¿Cómo identifico un puerto / protocolo desconocido que recoge mi IDS?

7

La búsqueda en Google de un puerto y protocolo conduce a una descripción concisa en el mejor de los casos, y a una granja de enlaces en el caso promedio. La mayoría de los protocolos en puertos altos desconocidos y clasificados contienen poco o ningún texto simple, y con frecuencia si el IDS se dispara en medio de una sesión, ni siquiera veo la configuración de la sesión.

Hay listas útiles de firmas de archivos que denotan diferentes tipos de archivos. Nunca he visto algo como esto para los protocolos sobre la capa de transporte, además de quizás el que está integrado en Wireshark.

¿Alguien sabe de una buena fuente de información para esto?

Otra opción sería un clasificador de aprendizaje automático para datos de red. He visto artículos que los describen y he visto proyectos para construir un inicio, pero nunca encontré uno en una etapa de desarrollo utilizable.

    
pregunta user502 08.12.2010 - 22:23
fuente

3 respuestas

4

Veamos, esto debería ser fácil: lea un buen artículo como Clasificación de tráfico fuera de línea / en tiempo real mediante el aprendizaje semiprotegido

Entonces, tal vez mezcle algo de conocimiento para entender completamente una sola lectura a través de Técnicas estadísticas para la seguridad de la red (barato, solo $ 160 en amazon)

Luego encienda su editor de texto favorito y codifique un poco, pero utilice RapidMiner o Weka porque, bueno, codificar esos algoritmos es también fácil .

Finalmente, pasa un par de horas ajustando los algoritmos y luego todo listo.

Aparte del sarcasmo, los pasos anteriores describen una forma académicamente popular de resolver creativamente muchos problemas difíciles en seguridad. Ojalá pudiera decir que podría hacer lo anterior de manera competente. ¡Tal vez usted pueda escribir una herramienta para hacerlo!

    
respondido por el Tate Hansen 09.12.2010 - 06:04
fuente
3

Comenzaría con la lista de la IANA aquí . A continuación, investigaría el (los) host (s) en su red hacia donde fluye el tráfico para tratar de determinar la aplicación responsable del tráfico. Si lo encuentra en la lista de la IANA, este es solo un paso de verificación. Si el tráfico es consistente y no es malicioso, debería poder determinar qué aplicación está recibiendo / generando el tráfico utilizando netstat en el host.

    
respondido por el sdanelson 09.12.2010 - 03:05
fuente
2

Usamos Amap de The Hacker's Choice. Si alguien intenta ofuscar un servicio cambiando su número de puerto, Amap lo identificará. Si se trata de un protocolo que Amap no conoce, entonces todavía estás SOL.

enlace

  

Amap es una herramienta de próxima generación para ayudar a las pruebas de penetración de red.    Realiza detección de protocolo de aplicación rápida y confiable, independiente.    en el puerto TCP / UDP al que están vinculados.

    
respondido por el Weber 09.12.2010 - 08:04
fuente

Lea otras preguntas en las etiquetas