<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Cyberprobe - отслеживание сети в режиме реального времени

Отслеживание сети в режиме реального времени: Cyberprobe

Cyberprobe является распределенной архитектурой для отслеживания сети в режиме реального времени с целью предотвращения каких-либо атак. Данное программное обеспечение состоит из определенного количества компонентов, включая:

  • Зонд, который собирает пакеты данных и пересылает их по сети в стандартных потоковых протоколах
  • Монитор, который получает потоковые пакеты, декодирует протоколы и интерпретирует информацию.

Скачать Cyberprobe

Эти компоненты могут быть использованы вместе или раздельно. Для простых конфигураций, они могут быть запущены на одном и том же хосте, для более сложных сред, количество зондов может снабжать один монитор.

Зонд, cyberprobe обладает следующими свойствами:

  • Зонду может быть задана задача собирать пакеты из интерфейса и затем пересылать все, соответствующие настраиваемому списку адресов.
  • Зонд может быть настроен таким образом, чтобы он получал Snort предупреждения. В данной конфигурации, когда предупреждение получается из Snort, исходный IP-адрес, связанный с предупреждением, становится целью на определенный период времени. Также в этом типе конфигурации система будет собирать данные с любого сетевого оператора, который запускает правило snort и, таким образом, она будет идентифицировать его, как потенциального злоумышленника.
  • По выбору зонд может запустить интерфейс управления, который позволяет удаленно запрашивать состояние и изменять конфигурацию. Это позволяет динамически изменять карту таргетинга и интегрироваться с другими системами.
  • Зонд может быть настроен для доставки на один из двух потоковых протоколов.

Инструмент монитора, cybermon обладает следующими свойствами:

  • Собирает пакеты, доставленные в потоковых протоколах.
  • Декодирует пакетные протоколы и вызывает события почти в реальном времени.
  • Декодированная информация становится доступной для настраиваемой пользователем логики определения способа, каким обрабатываются данные. Используется простой язык конфигурации (LUA) и примеры конфигурации предоставляются для отслеживания объемов данных, отображения шестнадцатеричных данных или хранения данных в файлах.
  • Включены методы подделки пакетов, которые позволяют сбросить TCP-соединения и подделывать DNS-ответы. Они могут быть запущены из вашего LUA для того, чтобы бороться с атаками в вашей сети.
  • На данный момент поддерживает IP, TCP, UDP, ICMP, HTTP и DNS протоколы.

На данный момент программное обеспечение cybermon все еще находится в состоянии разработки и требует добавления большего количество протоколов, но уже присутствует достаточное количество возможностей, чтобы принести пользу и продемонстрировать значение и ценность данной архитектуры.

Код ориентирован на платформу Linux, хотя он достаточно общий, чтобы быть применимым к другим UN * X-подобным платформам.

Самый простой способ узнать больше о программном обеспечении — это следовать краткому руководству по использованию.


Набираем команду codeby webinar

Набираем команду для организации и проведения вебинаров Подробнее ...

Мотивация

Cyberprobe изначально задумывался как инструмент исследования для изучения сетевых приложений, чтобы разузнать, что они делают на самом деле, потому что мы прекрасно с вами знаем, как поставщики программного обеспечения любят приписывать своим продуктам несуществующие свойства и особенности. Итак, был разработан простой инструмент для настройки того, как захватываются пакеты из сети. Но, как вы наверно знаете, самая большая угроза безопасности вашей информации находится за пределами сети. Таким образом, была добавлена возможность запуска сбора пакетов при обнаружении правила Snort.

Snort является мощной IDS системой, которая изучает пакеты в сети, анализирует их на основе набора подписей и создает журналы и предупреждения. Мы понимали, что существует необходимость использовать оповещения Snort, но применять их для запуска сбора и пересылки пакетов с адреса, вызвавшего предупреждение

Вы можете задать вопрос, зачем вам нужно использовать Cyberprobe? В конце концов, отслеживание сетей с помощью tcpdump и Snort и сбор предупреждений и пакетных данных для анализа является обычным процессом для большинства сетей. Однако, анализ в реальном времени невозможен, если все основано на файлах. Сбор данных и передача их в центральную точку сбора делает возможным более и менее «индустриализированный» подход для обнаружения вторжения. Если вы обнаружили попытку атаки, и затем вы видите, что огромное количество данных покидает вашу сеть, например, из базы данных аккаунтов кредитных карточек, вы знаете, что вам необходимо быстро отреагировать.

Вам необходима гибкость в отслеживании сетевых атак. К сожалению, не существует универсального решения. Атакующие изобретательны в своем подходе к атаке на вашу сеть, поэтому вам необходимо иметь гибкий настраиваемый инструмент отслеживания для разработки вашей защиты.

Внимание:

Грядет война… Враги очень изобретательны, они могут использовать ваши собственные сети и системы как их собственное оружие. Но имея под рукой необходимые инструменты, вы сможете подготовить достойную оборону. Пора подготовиться к Cybermaggedon (Киберармегеддону).

Зависимости:

У этого кода немного зависимостей. Экзотическими зависимостями являются следующие:

  • Boost regex.
  • Boost shared pointer.
  • LUA – 5.1 или более поздняя.
  • GCC C++ компилятор и поддержка разработки.
  • libpcap
  • Expat (XML анализатор).
  • tcpdump – не нужен для создания программного обеспечения, но мы используем его в учебнике.
  • telnet – не нужен для создания программного обеспечения, но мы используем его в учебнике.
  • luafilesystem, при использовании определенных конфигурационных файлов Lua.
  • luajson, при использовании определенных конфигурационных файлов Lua.
  • lua-md5, для MD5 хэширования пейлоад.
  • ncurses, является необходимой для утилиты администрирования командной строки.
  • readline, является необходимой для утилиты администрирования командной строки.
  • Для STIX поддержки, libtaxii и stix являются Python модулями, которые доступны на http://mitre.org, и могут быть скачаны с помощью pip.

Существует несколько способов получить программное обеспечение:

Пакеты ОС

  • Fedora 24, 64-bit.
  • Debian Jessie, 64-bit.
  • Ubuntu, 64-bit. FIXME: Какая версия?

Получи 30.000 рублей от codeby

Мы запустили конкурс для авторов, в котором может принять участие любой желающий. За первое место - 7500 руб., второе - 5000, третье 2500. Главный приз 30.000 рублей вы получаете независимо от места в конкурсе. Подробнее на форуме codeby ...

Похожие темы

Мой арсенал утилит для андроид... Создал тему для того что бы каждый ее дополнял списком тех утилит и приложений которые используются для тестирования на безопасность и просто по...
WeeMan — Python HTTP фишинг сервер... Перевод: Анна Давыдова Источник: n0where.net Weeman является простым python HTTP сервером, который создает фишинг страницы. Он принимает дан...
Пентест с андроид смартфона с помощью Termux... Termux - это один из самых серьезных эмуляторов, какие только можно встретить для андроид смартфона и дело тут далеко не в красивостях, а в наличии ...
Filebuster — довольно быстрый и гибкий Web F... Довольно быстрый и гибкий Web Fuzzer: Filebuster Filibuster был создан на основе одного из самых быстрых HTTP-классов в мире (PERL) - Furl :: HT...
ZAProxy: тестирование на проникновение веб-приложе... OWASP Zed Attack Proxy (ZAP) — это простой в использовании интегрированный инструмент тестирования на проникновения и нахождения уязвимостей в...