HTTP.The.Definitive.Guide.Brian.Totty.David.Gourley.OReilly.pdf
9.5 MB
Http The Definitive Guide
@ViperNull
@ViperNull
Forwarded from NSEs
اگه به چلنج های نتورک فارنزیک علاقه دارید
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
CyberTalents
Network Security » CyberTalents
Cyber Talents is a platform that ranks cyber security talents across the globe according to their skills in different cyber security categories through Capture The Flag Contests in order to be hired by recruiters.
🔥5
ViperNułł
@ViperNull
⭕ یه نگاه امنیت محور و دقیقه به Pcode در ARP !!
ARP چیه؟
تو دنیای شبکه، یکی از سادهترین ولی حیاتیترین پروتکلها، ARP یا همون Address Resolution Protocol هست. این پروتکل کارش اینه که آدرسهای IP رو به آدرسهای MAC ترجمه کنه. ولی یه بخشی از بستههای ARP هست به نام Pcode که تو زمینهی امنیتی خیلی مهم میشه، مخصوصاً وقتی صحبت از ARP Spoofing یا همون جعل ARP وسط میاد.
اصلاً Pcode چیه تو ARP؟
حالا بریم سراغ اصل مطلب. تو ساختار یه بستهی ARP، یه فیلدی هست به اسم Opcode یا همون Pcode (خیلی جاها این دو واژه جای هم استفاده میشن). این فیلد مشخص میکنه که پیام ARP قراره چه کاری انجام بده:
وقتی مقدارش 1 باشه، یعنی یه درخواست (ARP Request) داریم. فرستنده یجورایی داره میپرسه: ببخشید، MAC آدرس این IP چنده؟
وقتی مقدارش 2 باشه، یعنی یه پاسخ (ARP Reply) داریم. فرستنده یجورایی جواب میده: سلام منم اون IP، اینم MAC من!
پس، Pcode تعیینکنندهی نوع عملیاتیه که بستهی ARP قراره انجام بده.
نقش Pcode توی ARP Spoofing دقیقاً چیه؟
اینجا قضیه امنیتیتر میشه. تو حملهی ARP Spoofing، مهاجم میاد خودش رو بهجای یه دستگاه دیگه جا میزنه، اونم با ارسال بستههای جعلی ARP. حالا جالب اینجاست که مهاجم از همون فیلد Pcode برای مشخص کردن نوع بستهی خودش استفاده میکنه.
مثلاً:
مهاجم یه ARP Reply (یعنی Pcode = 2) میفرسته، حتی اگه کسی ARP Request نکرده باشه!
این جواب جعلی میگه: IP آدرس فلان؟ آره، اون مال منه، اینم MAC من!
قربانی که همچین جوابی رو از ARP گرفته، میگه باشه، قبول، توی جدول ARP خودش ثبت میکنه.
و از اینجا به بعد، ترافیک شبکه اشتباهی به سمت مهاجم میره. یعنی اون وسط میتونه اطلاعات رو ببینه، تغییر بده، یا حتی بندازه دور (حمله Man-in-the-Middle یا DoS).
پس چرا Pcode مهمه؟
چون مهاجم برای حملهش بهطور مستقیم به فیلد Pcode دست میزنه. اگه توی شبکهی خودمون بتونیم رفتار بستههایی با Pcode = 2 که بدون درخواست میان رو تحلیل کنیم، میتونیم سرنخهای خوبی از حملههای احتمالی بگیریم.
حتی بعضی از IDS/IPS ها (سیستمهای تشخیص نفوذ) دقیقاً اینو مانیتور میکنن که آیا ARP Reply بدون Request رسیده یا نه.
