Выпускная квалификационная работа дипломированного специалиста

Выпускная квалификационная работа дипломированного специалиста

специальность 100503

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

ЛАБОРАТОРНЫЙ СТЕНД ДЛЯ ИЗУЧЕНИЯ ПРИНЦИПОВ РАБОТЫ СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ. СИГНАТУРНЫЕ МЕТОДЫ АНАЛИЗА

Студент группы 230711	_____________	А.А. Русакова
Руководитель проекта	_____________	А.А. Сычугов
Консультанты по разделам:
основной	_____________	А.А. Сычугов
экономический	_____________	А.В. Огнянович
Нормоконтролер	_____________	В.Л. Токарев
Заведующий кафедрой ИБ	_____________	А.А. Сычугов

Тула, 2016

РЕФЕРАТ

Дипломный проект студента гр. 230711 Русаковой А.А. Тема «Лабораторный стенд для изучения принципов работы системы обнаружения вторжений. Сигнатурные методы анализа». Проект состоит из пояснительной записки объемом ** листа и графической части из ** листов.

Пояснительная записка содержит ** рисунков, ** формул, ** таблиц, ** литературных источников, ** приложений. Графическая часть содержит ** теоретических чертежей формата А3.

Программная часть (исполняемые и исходные файлы, а также дополнительные текстовые файлы, графические файлы) и графическая часть проекта представлены на 1 диске формата ** емкостью **. Общий объем занимаемой памяти ***Кб.

Файлы исходных текстов, занимающие ***Кб, находятся в каталоге ***. Графическая часть проекта создана с помощью системы Visio 2010 и включает следующие страницы файла *** (***Кб), расположенного в каталоге ***:

***

КЛЮЧЕВЫЕ СЛОВА: СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ, МЕТОДЫ ОБНАРУЖЕНИЯ, СИГНАТУРА АТАКИ, ЛАБОРАТОРНЫЙ СТЕНД, АНАЛИЗАТОР ТРАФИКА.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ

АТАКА – какое-либо действие нарушителя, приводящее к реализации угрозы через использование уязвимостей.

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ – состояние защищенности информации, хранимой и обрабатываемой в автоматизированной системе, от негативного воздействия на нее с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.

КРИПТОШЛЮЗ – программно-аппаратный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования пакетов.

МЕЖСЕТЕВОЙ ЭКРАН – комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданной политикой безопасности.

СЕТЕВОЙ ИНТЕРФЕЙС – физическое или виртуальное устройство, предназначенное для передачи данных между программами через компьютерную сеть.

СОКЕТ – программный интерфейс для обеспечения информационного обмена между процессами (совокупность IP-адреса компьютера и номера порта).

СИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ – программные или аппаратные средства выявления фактов неавторизованного доступа к информации и вредоносных действий.

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ – события или действия, которые могут вызвать нарушение функционирования автоматизированной системы, связанное с уничтожением или несанкционированным использованием обрабатываемой в ней информации.

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

ИС	Информационная система
МЭ	Межсетевой экран
НИР	Научно-исследовательская работа
ОКР	Опытно-конструкторские работы
ПАК	Программно-аппаратный комплекс
ПО	Программное обеспечение
ПЭВМ	Персональная электронно-вычислительная машина
СОВ	Система обнаружения вторжений
ЭВМ	Электронно-вычислительная машина
IDS	Intrusion Detection System (Система обнаружения вторжений)

АННОТАЦИЯ

В дипломном проекте «Лабораторный стенд для изучения принципов работы системы обнаружения вторжений. Сигнатурные методы анализа» разработан программный продукт, предназначенный для помощи преподавателю в проведении занятий по дисциплине «Системы обнаружения вторжений». В ходе анализа технических требований и проектирования лабораторного стенда были выбраны необходимые инструментальные средства и программные компоненты, проведен расчет эффективности от внедрения данного программного продукта.

Материалы проекта могут быть использованы в учебных заведениях для обеспечения демонстрации принципов работы СОВ студентам.

ABSTRACT

The degree project «The laboratory stand for the study principles of intrusion detection systems. Signature-based methods of analysis» developed a software product designed to help teachers in conducting lessons on the discipline «Intrusion Detection Systems». Necessary instrumental tools and program components were chosen in a course of analyzing technical requirements and projecting the system. Also it calculated the efficiency of the implementation of this software.

Project materials can be used in educational institutions for demonstrating the principles of operation of the IDS to students.

СОДЕРЖАНИЕ

РЕФЕРАТ.. 2

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ.. 3

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ.. 4

АННОТАЦИЯ.. 5

ABSTRACT.. 5

СОДЕРЖАНИЕ.. 6

ВВЕДЕНИЕ.. 7

1. АНАЛИЗ ЗАДАЧИ ПРОЕКТИРОВАНИЯ.. 9

1.1.................................. Основные функции программного обеспечения. 9

1.2.................................... Выбор инструментария и сторонних библиотек. 9

1.3...................................................................... Обзор прототипов системы.. 11

2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ 13

2.1..................................................... Технология обнаружения вторжений. 13

2.2................................ Классификация систем обнаружения вторжений. 16

3. ОПИСАНИЕ ЛАБОРАТОРНОГО СТЕНДА.. 25

3.1.......................................................... Описание интерфейса программы.. 25

3.2......................................................................................... Сигнатуры атак. 29

4. ТЕХНОЛОГИЧЕСКИЙ РАЗДЕЛ.. 44

4.1.................................................................... Руководство программиста. 44

4.2............................................................................................ Тестирование. 52

5. ЭКОНОМИЧЕСКАЯ ЧАСТЬ ПРОЕКТА.. 59

5.1............................................................................................ Оценка затрат. 59

5.2............................................................ Анализ конкурентоспособности. 68

5.3. Расчет экономического эффекта от внедрения программного продукта 74

6. ЭРГОНОМИЧЕСКАЯ ЧАСТЬ ПРОЕКТА.. 77

6.1. Оценка показателей лабораторного стенда, задающих необходимое качество взаимодействия человека с машиной. 77

6.2....... Меры минимизации помех разработчику лабораторного стенда. 78

6.3. Меры повышения удобств для разработчика лабораторного стенда. 79

6.4.................................. Вопросы охраны труда и техники безопасности. 79

ЗАКЛЮЧЕНИЕ.. 92

БИБЛИОГРАФИЧЕСКИЙ СПИСОК.. 93

ВВЕДЕНИЕ

Компьютерные сети представляют собой глобальное явление. Обеспечение работоспособности сети и функционирующих в ней компонентов зависит не только от надёжности аппаратуры, но и от возможности сети противостоять целенаправленным воздействиям, направленных на нарушение её работоспособности. Создание информационных систем, абсолютно устойчивых к вредоносным воздействиям и компьютерным атакам, влечет за собой существенные затраты времени и материальных ресурсов. Также необходимо помнить об обратной зависимости между удобством использования системы и её защищённостью: чем совершеннее построена система защиты, тем сложнее эксплуатировать основной функционал системы. Создание эффективных систем защиты информационных систем сталкивается и с нехваткой вычислительной мощности. При развитии компьютерных сетей наблюдаются две тенденции, которые называют законами Мура и Гилдера. Закон Мура говорит о том, что с каждым годом удваивается производительность вычислителей, доступных за одну и ту же стоимость, а закон Гилдера – происходит утроение пропускной способности каналов связи за тот же период времени. Получается, что рост объёма данных, передаваемых по сети, превышает рост вычислительной мощности узлов сети. Данная тенденция с каждым годом предъявляет более жесткие требования к вычислительной сложности алгоритмов систем защиты информации.

Средства обнаружения и предотвращения вторжений являются одними из ключевых компонентов по обеспечению информационной безопасности в сети. Обнаружение вторжений представляет собой процесс оценивания подозрительных действий, которые происходят в контролируемой информационной системе. Отслеживая исходящие и входящие потоки сетевого трафика, СОВ отлавливают по разным данным от 70 до 80% всех нарушений, связанных с действиями инсайдеров, а так же выявляют признаки удаленных вторжений.

Методы обнаружения вторжений в современных СОВ не до конца проработаны в части формальной модели атаки. Для них оказывается довольно трудно строго оценить такие свойства, как вычислительная сложность, корректность или завершимость. Существует множество академических разработок в области обнаружения аномалий, но в крупных системах они используются редко и с большой осторожностью из-за наличия большого количества ложных срабатываний. Для экспертных систем основной проблемой является близкая к нулю эффективность обнаружения неизвестных атак (адаптивность). Низкая адаптивность и сегодня остаётся серьёзной проблемой, хотя неоспоримые достоинства (низкая вычислительная сложность и малая стоимость) определяют доминирование экспертных систем на рынке.

