Transcript Курсовая работа

Курсовая работа
Исследование возможности
удаленной идентификации
сетевых объектов
Определения





Устройство – MAC + OS + сервисы
Пользователь – человек + используемое им
ПО
Объект – пользователь + одно из
используемых им устройств
Мультиобъект – пользователь + множество
используемых им устройств
Профиль объекта – вектор параметров
объекта, полученный при сканировании
Актуальность

Мониторинг сети:



Отслеживание перемещений пользователей и
устройств
Обнаружение новых пользователей и устройств
Обнаружение отклонений поведения
пользователя, или устройства
Формальная постановка задачи





1. Разработать структуру и семантику профиля объекта (модель
окружения).
2. Расширить набор параметров за счет добавления тех, которые
можно собрать пассивным прослушиванием.
3. Реализовать алгоритм построения профиля для сетей
TCP/IP/Ethernet.
4. Испытать метод идентификации в сети факультета ВМиК.
5. Сделать выводы о возможности использования профилей для
идентификации объектов.
Обзор имеющихся средств
Бесплатный
Декодирует текст
Парсит протоколы
Удобочитаемый формат
Приветливый интерфейс
Iris Ettercap Wireshark(Ethereal) TCPdump
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Нет
Нет
Да
Нет
Да
Нет
Да
Нет
Метод решения
1.Режим пополнения базы
Сетевой
траффик
wireshark
Декодированный
трафик
Анализатор
Профиль
База профилей
Метод решения
1.Режим идентификации
Сетевой
траффик
IP адрес
wireshark
Декодированный
трафик
Анализатор
База профилей
Профиль
Идентифицирующая функция
Результат
Проблемы

Получение всего трафика



Частичное изменение объекта



Коммутированная сеть
Нужен администраторский доступ к шлюзу
Устойчивость метода идентификации к частичному
изменению профиля
Поддержание базы профилей в актуальном состоянии
Значительное изменение объекта
Классификация сетевых
приложений, реализующих
модель объекта

По типу использования



Системные
Пользовательские
По коммуникационным функциям







Обмен мгновенными сообщениями
Почтовые серверы и клиенты
Веб приложения и броузеры
Служебные приложения
Службы предоставления доступа к машине
Клиенты доступа к удаленной машине
Peer-to-peer приложения
Структура профиля объекта











MAC адрес
HTTP профиль
POP профиль
SMTP профиль
AOL профиль
SSH профиль
TLS профиль
FTP профиль
NetBIOS профиль
MS BROWSER профиль
DNS профиль
HTTP

Сторона пользователя





Запрошенные страницы
Введённые в формы данные
Браузер
Cookies
Сторона сервера

Строка сервера
RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1
POP

Сторона пользователя





Адреса запрошенных серверов
Имя пользователя, пароль
Частота опроса сервера
Кол-во сообщений на сервере
Сторона сервера

Строка ответа +OK
RFC 1399 - Post Office Protocol - Version 3
SMTP

Сторона пользователя






Имя пользователя
Почтовый агент
Расширения Агента (к примеру enigmail)
Зашифрованный пароль
Частота обращений
Сторона сервера


Приветствие в ответ на EHLO
Расширения ESMTP
RFC 2821 - Simple Mail Transfer Protocol
RFC 2554 - SMTP Service Extension for Authentication
AOL

Сторона пользователя




Номер ICQ
Запрошенные сервисы
Список возможностей клиента
Контакт-лист
SSH

Сторона пользователя






Протокол клиента
Алгоритмы шифрования
Алгоритмы сжатия
Mac алгоритмы
Kex алгоритмы
Сторона сервера





Протокол сервера
Алгоритмы шифрования
Алгоритмы сжатия
Mac алгоритмы
Kex алгоритмы
RFC 4251 - The Secure Shell (SSH) Protocol Architecture
TLS

Сторона пользователя


Алгоритмы шифрования
Сторона сервера



Версия
Алгоритм шифрования
Сертификат
RFC 2246 - The TLS Protocol
FTP

Сторона пользователя



Имя пользователя, пароль
Директория по умолчанию
Сторона сервера




Строка server ready
Строка welcome
Ответ на Syst
Дерево файловой системы
RFC 959 - FILE TRANSFER PROTOCOL (FTP)
NETBIOS


Имя компьютера
Домен / Рабочая группа
RFC 1001 - Protocol standard for a NetBIOS service on a TCP/UDP transport: Concepts and
methods
Microsoft Windows Browser
Protocol


Тип сервера
Комментарий
DNS

Сторона пользователя

Адрес сервера
Выводы

Сделано:




Проведен обзор средств захвата и анализа
траффика сети, из них выбрано наиболее
подходящее для решения задачи
Построен тестовый набор параметров профиля
Определены алгоритмы работы системы
Требуется сделать:




Реализовать алгоритм построения профиля
Реализовать простейший алгоритм
идентификации
Провести испытания системы идентификации
Сделать выводы о применимости метода
Перспективы дальнейшего
развития


Расширение профиля за счет других
протоколов
Использование более сложных методов
идентификации