یه نکتهی ظریف ولی کاربردی:
تو دنیای واقعی، ARP هیچگونه احراز هویتی نداره. یعنی هر کسی میتونه یه ARP Reply بفرسته با Pcode = 2 و هیچکس نمیپرسه: تو برای چی اینو فرستادی من که چیزی نگفتم ؟
همین سادگی باعث شده که حملهی ARP Spoofing جزو پایهایترین و خطرناکترین حملات شبکههای LANباشه
@ViperNull
ARP چیه؟
تو دنیای شبکه، یکی از سادهترین ولی حیاتیترین پروتکلها، ARP یا همون Address Resolution Protocol هست. این پروتکل کارش اینه که آدرسهای IP رو به آدرسهای MAC ترجمه کنه. ولی یه بخشی از بستههای ARP هست به نام Pcode که تو زمینهی امنیتی خیلی مهم میشه، مخصوصاً وقتی صحبت از ARP Spoofing یا همون جعل ARP وسط میاد.
اصلاً Pcode چیه تو ARP؟
حالا بریم سراغ اصل مطلب. تو ساختار یه بستهی ARP، یه فیلدی هست به اسم Opcode یا همون Pcode (خیلی جاها این دو واژه جای هم استفاده میشن). این فیلد مشخص میکنه که پیام ARP قراره چه کاری انجام بده:
وقتی مقدارش 1 باشه، یعنی یه درخواست (ARP Request) داریم. فرستنده یجورایی داره میپرسه: ببخشید، MAC آدرس این IP چنده؟
وقتی مقدارش 2 باشه، یعنی یه پاسخ (ARP Reply) داریم. فرستنده یجورایی جواب میده: سلام منم اون IP، اینم MAC من!
پس، Pcode تعیینکنندهی نوع عملیاتیه که بستهی ARP قراره انجام بده.
نقش Pcode توی ARP Spoofing دقیقاً چیه؟
اینجا قضیه امنیتیتر میشه. تو حملهی ARP Spoofing، مهاجم میاد خودش رو بهجای یه دستگاه دیگه جا میزنه، اونم با ارسال بستههای جعلی ARP. حالا جالب اینجاست که مهاجم از همون فیلد Pcode برای مشخص کردن نوع بستهی خودش استفاده میکنه.
مثلاً:
مهاجم یه ARP Reply (یعنی Pcode = 2) میفرسته، حتی اگه کسی ARP Request نکرده باشه!
این جواب جعلی میگه: IP آدرس فلان؟ آره، اون مال منه، اینم MAC من!
قربانی که همچین جوابی رو از ARP گرفته، میگه باشه، قبول، توی جدول ARP خودش ثبت میکنه.
و از اینجا به بعد، ترافیک شبکه اشتباهی به سمت مهاجم میره. یعنی اون وسط میتونه اطلاعات رو ببینه، تغییر بده، یا حتی بندازه دور (حمله Man-in-the-Middle یا DoS).
پس چرا Pcode مهمه؟
چون مهاجم برای حملهش بهطور مستقیم به فیلد Pcode دست میزنه. اگه توی شبکهی خودمون بتونیم رفتار بستههایی با Pcode = 2 که بدون درخواست میان رو تحلیل کنیم، میتونیم سرنخهای خوبی از حملههای احتمالی بگیریم.
حتی بعضی از IDS/IPS ها (سیستمهای تشخیص نفوذ) دقیقاً اینو مانیتور میکنن که آیا ARP Reply بدون Request رسیده یا نه.
یه نکتهی ظریف ولی کاربردی:
تو دنیای واقعی، ARP هیچگونه احراز هویتی نداره. یعنی هر کسی میتونه یه ARP Reply بفرسته با Pcode = 2 و هیچکس نمیپرسه: تو برای چی اینو فرستادی من که چیزی نگفتم ؟
همین سادگی باعث شده که حملهی ARP Spoofing جزو پایهایترین و خطرناکترین حملات شبکههای LANباشه
@ViperNull
👍12❤1
Forwarded from Ai000 Cybernetics QLab
در عملیات ردتیم شما بین اوپریشنهایی که انجام میدهید فقط یک Delay در حدود 48 ساعت قرار بدهید. به قول معروف، اتمیک و توزیع شده کار خود را پیش ببرید تا جای پای خودتان را محکم کنید. همین یک مورد موجب خواهد شد، 90 درصد افراد تحلیلگر SOC نتوانند زنجیره کارهای شما را شناسایی کنند.
یکی از دلایل مهم که اکنون وجود دارد و عملا T1 و T2 را در معرض حذف قرار داده است، همین باگ در نظارت انسانی است که توانایی Correlation اتفاقات را در محدوده زمانی گسترده ندارد. حال شما فرض کن، از زمانی که بدافزار روی ماشین دراپ میشود، تا زمانی که پیلود خود را اجرا کند، دو هفته دیلی تعریف شده باشد. بین هر اکشن تا اکشن بعدی 48 ساعت زمان تعریف شده باشد. بازه فعالیت ها در ساعت 2 تا 4 صبح تنظیم شده باشد آن هم نه به صورت منظم، ترافیک استخراج داده بین نرخ بالا و پایین ترافیک شبکه مقصد Fade شده باشد.
تقریبا مطمئن هستم هیچ تحلیلگر سطح یکی نمیتواند متوجه ناهنجاری شود مگر اینکه واقعا از کنار هیچ اتفاقی به سادگی نگذرد که در بین آن حجم از لاگ و ... شدنی نیست. به هر صورت، دیفنس خیلی خیلی مشکلات متعدد دارد که فناوریهای نوظهور از جمله رویکرد مثلا هارپون تقریبا توانسته است این مشکلات را بدون دخیل کردن نیروی انسانی حل کند ولی خب باز هم مشکلات زیاد است.
این را صرفا مطرح کردم تا در آینده یک موضوعی از سمت آزمایشگاه امنیت سایبرنتیک آیو دراپ شود که خب مرتبط با همین مسئله است.
@aioooir | #anomaly_against_anomaly
یکی از دلایل مهم که اکنون وجود دارد و عملا T1 و T2 را در معرض حذف قرار داده است، همین باگ در نظارت انسانی است که توانایی Correlation اتفاقات را در محدوده زمانی گسترده ندارد. حال شما فرض کن، از زمانی که بدافزار روی ماشین دراپ میشود، تا زمانی که پیلود خود را اجرا کند، دو هفته دیلی تعریف شده باشد. بین هر اکشن تا اکشن بعدی 48 ساعت زمان تعریف شده باشد. بازه فعالیت ها در ساعت 2 تا 4 صبح تنظیم شده باشد آن هم نه به صورت منظم، ترافیک استخراج داده بین نرخ بالا و پایین ترافیک شبکه مقصد Fade شده باشد.
تقریبا مطمئن هستم هیچ تحلیلگر سطح یکی نمیتواند متوجه ناهنجاری شود مگر اینکه واقعا از کنار هیچ اتفاقی به سادگی نگذرد که در بین آن حجم از لاگ و ... شدنی نیست. به هر صورت، دیفنس خیلی خیلی مشکلات متعدد دارد که فناوریهای نوظهور از جمله رویکرد مثلا هارپون تقریبا توانسته است این مشکلات را بدون دخیل کردن نیروی انسانی حل کند ولی خب باز هم مشکلات زیاد است.
این را صرفا مطرح کردم تا در آینده یک موضوعی از سمت آزمایشگاه امنیت سایبرنتیک آیو دراپ شود که خب مرتبط با همین مسئله است.
@aioooir | #anomaly_against_anomaly
👍6
Forwarded from Ai000 Cybernetics QLab (Milad Kahsari Alhadi)
خیلی از شرکتهای بزرگ دنیا از سونی بگیرید تا علی بابا و یاهو و ... حتی برخی از وب سایتهای مهم مانند فیسبوک و توئیتر و لینکدین و حتی اشلی مدیسون هک شدند و اطلاعات میلیونها کاربر نشت شد که هیچ، برخی از ساختارهای مرتبط با پروژهها و اطلاعات داخلی این شرکتها هم نشت داده شد. دلیل هم کامل واضح است، امنیت در نگاه مهندسی سیستمها، یک مسئله کاملا نسبی است. شما تحت هیچ شرایطی نمیتوانید مدعی شوید زیرساخت من ایمن است مگر اینکه از همان ابتدا با نگاه امنیتی آن سیستم و زیست بوم آن را توسعه داده باشید. امنیت یکی از بزرگترین چالشهای توسعه سیستمهای دینامیک و استاتیک از همان ابتدا بوده است، چون همانطور که بلوغ امنیتی رخ میدهد، شیوههای نفوذگری جدید هم ابداع میشوند (مایکل سیکروسکی آن را مانند بازی موش و گربه تمثیل کرده است). چه آن زمانی که سیستمهای سایبرنتیک عمومیت نداشتند چه الان که همه چیز به آنها گره خورده است، بسیاری از متخصصان سالها تلاش کردند تا به مفاهیم ابتدایی مانند Bell-LaPadula Formalism در سیستمها به ایمنی برسند. با این حال، هنوز که هنوزه زیرساختها مورد نفوذ قرار میگیرند و تمامی رویکردها و استانداردهای گذشته تقریبا Failed شدند. به عنوان مثال، الان اگر NSA تصمیم بگیرد، زیرساخت XXXXXX ایران را مورد نفوذ قرار بدهد، هزینهاش خرید یک زیرودی Exchange است. البته NSA نیاز به خرید ندارد، چون خودشان توسعه میدهند و همواره شاه کلید دست آنها است. اخیرا، یعنی تقریبا از سال 2017 به بعد (مخصوصا بعد ماجرای اوبر و سولارویندز)، نهادهای نظامی در مرحله اول و بعدها ساختارها و شرکتهای مهم تجاری به سمت رویکرد جدیدی رفتهاند که آن را میتوانیم Behavioral Anomaly Detection & Response نامگذاری کنیم. در این رویکرد، دیگر خبری از نگاههای سنتی SOC/CSIRT نیست، بلکه همه چیز در فرآیندهای استاندارد و البته خودکار شده است. در این رویکرد جدید تمرکز روی شناسایی انومالیها در تمامی سطوح رفتاری و سیستمی است که این آنومالی هم به ازای هر محیط متفاوت است (Case Study مجزا دارد)، و در نهایت بهینهسازی فرآیندها برای واکنش و رفع تهدیداتی که رخ میدهد با توجه به سنجه زمان که هر چقدر R(T) کمتر باشد، بهتر است. شخصا در ایران هیچ جا نتوانستم این مسئله را به دلیل وجود تداخلهایی که در تصمیم گیری وجود داشت و همچنین عدم دنبال کردن نگاه مهندسی سیستمی توسط مدیران پیادهسازی کنم. ولی چه الان چه صد سال دیگر جبر روزگار همه را وادار میکند که به این سمت حرکت کنیم و متوجه شویم دیگر با ابزار، محصول و حتی هزاران نیروی متخصص نمیتوان به امنیت رسید وقتی زیرساخت و فرآیند و Pipelineها مشکل دارد. البته با احترام به تمام متخصصان عزیز، من صرفا نظر خودم را گفتم.
@aioooir | #snapfood
@aioooir | #snapfood
👍10
ViperNułł
@ViperNull
روتکیتهای سختافزاری:
وقتی صحبت از بد افزار ها میشه، معمولاً همه ذهنشون میره سمت ویروسها، بدافزارها و باجافزارهایی که سیستمعامل رو آلوده میکنن. اما یه لایه عمیقتر و خطرناکتر هم هست که خیلیها اصلاً بهش فکر نمیکنن: روتکیتهای سختافزاری. اینا مثل جاسوسهایی هستن که نه فقط توی سیستمعامل، بلکه توی خود سختافزار یا firmware جا خوش میکنن. بیاید با هم ببینیم اینا دقیقاً چی هستن، کجا قایم میشن و چطوری کار میکنن.
کجا قایم میشن؟ (حافظههای قابلنویس سختافزاری)
روتکیتهای سختافزاری برخلاف بدافزارهای معمولی، خودشون رو توی فایلهای سیستمی یا رم نمیندازن. نه، اونا یهجورایی خودشونو "جا میکنن" تو دل سختافزار — جایی که معمولاً هیچکس سر نمیزنه:
UEFI یا BIOS
این بخش پایهترین فریمور مادربورده که اولین کدی هست که موقع روشن شدن سیستم اجرا میشه. حملهکننده میتونه فریمور UEFI رو دستکاری کنه و کدی رو توش بنویسه که قبل از بوت سیستمعامل اجرا بشه. این یعنی حتی اگه ویندوز رو کامل فرمت کنی، روتکیت سر جاش میمونه.
Firmware دستگاههای جانبی
مثلاً کارت شبکه، SSD یا کارت گرافیک هم یه چیپ مخصوص برای firmware دارن. روتکیت میتونه اونجا تزریق بشه. برای نمونه، حملاتی مثل USBevil یا SSD firmware rootkit دقیقاً از همین راه وارد شدن.
Intel Management Engine (IME) / AMD PSP
اینا چیپهایی هستن که مستقل از CPU اصلی کار میکنن و دسترسی خیلی گسترده به سیستم دارن. یه روتکیت اگه وارد این ناحیه بشه، دیگه پاک کردنش تقریباً غیرممکنه چون این چیپ حتی وقتی سیستم خاموشه هم تا حدی فعاله.
چطوری کار میکنن؟ (مکانیزم اجرایی)
فرض کن داری کامپیوترتو روشن میکنی. قبل از اینکه سیستمعامل لود بشه، اول فریمور UEFI اجرا میشه. حالا اگه یه روتکیت اونجا نشسته باشه، میتونه یه سری کدهای مخرب اجرا کنه و مثلاً یه hypervisor ساختگی بارگذاری کنه که کل سیستمعامل روی اون اجرا بشه — بدون اینکه سیستمعامل حتی بفهمه داره زیرنظر گرفته میشه.
روتکیتهای سختافزاری میتونن:
خودشون رو از هر آنتیویروس یا اسکنری مخفی کنن.
دادهها رو شنود کنن یا تغییر بدن (مثلاً keylogger در سطح سختافزار).
سیستمعامل رو با نسخهی آلوده جایگزین کنن.
حتی توی شبکه backdoor باز کنن برای کنترل از راه دور.
نمونههای واقعی از این نوع حملات
LoJax
اولین روتکیت UEFI کشفشده که توسط یک گروه APT (تهدید پایدار پیشرفته) به سیستمها نفوذ کرد. حتی با نصب مجدد ویندوز هم از بین نمیرفت.
Thunderstrike
حملهای به فریمور مکبوکها از طریق پورت Thunderbolt. با یه درایو دستکاریشده، میشد فریمور رو آلوده کرد.
BadUSB
USBهایی که firmware داخلشون تغییر کرده بود و مثل یه کیبورد یا شبکه عمل میکردن تا کد مخرب تزریق کنن — بدون اینکه آنتیویروس بتونه تشخیصش بده.
چرا انقدر خطرناک هستن؟
پاکنشدنی هستن؛ مگر اینکه با ابزار خاصی firmware رو بازنویسی کنی (که خیلی وقتها ممکن نیست).
در سطحی کار میکنن که آنتیویروسها دسترسی ندارن.
میتونن سالها بدون شناسایی باقی بمونن.
به سختافزار آسیب دائمی بزنن یا اطلاعات حیاتی رو به بیرون نشت بدن.
چطور باید محافظت کرد؟
Secure Boot رو فعال کن تا فقط کدهای امضاشده اجرا بشن.
فریمور مادربورد، SSD و دستگاهها رو همیشه آپدیت نگهدار.
سیستمهایی که امنیت حیاتی دارن (مثل سرورهای دولتی) بهتره از سیستمعاملهایی با UEFI Secure Mode و امکانات امنیتی بیشتر استفاده کنن.
از ابزارهای پیشرفته مثل CHIPSEC برای تحلیل فریمور استفاده کن (برای کاربران پیشرفته).
https://news.1rj.ru/str/ViperNull
وقتی صحبت از بد افزار ها میشه، معمولاً همه ذهنشون میره سمت ویروسها، بدافزارها و باجافزارهایی که سیستمعامل رو آلوده میکنن. اما یه لایه عمیقتر و خطرناکتر هم هست که خیلیها اصلاً بهش فکر نمیکنن: روتکیتهای سختافزاری. اینا مثل جاسوسهایی هستن که نه فقط توی سیستمعامل، بلکه توی خود سختافزار یا firmware جا خوش میکنن. بیاید با هم ببینیم اینا دقیقاً چی هستن، کجا قایم میشن و چطوری کار میکنن.
کجا قایم میشن؟ (حافظههای قابلنویس سختافزاری)
روتکیتهای سختافزاری برخلاف بدافزارهای معمولی، خودشون رو توی فایلهای سیستمی یا رم نمیندازن. نه، اونا یهجورایی خودشونو "جا میکنن" تو دل سختافزار — جایی که معمولاً هیچکس سر نمیزنه:
UEFI یا BIOS
این بخش پایهترین فریمور مادربورده که اولین کدی هست که موقع روشن شدن سیستم اجرا میشه. حملهکننده میتونه فریمور UEFI رو دستکاری کنه و کدی رو توش بنویسه که قبل از بوت سیستمعامل اجرا بشه. این یعنی حتی اگه ویندوز رو کامل فرمت کنی، روتکیت سر جاش میمونه.
Firmware دستگاههای جانبی
مثلاً کارت شبکه، SSD یا کارت گرافیک هم یه چیپ مخصوص برای firmware دارن. روتکیت میتونه اونجا تزریق بشه. برای نمونه، حملاتی مثل USBevil یا SSD firmware rootkit دقیقاً از همین راه وارد شدن.
Intel Management Engine (IME) / AMD PSP
اینا چیپهایی هستن که مستقل از CPU اصلی کار میکنن و دسترسی خیلی گسترده به سیستم دارن. یه روتکیت اگه وارد این ناحیه بشه، دیگه پاک کردنش تقریباً غیرممکنه چون این چیپ حتی وقتی سیستم خاموشه هم تا حدی فعاله.
چطوری کار میکنن؟ (مکانیزم اجرایی)
فرض کن داری کامپیوترتو روشن میکنی. قبل از اینکه سیستمعامل لود بشه، اول فریمور UEFI اجرا میشه. حالا اگه یه روتکیت اونجا نشسته باشه، میتونه یه سری کدهای مخرب اجرا کنه و مثلاً یه hypervisor ساختگی بارگذاری کنه که کل سیستمعامل روی اون اجرا بشه — بدون اینکه سیستمعامل حتی بفهمه داره زیرنظر گرفته میشه.
روتکیتهای سختافزاری میتونن:
خودشون رو از هر آنتیویروس یا اسکنری مخفی کنن.
دادهها رو شنود کنن یا تغییر بدن (مثلاً keylogger در سطح سختافزار).
سیستمعامل رو با نسخهی آلوده جایگزین کنن.
حتی توی شبکه backdoor باز کنن برای کنترل از راه دور.
نمونههای واقعی از این نوع حملات
LoJax
اولین روتکیت UEFI کشفشده که توسط یک گروه APT (تهدید پایدار پیشرفته) به سیستمها نفوذ کرد. حتی با نصب مجدد ویندوز هم از بین نمیرفت.
Thunderstrike
حملهای به فریمور مکبوکها از طریق پورت Thunderbolt. با یه درایو دستکاریشده، میشد فریمور رو آلوده کرد.
