Представлен инструмент Hone для анализа сетевых пакетов с привязкой к приложениям

18.04.2012 16:57

Глен Финк (Glen Fink) из команды исследователей Министерства энергетики США, представил инструмент для исследования безопасности Hone, предназначенный для глубокого и детального исследования сетевой активности внутри крупных компьютерных систем. По словам создателя, инструмент способен дать администраторам более полную картину взаимосвязей между сетевыми пакетами, чем обычные средства исследования сетевой активности.

Главная идея Hone (HOst-NEtwork) - дать наглядное представление взаимосвязей между машинами, приложениями и подозрительными пакетами, обнаруженными внутри сети. Hone позволяет сгенерировать графическое представление этих взаимосвязей, благодаря которому можно без труда найти источник проблемы, проследив путь трафика от машины назначения к источнику, приложению и конкретному процессу, сгенерировавшему пакеты.

Hone реализован в виде сетевого сенсора, использующего функциональность подсистемы Linux Netfilter. Его ядро состоит из нескольких модулей, которые регистрируют функции обратного вызова на цепочках INPUT и OUTPUT, собирая информацию о каждом пришедшем и покинувшем машину пакете. Эта информация связывается с данными о процессе, участвующем в обмене пакетами и направляется в файл /dev/hone в виде простого текста или в формате PCAP-NG, который можно проанализировать с помощью таких инструментов как Wireshark.

В данный момент в публичном доступе находится только сам сенсор (код под лиценизией GPL), более высокоуровневые компоненты Hone не открыты и более детальная информация о них недоступна. Тем не менее, доступные наработки проекта уже используются в Тихоокеанской северо-западной национальной лаборатории для выявления возможных угроз.

исправить +6 +/–

Главная ссылка к новости (http://www.eweek.com/c/a/Enter...)

Автор новости: Evgeny Zobnin

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/33631-security

Ключевые слова: security, sniffer, pcap

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, klalafuda (?), 18:08, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Я конечно чрезвычайно рад за тихоокеанскую северо-западную национальную лабораторию и их беспрецедентный уровень секурити, но при таком подходе мне то что с того :-?

2.9, Аноним (-), 22:50, 18/04/2012 [^] [^^] [^^^] [ответить]	+/–
при каком подходе?

3.10, Аноним (-), 00:54, 19/04/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> при каком подходе? "код есть и работает, но мы вам его не дадим. Проприетарщики мы"

4.14, Аноним (-), 09:03, 19/04/2012 [^] [^^] [^^^] [ответить]	–3 +/–
Все нормально. Программу то тебе дают бесплатно? Откроют код и хакеры научатся обходить сабж ))

5.19, iCat (ok), 13:24, 19/04/2012 [^] [^^] [^^^] [ответить]

+1 +/–

>...Все нормально. Программу то тебе дают бесплатно?...

Хавай то, что дали!!!
Победное шествие Идеи "зверь-сиди" по планете!

Хомячок, опомнись, пока не стал барашком...

1.2, aNoN (?), 18:28, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?

2.4, Михаил (??), 18:45, 18/04/2012 [^] [^^] [^^^] [ответить]	+1 +/–
А Вы что, хотите, чтоб root не знал что на машине происходит? Для предоставления максимально полной свободы (сладкое слово?) хакерам, админу следует сделать себе шел false и группу nobody. Харакири по вкусу.

2.15, 3030 (?), 10:34, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
Теперь? А какие проблемы с отслеживанием трафика конкретного приложения были до этого?

3.17, aNoN (?), 12:32, 19/04/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Направьте на хаутушку, как фильтровать трафик не по назначению (адресам\|портам), а по приложениям. Например, запущено у меня два почтовых клиента и я хочу знать сколько каждый хавает трафика, именно в разрезе этих двух приложений-клиентов, а не почтовых серверов, на которые настроены учётки.

4.21, iCat (ok), 15:03, 19/04/2012 [^] [^^] [^^^] [ответить]

+1 +/–

> Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.

...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
It is just work.

5.22, aNoN (?), 15:53, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
Расширение работает с INPUT?

6.23, Аноним (-), 03:37, 20/04/2012 [^] [^^] [^^^] [ответить]	+/–
>Расширение работает с INPUT? Нет. И с png тоже. А Hone работает с INPUT?

7.24, aNoN (?), 10:56, 20/04/2012 [^] [^^] [^^^] [ответить]	+/–
Я не знаю.

5.25, anonim (?), 22:37, 21/04/2012 [^] [^^] [^^^] [ответить]	+/–
-m owner поддерживает только --uid-owner и --gid-owner. Где тут фильтр по приложениям?

6.28, Имя и код (?), 02:29, 24/04/2012 [^] [^^] [^^^] [ответить]	+/–
> -m owner поддерживает только --uid-owner и --gid-owner. > Где тут фильтр по приложениям? --cmd-owner name Matches if the packet was created by a process with the given command name. (this option is present only if iptables was com- piled under a kernel supporting this feature)

2.26, Имя и код (?), 01:36, 24/04/2012 [^] [^^] [^^^] [ответить]

+/–

> Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?

Да давно уже можно было, блин RTFM!

man iptables

owner
This module attempts to match various characteristics of the packet
creator, for locally-generated packets. It is only valid in the OUTPUT
chain, and even this some packets (such as ICMP ping responses) may
have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given
effective user id.

--gid-owner groupid
Matches if the packet was created by a process with the given
effective group id.

--pid-owner processid
Matches if the packet was created by a process with the given
process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given ses-
sion group.

--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)

3.29, qux (ok), 22:13, 08/05/2012 [^] [^^] [^^^] [ответить]	+/–
Это вы с каких годов хаутушки копипастили? cmd-owner с 2.6.15 не работает, хватит ним трясти.

1.6, Аноним (-), 19:33, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В чем новость-то? В том, что запилили очередной сенсор трафика? Так на базе netfilter это любой студент сможет, всего пара стандартных хуков.

2.7, Аноним (-), 21:27, 18/04/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Не, в том, что не просто запилили, а еще и закрыли, сказали, что работает система просто супер, но ее ни кому не дадут.

3.8, DannyBoy (?), 22:32, 18/04/2012 [^] [^^] [^^^] [ответить]	+/–
Таки патентным троллингом попахивает =//

3.11, Аноним (-), 00:55, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
> Не, в том, что не просто запилили, а еще и закрыли, сказали, > что работает система просто супер, но ее ни кому не дадут. Это любой студент второго курса (айтишной специальности, более-менее приличного вуза) может запилить. Так об чем новость?

4.12, Аноним (-), 00:56, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
> Это любой студент второго курса (айтишной специальности, более-менее приличного вуза) > может запилить. Разумеется, так чтобы работало. И под какой угодно лицензией.

5.20, iCat (ok), 15:00, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния. It is just work.

4.13, pavlinux (ok), 02:29, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
Ну не второй, 4-5 минимум.

4.16, Andrey Mitrofanov (?), 10:39, 19/04/2012 [^] [^^] [^^^] [ответить]	+/–
> Это любой студент > может запилить. Так об чем новость? В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

5.27, Имя и код (?), 01:39, 24/04/2012 [^] [^^] [^^^] [ответить]

+/–

>> Это любой студент
>> может запилить. Так об чем новость?
> В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

Пила 0xFF ? :))

игнорирование участников | лог модерирования

Добавить комментарий

Текст: