g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

ICMP Tünel Tespit Yöntemi ve İstatistiksel Analize Dayalı Uygulama

I. Genel Bakış

Kurumsal intranet ortamında, ICMP protokolü vazgeçilmez ağ iletişim protokollerinden biridir.Ağ bağlantı durumunu tespit etmek için kullanılır.Normalde güvenlik duvarı bu protokolü varsayılan olarak koyacaktır. Güvenlik duvarı ICMP protokolüne açık olduğundan, kötü niyetli saldırganlar genellikle yasadışı iletişim için ICMP protokolünü kullanır. Örneğin, bilgisayar korsanı saldırılarında, bilgisayar korsanının belirli bir yöntemle bir ana bilgisayarın yetkisini elde ettiği ve etki alanı karmaları, parola dosyaları vb. Gibi bazı dosyaları, kırılması için yerel alana geri gönderilmesi gereken bir durum vardır. , Ancak güvenlik duvarı dahili ağ tarafından başlatılan isteği engelledi, yalnızca icmp protokolü engellenmedi ve bilgisayar korsanının dosyayı geri göndermesi gerekiyor. Şu anda, bilgisayar korsanı uzak bilgisayara ping atabilirse, bir ICMP tüneli oluşturmayı deneyebilir. ICMP tüneli Trafik, güvenlik duvarına girmek için ping verilerini kullanmayı amaçlayan bir ping paketi içinde kapsüllenir. Piyasada halihazırda icmptunnel, ptunnel, icmpsh vb. Gibi birçok benzer araç bulunmaktadır.

Bu makale basit ve etkili bir ICMP tünel algılama teknolojisini tanıtacaktır. ICMP tünellerini tespit etmemize yardımcı olması için Spark Streaming'i kullanacağız.

İki, ICMP tüneli

2.1 Çalışma mekanizması

ICMP (İnternet Kontrol Mesajları Protokolü), TCP / IP protokol paketinin bir alt protokolüdür ve bağlantısız bir protokoldür. ICMP protokolünün yapısı Şekil 1'de gösterilmektedir:

Şekil 1

Sık kullanılan ping komutu, ICMP protokolüne dayanır. Windows sistemi altında varsayılan ping iletimi şudur: abcdefghijklmnopqrstuvwabcdefghi, Şekil 2'de gösterildiği gibi toplam 32 bayt:

şekil 2

Linux sisteminde varsayılan ping iletimi 48 bayttır, ilk 8 bayt zamanla değişir, ikincisi sabittir, içerik! # $% () +, -. / 01234567'dir, Şekil 3'te gösterildiği gibi:

resim 3

Ayrıca ping'in paket boyutu, yani veri boyutu değiştirilebilir.Örnek olarak pencereleri alın.Ping baidu.com -l 223'ü kullanın ve 223 bayta değiştirin.Paket içeriğinden, kural hala aynıdır, sadece tekrarlayın. Şekil 4'te gösterildiği gibi:

Şekil 4

Kendi verilerimizi doldurmak için bu verileri değiştirebilir miyiz? Cevap elbette!

Bu, ICMP gizli tünellerin ilkesidir.İşletim sistemi tarafından doldurulan varsayılan verileri değiştirin ve kendi verilerimizle değiştirin.

Örneğin, icmp tünelinin kullanılması, Şekil 5'te gösterildiği gibi www.facebook.com dizesini içeren özel bir veri paketi oluşturabilir:

Şekil 5

2.2 ICMP tünel paket incelemesi

Windows sistemi altında varsayılan ping iletimi şudur: abcdefghijklmnopqrstuvwabcdefghi, onaltılık içerik şudur:

6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869

Linux sisteminde varsayılan ping aktarım içeriği:! # $% () +, -. / 01234567 değişkenini başlangıçta kaldırdıktan sonra onaltılık içerik şu şekildedir:

101112131415161718191a1b1c1d1e1f202122232425262728292a2b2c2d2e2f3031323334353637

Özel uzunlukta ping yapmak için, 492 bitlik veri oluşturmak için Linux altında ping -s 500 baidu.com'u kullanın, başlangıçta 8 bayt değişkenini kaldırın ve onaltılık içerik:

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

Pencerelerin altındaki özel uzunlukta ping benzerdir, onaltılık içerik:

6162636465666768696a6b6c6d6e6f70717273747576776162636465666768696a6b6c6d6e6e6f70717273747576776162636465666768696a6b6c6d6e6f707172737475

Bu nedenle, normal işletim sistemi altında ping tarafından üretilen veriler onaltılık bir sayıya dönüştürülür ve 00'dan başlayıp sürekli olarak ff'ye artan tekrar eden dizide bir veya birkaç segment haline gelir.

