Курсовая работа
Download
Report
Transcript Курсовая работа
Курсовая работа
Исследование возможности
удаленной идентификации
сетевых объектов
Определения
Устройство – MAC + OS + сервисы
Пользователь – человек + используемое им
ПО
Объект – пользователь + одно из
используемых им устройств
Мультиобъект – пользователь + множество
используемых им устройств
Профиль объекта – вектор параметров
объекта, полученный при сканировании
Актуальность
Мониторинг сети:
Отслеживание перемещений пользователей и
устройств
Обнаружение новых пользователей и устройств
Обнаружение отклонений поведения
пользователя, или устройства
Формальная постановка задачи
1. Разработать структуру и семантику профиля объекта (модель
окружения).
2. Расширить набор параметров за счет добавления тех, которые
можно собрать пассивным прослушиванием.
3. Реализовать алгоритм построения профиля для сетей
TCP/IP/Ethernet.
4. Испытать метод идентификации в сети факультета ВМиК.
5. Сделать выводы о возможности использования профилей для
идентификации объектов.
Обзор имеющихся средств
Бесплатный
Декодирует текст
Парсит протоколы
Удобочитаемый формат
Приветливый интерфейс
Iris Ettercap Wireshark(Ethereal) TCPdump
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Нет
Нет
Да
Нет
Да
Нет
Да
Нет
Метод решения
1.Режим пополнения базы
Сетевой
траффик
wireshark
Декодированный
трафик
Анализатор
Профиль
База профилей
Метод решения
1.Режим идентификации
Сетевой
траффик
IP адрес
wireshark
Декодированный
трафик
Анализатор
База профилей
Профиль
Идентифицирующая функция
Результат
Проблемы
Получение всего трафика
Частичное изменение объекта
Коммутированная сеть
Нужен администраторский доступ к шлюзу
Устойчивость метода идентификации к частичному
изменению профиля
Поддержание базы профилей в актуальном состоянии
Значительное изменение объекта
Классификация сетевых
приложений, реализующих
модель объекта
По типу использования
Системные
Пользовательские
По коммуникационным функциям
Обмен мгновенными сообщениями
Почтовые серверы и клиенты
Веб приложения и броузеры
Служебные приложения
Службы предоставления доступа к машине
Клиенты доступа к удаленной машине
Peer-to-peer приложения
Структура профиля объекта
MAC адрес
HTTP профиль
POP профиль
SMTP профиль
AOL профиль
SSH профиль
TLS профиль
FTP профиль
NetBIOS профиль
MS BROWSER профиль
DNS профиль
HTTP
Сторона пользователя
Запрошенные страницы
Введённые в формы данные
Браузер
Cookies
Сторона сервера
Строка сервера
RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1
POP
Сторона пользователя
Адреса запрошенных серверов
Имя пользователя, пароль
Частота опроса сервера
Кол-во сообщений на сервере
Сторона сервера
Строка ответа +OK
RFC 1399 - Post Office Protocol - Version 3
SMTP
Сторона пользователя
Имя пользователя
Почтовый агент
Расширения Агента (к примеру enigmail)
Зашифрованный пароль
Частота обращений
Сторона сервера
Приветствие в ответ на EHLO
Расширения ESMTP
RFC 2821 - Simple Mail Transfer Protocol
RFC 2554 - SMTP Service Extension for Authentication
AOL
Сторона пользователя
Номер ICQ
Запрошенные сервисы
Список возможностей клиента
Контакт-лист
SSH
Сторона пользователя
Протокол клиента
Алгоритмы шифрования
Алгоритмы сжатия
Mac алгоритмы
Kex алгоритмы
Сторона сервера
Протокол сервера
Алгоритмы шифрования
Алгоритмы сжатия
Mac алгоритмы
Kex алгоритмы
RFC 4251 - The Secure Shell (SSH) Protocol Architecture
TLS
Сторона пользователя
Алгоритмы шифрования
Сторона сервера
Версия
Алгоритм шифрования
Сертификат
RFC 2246 - The TLS Protocol
FTP
Сторона пользователя
Имя пользователя, пароль
Директория по умолчанию
Сторона сервера
Строка server ready
Строка welcome
Ответ на Syst
Дерево файловой системы
RFC 959 - FILE TRANSFER PROTOCOL (FTP)
NETBIOS
Имя компьютера
Домен / Рабочая группа
RFC 1001 - Protocol standard for a NetBIOS service on a TCP/UDP transport: Concepts and
methods
Microsoft Windows Browser
Protocol
Тип сервера
Комментарий
DNS
Сторона пользователя
Адрес сервера
Выводы
Сделано:
Проведен обзор средств захвата и анализа
траффика сети, из них выбрано наиболее
подходящее для решения задачи
Построен тестовый набор параметров профиля
Определены алгоритмы работы системы
Требуется сделать:
Реализовать алгоритм построения профиля
Реализовать простейший алгоритм
идентификации
Провести испытания системы идентификации
Сделать выводы о применимости метода
Перспективы дальнейшего
развития
Расширение профиля за счет других
протоколов
Использование более сложных методов
идентификации