Учитывая выше изложенное и то, что на данный момент рынок средств обнаружения вторжений в России развит недостаточно хорошо, необходимо привлекать к данной проблеме молодых специалистов, начиная со студенческих годов.

Для наглядного объяснения основ функционирования таких средств необходимо разработать лабораторный стенд, выполняющий функции простейшей СОВ: наличие вторжения определяется на основе данных сетевого трафика по одной из доступных сигнатур. Использование данного продукта существенно повысит эффективность проведения образовательного процесса, а так же положительно скажется на компетентности будущих специалистов, способных предложить интересные решения в сфере обнаружения атак.

Обзор прототипов системы

В качестве аналогов лабораторного стенда выбраны следующие системы: программно-аппаратный комплекс ViPNET IDS 2000, ОАО «ИнфоТеКС», и система обнаружения вторжений Snort. ViPNET IDS 2000 и Snort являются системами обнаружения вторжений, построенными на основе сигнатурных методов.

ViPNET IDS 2000

Программно-аппаратный комплекс ViPNET IDS 2000 представлен на Рисунке 1. Комплекс обладает сертификатами ФСТЭК № 3285, действительным до 27.112017 года, и ФСБ России, что позволяет эксплуатировать данный ПАК на любых объектах, не обрабатывающих сведения, составляющих государственную тайну.

Рисунок 2. Внешний вид ViPNET IDS 2000

Функционал комплекса достаточно разнообразен. Среди его возможностей присутствуют:

- обнаружение вторжений в масштабе, приближенном к реальному времени;

- расчет и предоставление статистики о происшедших вторжениях на основе журналов (журнал атак ViPNET IDS 2000 продемонстрирован на Рисунке 2);

- автоматическое обновление базы сигнатур с сервера;

- возможность добавления собственных сигнатур в базу;

- выборочное использование сигнатур или групп сигнатур и др.

Рисунок 3. Журнал атак

Схема подключения ViPNET к сети отображена на Рисунке 3. Данная схема получила название Т-образной.

Рисунок 4. Схема подключения

SPAN-порт предназначен для зеркалирования трафика: трафик перенаправляется для анализа системе обнаружения вторжений или используется для поиска неисправностей. Управление комплексом осуществляется консолью управления через WEB-интерфейс.

Данный комплекс обладает удобным интерфейсом и широкими функциональными возможностями. Производительность ПАК достигает 6000 Мбит/сек. Данный комплекс построен на операционной системе Linux.

Сигнатуры атак

TCP-сканирование (SYN)

Процесс установления соединения по протоколу TCP осуществляется в 3 шага [17]:

- «А» отправляет «Б» TCP-пакет с установленным флагом SYN и начальным «случайным» номером (seq 333634780):

10: 29: 00.303502 IP 192.168.1.2.38944 > 192.168.1.5.443: S, cksum 0x8636 (correct), 333634780: 333634780(0) win 1024 < mss 1460>

- «Б» отвечает «А» TCP-сегментом с установленными флагами SYN и ACK, начальным «случайным» номером (274325955), с которого будут нумероваться байты в отправляемом им потоке. Данный пакет является подтверждением получения запроса на установление соединения для абонента «А»:

10: 29: 01.298002 IP 192.168.1. 5.443 > 192.168.1. 2.38944: S, cksum 0x8516 (correct), 274325955: 274325955(0) ack 333634781 win 1024 < mss 1460>

- «А» отправляет «Б» TCP-сегмент с флагом ACK, что является подтверждением получения сегмента от абонента «Б»:

10: 29: 01.558163 IP 192.168.1.2.38944 > 192.168.1.5.443: ., cksum 0x950c (correct), ack 1 win 270

Соединение считается установленным при выполнении данных шагов.

Порт считается просканированным, если запрос на соединение пришёл, но оно так и не было установлено, т.е. присутствуют только первый шаг или первые два. Однако заключение о сканировании портов персонального компьютера происходит только при условии обнаружении следов сканирования 20 портов в течение 60 секунд.