000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b3c3d3e3f404142434445464748494a4b4c4d4e4f505152535455565758595a5b5c5d5e5f606162636465666768696a6b6c6d6e6f707172737475767778797a7b7c7d7e7f808182838485868788898a8b8c8d8e8f909192939495969798999a9b9c9d9e9fa0a1a2a3a4a5a6a7a8a9aaabacadaeafb0b1b2b3b4b5b6b7b8b9babbbcbdbebfc0c1c2c3c4c5c6c7c8c9cacbcccdcecfd0d1d2d3d4d5d6d7d8d9dadbdcdddedfe0e1e2e3e4e5e6e7e8e9eaebecedeeeff0f1f2f3f4f5f6f7f8f9fafbfcfdfeff

İcmp tüneli tarafından oluşturulan özel veri paketi için içerik, onaltılık düzeye dönüştürüldükten sonra sıra dışı ve düzensizdir. Örneğin, içeriği R5 * êÍwwwfacebookcom dizesi olan özel bir veri paketi oluşturulur ve onaltılık içeriği:

4500003e377d400040119c2f0a0001020a0052019d800035002a1a14eacd01000001000000000000037777770866616365626f6f6b03636f6d0000010001

Bu nedenle, ping tarafından üretilen veri paketinin içeriğinin onaltılık sisteme dönüştürülüp düzenli olmadığına göre ayırt edilebilir.

Burada, özellik eşleştirme için AC otomatik veri dizesi eşleştirme yöntemi kullanılır.

(1) Normal işletim sistemi tarafından üretilen sürekli tekrarlanan sıra aşağıdaki gibidir:

Her 4 bit, özellik dizilerine bölünür ve ortaya çıkan özellik dizileri aşağıdaki gibidir:

"0001", "0203", "0405", ...... "feff"

Linux tarafından oluşturulan aşağıdaki veriler gibi ping tarafından oluşturulan veriler:

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

Her 4 bit, özellik dizilerine bölünür ve ortaya çıkan özellik dizileri aşağıdaki gibidir:

"e7cd", "0a00", ......, "1011", "1213", "1415", ......, "feff"

(2) Üretilen özellik dizisini normal işletim sistemi tarafından oluşturulan özellik dizisiyle eşleştirmek için ac otomata algoritmasını kullanın, eşleşen özellik sayısını * 4 / yük uzunluğunu eşleştirme derecesi olarak kullanın ve 0.987 elde etmek için eşleştirme derecesini hesaplayın.

Eşleştirme algoritması:

Eşleştirme derecesi = eşleşen özelliklerin sayısı * 4 / yük uzunluğu

Normal ping verileri tarafından oluşturulan veriler için, hesaplanan eşleştirme sonuçlarının tümü 0.9'un üzerindedir. Icmp tüneli tarafından oluşturulan özel veri paketleri genellikle düşük bir eşleştirme derecesine sahiptir. Eşleştirme derecesine göre normal işletim sistemi tarafından üretilen veri olup olmadığını ayırt edebilirsiniz. paketi.

3. İstatistiksel analize dayalı ICMP tünel tespiti

Normal bir ping komutu tarafından oluşturulan veriler aşağıdaki özelliklere sahiptir:

Saniyede gönderilen veri paketlerinin sayısı nispeten azdır, genellikle saniyede yalnızca iki veri paketi gönderilir;

İstek paketi, karşılık gelen yanıt paketiyle aynı içeriğe sahiptir;

Veri paketindeki yükün boyutu sabittir, pencereler altında 32 bayt ve linux altında 48 bayt;

Veri paketindeki yükün içeriği sabittir.Windows altında abcdefghijklmnopqrstuvwabcdefghi ve linux altında! # $% () +, -. / 01234567. Ping uzunluğu belirtilirse, sürekli tekrarlanan sabit bir dizedir;

Yalnızca iki tür tür vardır, 0 ve 8. 0 istek verisidir ve 8 yanıt verisidir.

