Detectando malware oculto en el tráfico P2P

2

Considere una situación de red que involucre (solo) tráfico de igual a igual en una red de tamaño mediano.

Por razones de conveniencia, se puede suponer una aplicación P2P simple como DC ++, aunque estoy apuntando a un conjunto más amplio de torrents, etc. también.

Peer A realiza una búsqueda del archivo qwerty.mp3 y luego comienza a extraer el archivo, en partes, de diferentes Peers-B, C, D y E.

Ahora diga que el Sr. C es el que ha compartido este archivo entre Peers, que es un par malicioso y el archivo contiene un malware / troyano, etc.

Dado que el archivo se está descargando en piezas de diferentes Peers, es poco probable que un sistema estándar de Detección de Intrusos pueda detectarlo, ya que la mayoría de ellas involucran técnicas de detección basadas en firmas. Y muy probablemente cuando las piezas se vuelvan a ensamblar en el sistema del Sr. A, su antivirus activará una advertencia sobre el contenido malicioso.

Entonces, mi pregunta:
              A nivel de red, ¿qué enfoque puede adoptar un administrador para que pares inocentes como A estén protegidos de tales situaciones?

Por favor, no sugiera acciones o medidas relacionadas con el usuario final. Todo lo que se tiene que hacer, debe hacerse a nivel de red.

Tenga en cuenta que lo estoy viendo más desde el punto de vista de la investigación y está perfectamente bien no orientarme hacia las técnicas existentes que se utilizan en los entornos de producción, sino compartir enlaces para los artículos de investigación y dar respuestas que hablan de un tema abierto. técnicas terminadas

    
pregunta pnp 25.07.2012 - 15:15
fuente

4 respuestas

1

De hecho, el tráfico P2P ha afectado directamente el rendimiento de la mayoría de los IDS / IPS y hay un aumento significativo en los falsos positivos. El problema radica en el comportamiento del tráfico P2P, que es muy parecido al tráfico malicioso.

Para la segunda parte de su pregunta, el enfoque más idealista que puede adoptarse a nivel de red es el DPI (Inspección profunda de paquetes). La idea es segregar el tráfico P2P del tráfico normal tanto como sea posible, aunque el DPI no es aplicable en el tráfico P2P cifrado. En la siguiente fase, las firmas se aplican a este tráfico P2P segregado para separar el malicioso para el tráfico P2P benigno.

Fuente: ¿Cuál es el impacto del tráfico P2P en la detección de anomalías

    
respondido por el Ali Ahmad 17.01.2013 - 05:37
fuente
3

Muchos programas P2P crearán hashes de cada pieza para evitar que una entidad maliciosa modifique las piezas en vuelo. Cuando su cliente P2P obtiene una pieza, verifica su hash. Esto evitará que una entidad maliciosa modifique una parte de un archivo válido, pero no le ayudará si el archivo en sí (qwerty.mp3) es malicioso.

Si el archivo en sí mismo es malicioso, una solución simple es ejecutar un análisis antivirus en el archivo final y ver si hay algún problema. Esto satisfará su detección basada en la firma / anomalía (dependiendo de lo que haga el antivirus)

    
respondido por el Oleksi 25.07.2012 - 16:47
fuente
2

Tal vez podría ejecutar los programas p2p en un proxy, descargar el archivo completo (esta es la primera vez que lo va a ver y poder escanearlo por completo en un virus ... la transmisión p2p es irrelevante), luego escanéelo y entréguelo al usuario.

Modo sencillo: interfaz de usuario web para que las personas realicen búsquedas, soliciten & descargar. Modo difícil: intercepte desde clientes p2p y pretenda ser el único compañero, mientras que en realidad se descarga de otros pares, no deja que muchos archivos lleguen al descargador hasta que lo haya escaneado

    
respondido por el Tom Newton 14.10.2012 - 11:46
fuente
-1

Esto es similar a IP fragmentation attack . Al fragmentar el datagrama IP en partes más pequeñas, se realiza un tipo de ataque de DOS, que yo sepa. Puedes buscarlo en google. Este es el cuarto resultado en Google pero OffensiveSecurity es generalmente uno de los mejores en Problemas de seguridad.

Espero que esto ayude

    
respondido por el smttsp 16.01.2013 - 17:10
fuente

Lea otras preguntas en las etiquetas