Диапазон номеров портов составляет от 0 до 65535. Все порты разделены на три диапазона – общеизвестные (или системные, номера от 0 до 1023), зарегистрированные (пользовательские, от 1024 до 49151) и динамические (частные, от 49152 до 65535). Учитывая данный диапазон, при скорости обнаружения сканирования, равной 1 порт в 3 сек, злоумышленнику придется анализировать 100 портов течение более 300 секунд (пяти минут), что является неприемлемым, с точки зрения времени.

Алгоритм обнаружения сканирования портов (см. Рисунок):

Рисунок 13. Обнаружение SYN-сканирования портов (часть 1)

Рисунок 14. Обнаружение SYN-сканирования портов (часть 2)

Предложенный алгоритм способен обнаружить только SYN-сканирование. SYN является популярным типом сканирования, так как способен сканировать до тысячи портов в секунду, к тому же его работе не препятствуют межсетевые экраны. Данный тип сканирования относительно незаметен, потому что TCP-соединение не устанавливается до конца при данном типе сканирования. Достоинством SYN-сканирования является его возможность предоставления достоверной дифференциации между состояниями портов – «открыт», «закрыт» и «фильтруется»:

- Если в ответе с установлены флаги SYN и ACK, то порт прослушивается (является открытым);

- ответ с установленным флагом RST (сброс) – порт не прослушивается (закрыт);

- порт помечается в качестве фильтруемого, если после нескольких запросов не приходит никакого ответа или в ответ на запрос приходит ICMP-сообщение «ошибка недостижимости».

При выборочном сканировании небольших групп портов (в данном случае, менее 20) или одиночном сканировании (например, если злоумышленнику необходимо узнать состояние порта № 137), данный алгоритм беспомощен.

ICMP-flood

DoS-атаки (Denial of Service, «отказ в обслуживании») – это атаки, приводящие к парализации работы сервера или персональной ЭВМ вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс. Если подобная атака проводится одновременно сразу с большого числа компьютеров, то говорят о DDoS-атаке (распределенной атаке типа «отказ в обслуживании»).

Осуществить атаку «отказ в обслуживании» можно двумя способами:

- Можно использовать уязвимость программного обеспечения, которое установлено на компьютере-жертве. Такая уязвимость способна вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

- Каждый полученный пакет требует определенных затрат ресурсов компьютера на его обработку, поэтому DoS-атаку можно осуществить при одновременной отсылки большого количества пакетов на компьютер-жертву.

ICMP – протокол обмена сообщениями стека TCP/IP, предназначен для обнаружения ошибок и передачи информации о них. При обнаружении проблем в сети генерируются ICMP-сообщения того или иного типа, в которых указывается код ошибки. Данные сообщения передаются отправителю исходного пакета. Протокол используется утилитами ping и traceroute.

Атаку ICMP-flood считают одной из наиболее распространенных видов. Представляет собой метод забивания полосы пропускания и создания нагрузок на сетевой стек через монотонную посылку запросов ICMP ECHO (ping), ICMP-запросы имеют более высокий приоритет по сравнению с обычными пакетами.

Пример работы протокола. Утилита ping, запущенная на компьютере «А», посылает ICMP-пакет типа ECHO REQUEST компьютеру «Б». «Б» отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты посылаются через определенные промежутки времени, практически не нагружая сеть:

21: 33: 47.454210 IP 173.194.24.193 > 173.116.122.250: ICMP echo request, id 1, seq 9, length 40

21: 33: 47.454618 IP 173.116.122.250 > 173.194.24.193: ICMP echo reply, id 1, seq 9, length 40

21: 33: 48.454548 IP 174.115.20.10 > 165.12.115.17: ICMP echo request, id 1, seq 10, length 40

21: 33: 48.454662 IP 165.12.115.17 > 174.115.20.10: ICMP echo reply, id 1, seq 10, length 40

Частота отправки утилитой ping ECHO-запросов по умолчанию составляет 1 пакет в секунду (на основе данных анализатора трафика WinDump). Учитывая то, что лабораторный стенд разрабатывался для учебных целей, примерно рассчитаем величину количества ECHO-запросов, посылаемых в локальной сети одной учебной аудитории, при превышении которой может говорить об атаке.