ICMP tüneli tarafından üretilen veriler aşağıdaki özelliklere sahiptir:

Saniyede gönderilen veri paketlerinin sayısı nispeten fazladır ve aynı anda yüzlerce ICMP veri paketi üretilecektir;

Talep veri paketi, karşılık gelen yanıt veri paketinden farklıdır;

Veri paketindeki yükün boyutu herhangi bir boyutta olabilir;

13/15/17 tipi yararlı yüke sahip bazı hatalı biçimlendirilmiş veri paketleri var;

Ayrı ICMP tünel araçları tarafından oluşturulan paketlerin içeriği, tüneli tanımlamak için "TUNL" ile işaretlenecektir.

Bu nedenle, normal ping ve ICMP tüneli tarafından oluşturulan veri paketlerinin özelliklerine göre, ICMP tüneli aşağıdaki özelliklerle tespit edilebilir:

Aynı kaynaktan gelen paketlerin sayısını kontrol edin. Normal ping saniyede yalnızca 2 paket gönderirken, ICMP tünelleri saniyede birçok paket gönderebilir;

Veri paketindeki yükün boyutunu kontrol edin. Normal ping tarafından oluşturulan veri paketinin yük boyutu sabittir, ICMP tünel veri paketinin boyutu ise isteğe bağlı olabilir;

Yanıt paketindeki yükün istek paketiyle tutarsız olup olmadığını kontrol edin. Normal ping tarafından oluşturulan veri paketi talebi yanıt içeriği tutarlıdır, ICMP tüneli istek yanıtı veri paketi tutarlı veya tutarsız olabilir;

Veri paketindeki yükün içeriğini kontrol edin. Normal ping tarafından oluşturulan yük sabit bir dizedir ve ICMP tünelinin yükü isteğe bağlı olabilir;

ICMP paketinin türünün 0 ve 8 olup olmadığını kontrol edin. Normal ping tarafından oluşturulan yüke sahip veri paketleri yalnızca 0 ve 8 türlerine sahiptir ve ICMP tüneli türü 13/15/17 olabilir.

Dört, özel uygulama

4.1 Teknik seçim

İstatistik tabanlı ICMP tünel algılamasını bir üretim ortamına yerleştirirken, büyük veri ölçeğinin modelin zamanlaması ve verimi üzerindeki etkisini dikkate almak gerekir. Pek çok değerlendirmeden sonra, Spark Streaming nihayet çevrimiçi test için seçildi.

Spark Streaming, yüksek verim ve hata toleransı ile gerçek zamanlı veri akışı işlemeyi gerçekleştirebilen Spark'ın temel API'sinin bir uzantısıdır. Kafka, Flume, Twitter, ZeroMQ, Kinesis ve TCP soketleri dahil olmak üzere çeşitli veri kaynaklarından veri almayı destekler.Veri kaynağından veri aldıktan sonra, karmaşık algoritmaları işlemek için eşleme, azaltma, birleştirme ve pencere gibi gelişmiş işlevleri kullanabilirsiniz. Son olarak, işleme sonuçları dosya sisteminde, veri tabanında ve alan kontrol panelinde saklanabilir. "Tek Yığın hepsini yönet" temelinde, küme öğrenme, grafik hesaplama, vb. Gibi Spark'ın diğer alt çerçeveleri de akış verilerini işlemek için kullanılabilir.

4.2 Test süreci

Tüm süreç esas olarak 3 aşamaya ayrılmıştır:

Veri toplama = > Özet istatistikler = > Algılama ve filtreleme, özel algılama mantığı Şekil 6'da gösterilmektedir:

Resim 6

4.2.1 Veri toplama

Spark Streaming'de gerçek zamanlı trafik verilerini okuyun, her 15 saniyede bir işlenecek verileri ayarlayın, veri paketlerini kaynak IP ve hedef IP boyutuna göre sıralayın ve gruplayın ve aynı IP'den hedef IP'ye gönderilen istek / yanıt paketlerini bir grup halinde gruplayın Paket alanında time_sort_sip_dip artı zaman damgası zaman damgası, kaynak ip ile hedef ip arasındaki veri paketlerini son 15 saniyede filtrelemek için, her 15 saniyede yalnızca aynı ip ve hedef ip'in geçerli 15 saniyede işlenmesini sağlamak için veri.

4.2.2 Özet istatistikler

Gruplanmış verilere göre, aşağıdaki karakteristik göstergeler sırasıyla nihai tespit için temel olarak sayılır:

1. Bir zaman penceresinde, ICMP talebi ve yanıt veri paketlerinin sayısı;

2. Yakalanan ICMP istek yanıtında, yük bölümünün işletim sisteminin normal uzunluğu olup olmadığı;

3. Aynı sıra numarasına sahip ICMP veri paketleri, bir çift ICMP istek yanıt mesajına ait olmalıdır ve yüklerinin tutarlı olup olmadığı;

4. ICMP istek yanıtının yük içeriğinin normal olup olmadığı (çok modlu eşleştirme);

5. ICMP isteğinin hatalı biçimlendirilmiş bir Ping paketi olup olmadığı (Türün anormal olup olmadığı);

1/2/5 için, istatistiksel gruptaki yük sayısını, yük_len uzunluğunun değerini ve türü 0/8 olmayan veri paketlerinin olup olmadığını doğrudan kullanın ve doğrudan alın.

3 ile değerlendirme için, id_seq kümesinin boyutunu ve yük kümesini normal ping ve anormal veriler arasındaki farka göre karşılaştırmak ve gruptaki istatistiklere göre kopyaları kaldırmak gerekir:

Normal bir ping için, kaynak ip'ten hedef ip'e gönderilen bir dizi veri paketindeki id_seq'in tümü farklıdır; burada tanımlama, geçerli istek için rastgele oluşturulan sıra numarasıdır ve aynı grup aynıdır.Sıra, 1'den başlayarak paket sayısına dayanır Sayı her seferinde 1 artırılır Aynı istek ve yanıt paketinin id_seq değeri aynıdır ve yük içeriği de aynıdır. Örnek: ping baidu.com, 5 istek ve 5 yanıt dahil olmak üzere 10 veri paketi oluşturur, ardından id_seq, tekilleştirmeden sonra 5, yük tekilleştirme 1 olduktan sonra 1 ve linux altında 5 olur.

Icmp tüneli için kaynak ip'den hedef ip'e gönderilen bir dizi veri paketindeki id_seq aynı veya farklı olabilir. Aynı istek ve yanıt veri paketinin id_seq'i aynı veya farklı olabilir ve yük içeriği farklıdır. Örnek: Tünel 10 paket oluşturur, ardından id_seq, tekilleştirmeden sonra 5 olur (sıra sırası artar) veya 1 (sıra sabittir ve artmaz) ve veri tekilleştirmeden sonra yük 10 olur. Olağanüstü durumlarda, yalnızca paket göndermek ve yanıt paketi yok, o zaman id_seq, tekilleştirmeden sonra 10'dur.

Bazı aşırı durumlardan bağımsız olarak, basitçe payloads_num > id_seq_num, istek yanıtının içeriğinin farklı olduğu düşünülebilir ve ekstrem durumlarda diğer koşullara göre algılanabilir.

4'ün kararı için, yükün anormal olup olmadığına karar vermek için 2.2'de tanıtılan yöntemi kullanın.

