Relación entre la respuesta del tiempo de http y la ubicación geográfica

6

Tengo muchos archivos de pcap sobre el tráfico generado por el malware, que incluyen gran cantidad de paquetes como TCP UDP y HTTP más importante. Considerando que es posible tener las ubicaciones geográficas relacionadas con las direcciones IP; La pregunta es: ¿hay una manera de averiguar si la ubicación es falsa en comparación con el tiempo de respuesta del servidor?

    
pregunta CDominik 19.09.2015 - 14:29
fuente

1 respuesta

1

De una manera confiable, no hay. Las razones:

  • Hay muchas otras circunstancias que pueden aumentar el tiempo de respuesta. Por ejemplo, si hay un sistema virtualizado o está sobrecargado. O su red está sobrecargada.
  • El protocolo TCP utiliza un esquema de ventanas , por lo que no obtendrá los ACK de los paquetes recibidos. , pero generalmente para 8 paquetes anteriores, y depende de la velocidad del sistema remoto para procesar estos paquetes.
  • La topología de las redes es similar a un gráfico en el nivel más alto (alrededor del enrutamiento a nivel de país), mientras que es similar a un árbol debajo de eso. Los tiempos de demora pueden ser confiables en el primero, pero comienzan a ser poco fiables por debajo de eso.
  • Incluso si funcionara, solo puede obtener información de "distancia" que está muy lejos de la localización.

Pero:

  • Al enviar el primer paquete TCP, la ventana de TCP está casi vacía, por lo que el retraso del primer paquete ACK es prácticamente información confiable sobre el retraso. Se puede usar esencialmente como un ping basado en tcp .
  • Si tiene acceso a registros de servidores grandes, puede construir una base de datos a partir del tiempo de demora típico de cada red IP registrada en la red. Sería útil si almacenara no solo el valor medio del retraso del paquete, sino también su desviación estándar .
  • Si tiene acceso a múltiples servidores, en lugares y redes ampliamente remotos en el mundo (por ejemplo, uno en Europa central, otro en Nueva Zelanda), puede crear una base de datos de tiempo para todos ellos.
  • Estas bases de datos deben depender no solo de las redes IP remotas, sino también de la hora del día y del día de la semana (esta carga de red depende principalmente de estas).

Después de eso, basado en una extensión de punto flotante del Teorema de Bayes (tal vez extendido un poco de lógica difusa ) podrá obtener un "factor de beliavibility" de los retrasos de IP. Pero resultará en la mayoría de los casos resultados engañosos, porque la causa de los retrasos poco realistas está en la mayoría de los casos en la última milla , y solo en una parte relativamente pequeña de la falsificación obvia.

Pero, si conecta estas IP de "comportamientos sospechosos" a otros registros de seguridad, puede ser una fuente útil de "datos blandos". Por ejemplo, podría ser útil aumentar la sensibilidad de los filtros de spam o los cortafuegos alarmantes.

Requiere matemáticas en el tercer cuarto semestre de la mayoría de las universidades, y al menos un profesional & programador senior.

Las cosas a desarrollar:

  • Construyendo una base de datos de este tipo y su integración hw / sw
  • Construyendo los scripts de monitoreo de red
  • Y construyendo el script de localización de IP basado en las estadísticas de retardo de red de una IP individual.

Yo diría que sería entre una semana y medio año de desarrollo, según los detalles.

Si tiene suficientes máquinas, puede crear una base de datos de demora incluso entre casi todas las redes de la Tierra, que incluso podría usarse para la localización de su ubicación real. Pero sería mucho más difícil.

    
respondido por el peterh 19.09.2015 - 15:18
fuente

Lea otras preguntas en las etiquetas