Количество персональных компьютеров аудитории, объединенных в одну локальную сеть, для расчета примем равную одиннадцати: 1 компьютер будет принимать ICMP-сообщения, оставшиеся 10 компьютеров будут их посылать. В Таблице приведен расчет вероятностей одновременной посылки ECHO-запросов несколькими компьютерами на один IP-адрес.

Расчет осуществляется с помощью формулы, определяющей число сочетаний из n элементов по m: .

Таблица 1 - Расчет вероятности одновременного отправления ICMP-сообщений

Количество компьютеров, не посылающих ECHO-запросов	Количество компьютеров, посылающих ECHO-запросов	Число сочетаний,	Вероятность одновременного отправления ECHO-запросов
			0, 000977
			0, 009766
			0, 043945
			0, 117188
			0, 205078
			0, 246094
			0, 205078
			0, 117188
			0, 043945
			0, 009766
			0, 000977
Итого:

Математическое ожидание количества получения ICMP-сообщения в один момент времени составляет:

Математическое ожидание составляет 5 ECHO-запросов. В дальнейших вычислениях будем исходить из того, что без ущерба для производительности, компьютер может обрабатывать 5 ECHO-запросов в секунду, учитывая частоту отправления. По умолчанию утилита ping отправляет 4 ICMP-сообщения. Каждому компьютеру потребуется 4 секунды для отправки 4 ICMP-сообщений. Значит, в итоге компьютеру будет послано 20 ECHO-запросов.

Сохранив пропорцию «не более 5 пакетов в секунду», за атаку ICMP-flood примем получение компьютером более 50 пакетов в 10 секунд. Интервал в 10 секунд позволит существенно сократить возможность ложного срабатывания, т.к. в одну секунду может прийти 10 пакетов, а в другую – ни одного.

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 15. Алгоритм обнаружения ICMP-flood

Способ защиты от данной атаки основан на отключении ответов на запросы ICMP ECHO [12].

SMURF-атака

Атака SMURF являются разновидностью атаки DDoS, так как имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ.

Принцип реализации атаки.

Атакующий компьютер посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника запроса заменяется адресом жертвы. Так как пакет ЕСНО послан по широковещательному адресу, все системы данной сети должны ответить компьютеру-жертве (если только конфигурация не определяет другого поведения). Послав одно IСМР-сообщение в сеть из 100 систем, атакующий обеспечивает усиление атаки DDoS примерно в сто раз. Так как коэффициент усиления зависит от состава сети, атакующему необходимо найти большую сеть, способную полностью подавить работу системы-жертвы.

Обнаружение SMURF-атаки.

Сообщение IСМР ЕСНО REPLY:

21: 33: 47.454618 IP 192.168.1.3 > 192.168.1.2: ICMP echo reply, id 1, seq 9, length 40

Данное сообщение приходит только в качестве ответа на запрос вида:

21: 33: 47.454210 IP 192.168.1.2 > 192.168.1.3: ICMP echo request, id 1, seq 9, length 40

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 16. Алгоритм обнаружения атаки SMURF

Сообщению IСМР ЕСНО REPLY всегда должно предшествовать сообщение IСМР ЕСНО REQUEST с одинаковыми номерами последовательности (параметром seq). Однако существует вероятность того, что сообщения IСМР ЕСНО REQUEST были отправлены, но не были пойманы анализатором трафика (сниффер запустили после отправки данных запросов), поэтому определенное количество запросов ЕСНО REPLY без запросов ЕСНО REQUEST всё-таки возможно обнаружить. Одним широковещательным IСМР-сообщением в сети реализовать SMURF-атаку не получится, значит, таких сообщений должно быть довольно много. Локальная сеть, в которой будет использоваться лабораторной стенд, состоит из 11 компьютеров. Приняв в качестве нормы вероятность потери 1 IСМР-запроса, получаем, что при посылке одного широковещательного запроса, на него откликнутся 10 компьютеров сети. Таким образом, при обнаружении 11 сообщений IСМР ЕСНО REQUEST без предшествующих на них запросов, можно говорить об атаке.

LAND-атака

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых операционных системах. На сегодня такой уязвимости подвержены все версии ОС Windows NT/95.

Принцип атаки заключается в том, что на открытый порт компьютера-жертвы передаётся TCP-пакет с установленным флагом SYN, исходный адрес и порт данного пакета соответственно равны адресу и порту атакуемого компьютера. Загрузка процессора сильно возрастает в результате того, что компьютер-жертва пытается установить соединение сам с собой, может произойти «зависание» системы или ее перезагрузка.

