Ваши комментарииОбратная связь
![[ICT SBRAS]](/picture/copan/ict-logo.gif){kind=logo}
[Головная страница]
[Конференции]
Информационные технологии
Транзитный трафик – это трафик, проходящий через хост, который логически не является ни отправителем, ни получателем трафика. Такой хост будем называть транзит-хостом.
Транзитный трафик может использоваться с целью скрытия реального адреса злоумышленника. При этом в случае, например, обнаружения взлома веб-сайта анализ журналов выявит транзит-хост (подразумевается журналирование необходимых данных на сервере веб-сайта), а не хост, с которого действительно был произведена атака.
Туннели могут использоваться с целью получения бесплатного внешнего трафика за счёт оплаты его владельцем транзит-хоста. Эта проблема особенно актуальна в домашних сетях.
К сожалению, невозможно обеспечить комфортную работу пользователей на ssh-серверах и технически запретить им туннелирование. Комфортная работа подразумевает возможность использования как минимум внешнего HTTP-трафика и локального IP-трафика, что достаточно для создания туннеля.
В случае получения доступа к хосту-жертве, злоумышленник может обеспечить туннелирование своего трафика через этот хост. Таким образом, наличие нелегального транзитного трафика может свидетельствовать об уязвимости хоста (например, о небезопасно сконфигурированном прокси-сервере).
Для выявления туннелирования существует подход, основанный на эвристическом анализе протоколов, например, детектирование TCP-потока как потока прокси-сервера. Однако, такой подход неэффективен в случае даже простейшего шифрования трафика или при использовании нестандартного протокола. Исходящий трафик может быть не похож на входящий. Он может быть больше (добавление шумов), а может быть и меньше (Traffic Compressor). Имея права суперпользователя на транзит-хосте, можно использовать более изощрённые способы скрытия семантики трафика - например, обеспечить шлюзование TCP-трафика в ICMP, а на смежном хосте - в обратную сторону.
Анализ корреляции входящего и исходящего трафика основан на следующей идее: если исходящий из хоста трафик - транзитный, то ему должен соответствовать более ранний входящий. Учитывая, что злоумышленник, как правило, хочет работать интерактивно, задержка может быть незначительной. Для определения транзитного трафика требуется перехватить трафик между хостом-источником и транзит-хостом, транзит-хостом и хостом-получателем транзитного трафика.
Если, например, при наличии исходящего трафика с хоста A до хостов B и C, как правило, имеется не меньший входящий трафик со шлюза или прокси-сервера, а в моменты без трафика до этих хостов, доля трафика от шлюза или прокси-сервера снижается более чем пропорционально, то нужно заподозрить использование A как транзит-хоста для B или C.
Примечание. Тезисы докладов публикуются в авторской редакции
|
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск