه به شکل اولیه نیستند ، چه روشی ، چه الگوریتمی به ذهنتون میرسه که باز هم بشه از بین یک میلیون پکت ، اون خرابه را با "سرعت زیاد" تشخیص داد
    روش باید یونیورسال باشه نه ثابت که در مقابل تغییرات پلی مورفیک بتونه عکس العمل مناسب نشون بده
    یه ایده خوب بدین.
    چه پیشنهادات دیگه ای برای یک ids دارین ؟

  • #2
    سلام

    من پیشنهاد می کنم از RegularExpression استفاده کنی...
    هم سرعت دیتکتش زیاده و هم ثابت نیست.
    باید یه دیتابیس RegularExpression داشته باشی که باید بنویسیش.
    تو نوشتنش می تونم بهت کمک کنم.
    الگوریتم های دیکد هم نیاز داری ... ( اگه نخوای فایل های دیکد رو کلن بلاک کنی !!! )

    come to see phrack.org

    Comment


    • #3
      این مورد باید بدون اشکال پکتها را دتکت کنه ، چون فرضا محتویات یک فایل باینری که داره دانلود میشه مثلا یک فیلم ، ممکنه چندبایتیش مثل یک پکت آلوده باشن ، حالا این ضد حاله که فیلم ناقص تحویل داده بشه ...
      برای همین از الگوریتمهایی که حدس میزنه یا اصول منظمی استفاده میکنه ( در این مورد رنج تغییرات و تعداد کلمات استفاده شده میتونه خیلی زیاد باشه) باید خیلی کمتر استفاده کنم ، دنبال یه روش 100% یا نزدیکش هستم که خطایی نداشته باشه

      Comment


      • #4
        نه.
        این متدیه که آنتی ویروسا استفاده می کنن و از هر ویروس یا اکسپلویت یا هرچیز مخربی یه الگو دارن که بهش می گن امضای اون ویروس.
        من که تا حالا ندیدم اشتباه بشه تو دیتکت ویروس و یه فایل اشتباهی پاک بشه.
        ولی کاری که تو قراره بکنی اینه که این امضاها رو به صورت regularexpression استفاده کنی. درصد خطا هم نداره ( یعنی همون 99.9999% اطمینان)

        come to see phrack.org

        Comment


        • #5
          من فایل نمیخوام چک کنم آ ، من چندبایت که بعضا حجمی حدود 100 الی 500 بایت دارند را باید بین بینهایت دیتای رد و بدل شده در شبکه مشخص کنم.

          Comment


          • #6
            آره می دونم. همینه ...

            come to see phrack.org

            Comment


            • #7
              خب یک مثال برام بزن
              مثلا این شلکد
              کد PHP:
              xor             eax,eax
              mov             dx
              ,9998   
              sub             dx
              ,9990
              mov             al
              55
              int             0x80 
              کد:
              char shellcode[] =
                      "\x31\xc0\x66\xba\x0e\x27\x66\x81\xea\x06\x27\xb0\x37\xcd\x80";
              فرضا اگه در حالت ساده تبدیل شد به :
              کد PHP:
              xor             eax,eax

              nop             
              nop             

              mov             dx
              ,9998   

              PUSH
              POP
              INC
              DEC

              sub             dx
              ,9990
              mov             al
              55
              int             0x80 
              چطوری قابل تشخیصه از طریق این الگوریتم ؟

              Comment


              • #8
                کد:
                regex = /^*[\x31\xc0\x66\xba\x0e\x27\x66\x81\xea\x06\x27\xb0\x37\xcd\x80]+\/*/;
                واسه حالت دوم هم راهی فک نکنم باشه جز این که عملکرد کد بررسی بشه.

                بذار روش فک کنم...

                come to see phrack.org

                Comment


                • #9
                  هرکسی یک روش خوب معرفی کرد که تغییرات با شرایط بالا را قابل تشخیص بکنه ، یه شیرینی پیش من داره

                  Comment


                  • #10
                    با snort
                    آشنا شدی؟؟

                    ۳۸۰۰ تا سیگنچر داره!
                    W)(lf بیچاره شاگردی که از استادش بهتر باشه!!
                    www.rashtmarket.ir

                    www.rashtonline.ir
                    http://hashem-wolf.ir
                    ديسك آموزش لينوكس

                    Comment


                    • #11
                      جون عمه هاتون پست اول را بخونید


                      من الگوریتم ثابت که نمیخوام ،میخوام اگه یک استراکچر تغییر ظاهری کرد یا همون تغییرات پلی مورفیک بتونم باز هم تشخیص بدم.

                      Comment


                      • #12
                        راهت از پایه و اساس اشتباس آقای جوکر!

                        Comment


                        • #13
                          علت ؟

                          ادیت: یه چیزایی تو گوگل هست ولی روش مشخصی هنوز پیدا نکردم

                          Comment


                          • #14
                            http://books.google.com/books?id=cUh...bs_toc_r&cad=4

                            come to see phrack.org

                            Comment


                            • #15
                              خب امروز بلاخره بعد از 4ماه و نیم یه پروژه فوق تخمی را تحویل صاحابش دادم تا یه کم وقتم آزاد بشه...
                              کلیات این جانوری که میخوام بنویسم ایناست :
                              قابلیت نصب شدن به عنوان یک بچه فایروال روی کامپیوتر خانگی یا گت وی ( فیلترینگ بر روی مک آدرس ها ، پروتکلها ، آدرسهای مبداو مقصد - محتویات* )
                              تنظیمات پیش فرض Default Rules ( مثلا بسته بودن پورتهایی که اکثرا از طریق اونها ورم ها منتشر میشن و یکسری موارد کلی که کاربرهای معمولی بدون نیاز به دانش خاص بتونن امنیت سیستمشون را تامین کنند )
                              ساپورت سیستم عاملهای ویندوز 32 و 64 بیتی از xp تا 2008
                              امکان آپدیت آنلاین ( کرنل یا رول ها )
                              امکان گرفتن ماژول
                              تهیه داکیومنت راهنمای کاربران
                              امکانات تهیه جدول روتینگ
                              پشتیبانی از پروتکل های غیرمعمولی ، ولی مورد استفاده در سطوح کاربری بالاتر - مثلا BGP - SNMP - ARP - PPP و...)
                              * امکان دتکت پکتهای اکسپلویت( فعلا مجبورم بحث پلی مورفیک را بیخیال بشم ، چیم از اسنورت کمتره )
                              امکان دتکت حملات SQL injection
                              امکان دتکت حملات DOS
                              امکان دتکت حملات بروتی فورس
                              بسته هانی پات

                              هرکدوم از اینا که نوشتم یه کون با کالیبر میخواد اندازه ارزن ! ولی خب فعلا که نوشتنش خرج نداره ، کنتور هم نمیندازه

                              کسی ایده دیگه ای داره بگه

                              Comment

                              Working...
                              X