Рисунок 17. Алгоритм обнаружения атаки LAND

Обнаружение атаки заключается в поиске пакета с флагом SYN и одинаковыми сокетами (совокупность порта и IP-адреса) отправителя и получателя.

Атака на сервисы Windows

Атака осуществляется путем отправки большого количества пакетов в единицу времени на компьютер-жертву. Как правило, выбираются порты, использующиеся протоколом NetBIOS. NetBIOS является протоколом для работы в локальных сетях и представляет из себя интерфейс сеансового уровня. Он обеспечивает выполнение сетевых операций ввода/вывода, а так же управляет транспортным протоколом, в качестве которого могут выступать либо TCP, либо UDP протоколы.

Алгоритм обнаружения атаки (см. Рисунок):

Рисунок 18. Алгоритм обнаружения атаки на сервисы Windows

По умолчанию порты протокола NetBIOS открыты, поэтому приложения могут через NETBIOS найти необходимые им ресурсы и установить связь, а так же послать или получить информацию.

Порты данного протокола:

- порт № 137 – используется для службы имен;

- порт № 138 – используется для службы дейтограмм;

- порт № 139 – используется для сессий;

Уязвимыми можно считать и порты № 135, 445. Порт 135 используется для удаленного управления служб, включая DNS-сервер, в то время как 445 используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Порт № 445 способен предоставить также доступ к жесткому диску персонального компьютера.

Лабораторный стенд сообщает об атаке при интенсивности поступления пакетов на данные порты более чем 1000 в секунду. Такая интенсивность может свидетельствовать о наличии DoS- или DDos-атаке.

ТЕХНОЛОГИЧЕСКИЙ РАЗДЕЛ

Руководство программиста

Описание входных данных

Входными данными для лабораторного стенда является файл, сформированный с помощью утилиты WinDump.

Анализатор трафика запускается со следующими параметрами [18]:

путь_к_WinDump.exe –i номер_сетевого_интерфейса -s 0 -c количество_пакетов -vv -n ip host ip_ПК > путь_к_name_file

Параметр –s 0 – захватываются все пакеты (независимо от их размера).

Параметр –vv – вывод более детальной информации о сетевых пакетах (по сравнению с состоянием по умолчанию).

Установление параметра –n отменяет преобразование IP-адресов в имена.

Параметр ip – отлавливаются только пакеты, использующие протокол IP.

Параметр host 192.168.1.2 позволяет отловить входящий и исходящий трафик хоста с IP-адресом 192.168.1.2. Все остальные пакеты отбрасываются.

Пример входных данных:

10: 20: 50.446836 IP (tos 0x0, ttl 128, id 20924, offset 0, flags [DF], proto: TCP (6), length: 557) 192.168.1.5.7781 > 5.45.58.101.443: P, cksum 0x95b7 (correct), 1: 518(517) ack 1 win 258

10: 20: 50.538261 IP (tos 0x0, ttl 53, id 8281, offset 0, flags [DF], proto: TCP (6), length: 40) 5.45.58.101.443 > 192.168.1.5.7781: ., cksum 0xa640 (correct), 1441: 2049(608) ack 518 win 256

Рассмотрим для примера последнюю запись:

- 10: 20: 50.538261 – время прихода пакета.

- IP – протокол сетевого уровня. Параметры данного протокола:

- tos 0x0 – тип обслуживания IP-сегментов.

- ttl 53 – время жизни пакета (максимальное количество узлов, которые может пройти пакет).

- id 8281 – идентификатор IP-сегмента.

- offset 0 – поле смещения фрагмента.

- flags [DF] – данный IP-сегмент не может быть разбит на фрагменты. Если установлен бит MF, то IP-сегмент был разбит и данный «подсегмент» является последним в цепочке «подсегментов» (при MF = 0).

- proto: TCP (6) – протокол более высокого уровня, для которого предназначены данные IP-сегмента.

- length: 40 – длина заголовка составляет 40 байтов.

- 5.45.58.101.443 – сокет отправителя.

- 192.168.1.5.7781 – сокет получателя.

- . – отсутствуют такие флаги, как SYN, FIN, PSH, RST.

- cksum 0xa640 (correct) – контрольная сумма верна.

- 1441: 2049(608) – начальный «номер последовательности»: «номер последовательности» + переданные байты (количество ранее переданных данных в байтах).

- ack 518 – «номер подтверждения».

- win 256 – количество байтов данных, которое может принять отправитель данного пакет.

Описание выходных данных

Лабораторный стенд отображает результаты своей работы на мониторе (постоянно) и записывает их в выходной файл (при желании пользователя).

Пример выходных данных:

28.03.2016 11: 30: 4.801479 - 11: 30: 4.873915 aтака на порт № 139

15.04.2016 11: 29: 50.50932 - 11: 30: 4.873915 aтака на порт № 445 не обнаружена

25.04.2016 21: 33: 47.454210 - 21: 33: 51.458822 aтака " ICMP-flood"

29.04.2016 10: 59: 59.50000 - 11: 30: 4.873915 aтака " ICMP-flood" не обнаружена

01.05.2016 10: 33: 3.304621 - 10: 33: 38.490907 TCP-сканирование не обнаружено

01.05.2016 10: 59: 59.50000 - 11: 30: 4.873915 aтака на порт № 137 не обнаружена

Последняя запись говорит о том, что:

- проверка была проведена 01.05.2016;

- 10: 59: 59.50000 – время пакета, с которого была начата проверка;

- 11: 30: 4.873915 – время пакета, на котором была остановлена проверка из-за обнаружения вторжения или данный пакет является последним во входных данных;

- «атака на порт № 137 не обнаружена» – результат проверки.

Тестирование

Целью данного пункта является:

- демонстрация соответствия реализованных функций лабораторного стенда к его назначению;

- демонстрирование реализации исходных требований в лабораторном стенде.

Каждый тест будет представлен наборами исходных данных и ожидаемых результатов работы лабораторного стенда.

Для формирования тестового трафика было использовано стороннее ПО: эмуляторы трафика Cat CARAT и Colasoft Packet Builder, утилита для сканирования сети Nmap и программа, разработанная для помощи в создании сигнатур СОВ и тестирования, Metasploit [19].

Тестирование осуществляется на локальной виртуальной сети, созданной на базе Oracle VM VirtualBox, а также с помощью ПК, подключенного к Интернету.

Объём оперативной памяти, необходимой для работы лабораторного стенда, составляет 19, 7 МВ.

Тест №1

Исходные данные:

- учебный режим (SYN-сканирование);

- тестовый набор из файла «nmap_syn.txt»;

- сохранить результат анализа в файл.

Результат: должно быть обнаружено SYN-сканирование (Рисунок).

Файл «nmap_syn.txt» сформирован с помощью Metasploit (Рисунок). Параметры, с которыми была запущена программа:

nmap –sS 192.168.1.3,

где nmap – название утилиты для сканирования,

параметр -sS – указание на сканирование с помощью SYN-флагов,

192.168.1.3 – IP-адрес компьютера-жертвы.

Рисунок 20. Запуск SYN-сканирования

Рисунок 21. Тест №1

Результат работы программы (отчётные данные):

IP-компьютера: 192.168.1.3

========================================

Открытие файла C: \Users\Anna\Desktop\nmap_syn.txt

Запустили разбор пакетов...

Запустили сигнатуру " TCP-сканирования"...

========================================

ВОЗМОЖНА АТАКА (TCP - сканирование)

Сканирование портов c 12: 19: 30.590574 до 12: 19: 31.729807

Количество просмотренных пакетов = 20

========================================

Статистика:

1. Порт - 22 Кол-во обращений = 2

2. Порт - 53 Кол-во обращений = 2

3. Порт - 80 Кол-во обращений = 2

4. Порт - 111 Кол-во обращений = 2

5. Порт - 113 Кол-во обращений = 2

6. Порт - 199 Кол-во обращений = 2

7. Порт - 256 Кол-во обращений = 2

8. Порт - 3306 Кол-во обращений = 2

9. Порт - 5900 Кол-во обращений = 2

10. Порт - 8080 Кол-во обращений = 2

========================================

Отчет о проверке сохранён в файл Repository.mypr (Рисунок):

Рисунок 22. Содержимое файла Repository.mypr. Последняя запись создана Тестом №1

Тест №2

Исходные данные:

- учебный режим (ICMP-flood);

- тестовый набор из файла «icmp_flood.txt»;

- сохранить результат анализа в файл (Рисунок).