4.2.3 Algılama filtresi

Yanlış pozitifleri azaltmak için, normal yönlendiriciler tarafından gönderilen bazı veri paketlerini filtreleyin ve tespit edilip edilmeyeceğini belirlemek için üç koşulun bir kombinasyonunu kullanın:

Yasadışı yük türleri vardır ve tekilleştirilen yüklerin sayısı eşikten daha büyüktür. (İntranet testinden sonra, tek tek yönlendiriciler aynı içeriğe sahip hatalı biçimlendirilmiş yüklere sahip paketler gönderecektir. Eşikten daha büyük tekilleştirilmiş yüklerin sayısını artırarak. filtre);

İstek yanıt veri paketi tutarsız;

15 saniye içindeki paketlerin sayısı, anormal uzunluktaki paketlerin sayısı, anormal içeriğe sahip paketlerin sayısı ve tekilleştirmeden sonraki yüklerin sayısı, tespit edilecek özel bir eşikten daha büyüktür (intranet tarafından test edilir, tek tek yönlendiriciler birkaç tane ile ayrılır. Anormal içeriğe sahip ancak birkaç farklı karaktere sahip bir yük sinyal paketi her saat gönderilir. Tekilleştirmeyi artırarak (tekilleştirme için Hamming mesafesini kullanarak, fark 3 karakterden fazla değilse yük sayısı aynıdır) eşikten büyüktür Filtrelemek için).

Icmp tünel özelliklerinin çeşitliliği göz önüne alındığında, üçünden biri karşılandığı sürece tespit edilecektir.Tünelde yalnızca istek paketleri vardır ve yanıt paketleri bulunmaz gibi bazı son derece anormal ICMP tünel paketleri için, yani veriler her zaman gönderilir, ardından id_seq tekilleştirilir 10'dur (10 kez istek paketidir ve sıra artırılır) Yük tekilleştirildikten sonra 10'dur. Tek başına 2 ile tespit edilemez, ancak 3 ile tespit edilebilir ve yanlış negatifler olmadan da tespit edilir.

Beş, model etkisi

5.1 Negatif numune algılama etkisi

Mevcut test sürecinde kullanılan bilinen negatif örnekler aşağıdaki gibidir:

icmpTunnel tünel aracı tarafından oluşturulan bir örnek olan icmpTunnel örneği;

icmptransmitter örneği, icmptransmitter tünel aracı tarafından oluşturulan örnek;

icmpsh tünel aracıyla yapılmış bir örnek olan icmpsh örneği;

Hata örneği, python betiği tarafından manuel olarak yapılan icmp'nin anormal veri paketi.

Anormal numunelerin tespit doğruluğu aşağıdaki gibidir:

5.2 Pozitif numune algılama etkisi

Mevcut test sürecinde kullanılan bilinen pozitif örnekler aşağıdaki gibidir:

Normal Ping veri paketi, Ping komutu tarafından oluşturulan veri paketi, platform linux / win / mac / solaris / android / ios içerir, yük içeriği aşağıdaki gibidir: abcdefg12345, vb.

Ağ cihazlarının, yönlendiricilerin ve diğer ağ cihazlarının sinyal paketleri, periyodik olarak sinyal paketleri gönderir. Yük içeriği aşağıdaki gibidir: DataBuffer 0000001, DataBuffer 0000002, vb.

Normal örneklerin yanlış alarm oranı aşağıdaki gibidir ve aralarında Ios platformunun bazen yanlış alarmları vardır:

Altı, özet

Bu makale, ICMP tünel yöntemlerinin istatistiksel tabanlı tespitinin ve uygulamasının bazı teknik ayrıntılarını tanıtmaktadır. Her şeyden önce, istatistiklere dayalı ICMP tespitinin kilit noktası, ICMP tünelinin çalışma prensibini ve bazı karakteristik indeksleri anlamaktır.Sadece daha iyi indeksler gerçek ortamda tespit etkisini garanti edebilir. İkinci olarak, çevrimiçi gerçek zamanlı tespit elde etmek için, çeşitli göstergelerin gerçek zamanlı istatistiklerini gerçekleştirmek ve eşiği aşan verileri tespit etmek için Spark Streaming ile birlikte makalede tanıttık. Son olarak, pozitif numuneyi ve negatif numuneyi ayrı ayrı test ederek tespit eşiği, tespit doğruluğunu iyileştirmek için ayarlanır.

Yazar: Elephant Competence Center TCC-Chris, yeniden basıldı: https: //www.freebuf.com/articles/network/202634.html

Premier Lig oyuncuları lüks otomobil envanteri: ABD koyunları ve koyunları en lüks olanlardır, Tenten her zamanki yolu izlemiyor

Elim saniyede 6,6 kez titriyor, ben "hastayım"!