Результат: наличие атаки не обнаружено (Рисунок).

Файл icmp_flood.txt создан ping-запросами между двумя компьютерами с IP-адресами 192.168.1.5 и 192.168.1.3.

Рисунок 23. Тест №2

Рисунок 24. Содержимое файла Repository.mypr. Последняя запись создана Тестом №2

Тест №3

Исходные данные:

- рабочий режим;

- тестовый набор из файла «attack_service.txt»;

- не сохранять результаты анализа.

Результат: обнаружено наличие атаки на сервисы Windows (Рисунок).

Данные файла attack_service.txt созданы через эмулятор трафика Cat CARAT.

Результат работы программы (отчётные данные):

IP-компьютера: 192.168.1.5

========================================

Открытие файла C: \Users\Anna\Desktop\attack_service.txt

Запустили разбор пакетов...

========================================

TCP - сканирование не обнаружено

========================================

- - - ВОЗМОЖНА АТАКА (на порт № 135) - - -

На порт № 135 послано 1000 запросов

за промежуток времени c 11: 29: 51.60354 до 11: 29: 51.140196

========================================

Атака на порт № 137 не обнаружена

========================================

Атака на порт № 138 не обнаружена

========================================

- - - ВОЗМОЖНА АТАКА (на порт № 139) - - -

На порт № 139 послано 1000 запросов

за промежуток времени c 11: 30: 4.801479 до 11: 30: 4.873915

========================================

Атака на порт № 445 не обнаружена

========================================

10: 59: 59.50000 - 11: 30: 4.873915

aтака " ICMP-flood" не обнаружена

========================================

10: 59: 59.50000 - 11: 30: 4.873915

" SMURF - aтака" не обнаружена

Проверено 2503 пакетов

========================================

10: 59: 59.50000 - 11: 30: 4.873915

" LAND - aтака" не обнаружена

Проверено 2503 пакетов

========================================

10: 59: 59.50000 - 11: 30: 4.873915

Запрещённые комбинации TCP-флагов не обнаружены

Проверено 2503 пакетов

Рисунок 25. Тест №3

Тест №4

Исходные данные:

- рабочий режим;

- анализ в режиме реального времени;

- сохранить результаты анализа (Рисунок).

Предполагаемый результат: наличие атаки не обнаружено (Рисунок).

Рисунок 26. Содержимое файла Repository.mypr. Записи созданы Тестом №4

Рисунок 27. Тест №4

Результат работы программы (отчётные данные):

Запустили функцию определения интерфейса...

Выбран сетевой интерфейс

1.{B4E7D39C-6FFF-45E9-A5E0-9518BFC6083E} (Sun)

========================================

Выбран сетевой интерфейс

4.{29CAC82D-EC33-47A8-8B9A-00846CCF7B79} (USB2.0 to Fast Ethernet Adapter)

========================================

IP-компьютера: 192.168.1.5

========================================

Запустили cниффер...

Захват пакетов окончен

==============================

Запустили разбор пакетов...

========================================

TCP - сканирование не обнаружено

========================================

Атака на порт № 135 не обнаружена

========================================

Атака на порт № 137 не обнаружена

========================================

Атака на порт № 138 не обнаружена

========================================

Атака на порт № 139 не обнаружена

========================================

Атака на порт № 445 не обнаружена

========================================

13: 13: 47.669281 - 13: 13: 50.185270

aтака " ICMP-flood" не обнаружена

========================================

13: 13: 47.669281 - 13: 13: 50.185270

" SMURF - aтака" не обнаружена

Проверено 2999 пакетов

========================================

13: 13: 47.669281 - 13: 13: 50.185270

" LAND - aтака" не обнаружена

Проверено 2999 пакетов

========================================

13: 13: 47.669281 - 13: 13: 50.185270

Запрещённые комбинации TCP-флагов не обнаружены

Проверено 2999 пакетов

ЭКОНОМИЧЕСКАЯ ЧАСТЬ ПРОЕКТА

Цель экономической части дипломного проекта – показать понимание студентом базовых экономических понятий.

Оценка затрат

Общие затраты составляют сумму специально разработанного программного обеспечения.

В рамках экономического раздела выполнено:

12 3 4 5 6 7 8 9 10 Следующая ⇒