BadUSB
USBهایی که firmware داخلشون تغییر کرده بود و مثل یه کیبورد یا شبکه عمل میکردن تا کد مخرب تزریق کنن — بدون اینکه آنتیویروس بتونه تشخیصش بده.
چرا انقدر خطرناک هستن؟
پاکنشدنی هستن؛ مگر اینکه با ابزار خاصی firmware رو بازنویسی کنی (که خیلی وقتها ممکن نیست).
در سطحی کار میکنن که آنتیویروسها دسترسی ندارن.
میتونن سالها بدون شناسایی باقی بمونن.
به سختافزار آسیب دائمی بزنن یا اطلاعات حیاتی رو به بیرون نشت بدن.
چطور باید محافظت کرد؟
Secure Boot رو فعال کن تا فقط کدهای امضاشده اجرا بشن.
فریمور مادربورد، SSD و دستگاهها رو همیشه آپدیت نگهدار.
سیستمهایی که امنیت حیاتی دارن (مثل سرورهای دولتی) بهتره از سیستمعاملهایی با UEFI Secure Mode و امکانات امنیتی بیشتر استفاده کنن.
از ابزارهای پیشرفته مثل CHIPSEC برای تحلیل فریمور استفاده کن (برای کاربران پیشرفته).
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
🔥6👍2❤1
ViperNułł
https://news.1rj.ru/str/ViperNull
⭕سیستم تشخیص نفوذ (IDS) چیه و چجوری کار میکنه؟
یکی از اجزای مهم امنیت شبکه، چیزی نیست جز سیستم تشخیص نفوذ یا همون IDS (Intrusion Detection System)
کار اصلی IDS اینه که نفوذ یا حملههای احتمالی رو شناسایی کنه و هشدار بده. البته خودش مستقیماً جلو حمله رو نمیگیره (اون کار وظیفهی IPS هست) ولی بهعنوان دیدهبان شبکه، میتونه حسابی مفید باشه
سیستم IDS چطوری کار میکنه؟
برای اینکه IDS بتونه کاری انجام بده باید یه کپی از ترافیک شبکه رو بگیره و بررسیش کنه. این سیستم معمولاً با استفاده از یک پایگاه داده از الگوها یا رفتارها، تصمیم میگیره که آیا ترافیکی مشکوک هست یا نه‼
انواع IDS
سیستم IDSها به طور کلی به دو دسته تقسیم میشن:
۱. Signature-based IDS
این نوع IDS بر اساس الگوها ( پترن حملات) یا امضاهای حملات شناختهشده کار میکنه. مثل وقتی که آنتیویروس یه ویروس خاص رو از رو امضاش میشناسه. سیستمهایی مثل Snort و Suricata از این دسته هستن
ابزار های Snort و Suricata هر دو اوپنسورس و رایگان هستن
ولی نکته اینه که رولهای دقیق و آپدیتشده برای Snort معمولاً پولیان
و رولهای Snort رو میتونیم توی Suricata هم استفاده کنیم
۲. Behavior-based IDS
این سیستمها بر اساس تحلیل رفتار ترافیک کار میکنن مثلاً اگه یه سیستم معمولاً روزی ۱۰۰ پکت میفرسته ولی یهو شد ۱۰ هزار تا، این ممکنه نشونهای از حمله باشه
وIDSهای رفتاری میتونن کمک زیادی توی شناسایی حملات Zero-day بکنن
یه مثال خوبش Zeek هست که خیلی هم محبوبه این ابزار
⬇️
چجوری ترافیک رو به IDS میدیم؟
خب، IDS خودش ترافیک رو sniff نمیکنه، باید یه کپی از ترافیک بهش داده بشه
برای این کار چند تا روش وجود داره:
۱. Port Mirroring یا SPAN
توی سوییچهای سیسکو بهش میگن SPAN، یعنی ترافیک یه پورت یا VLAN رو کپی میکنیم میفرستیم برای IDS.
ولی این روش یه مشکل اساسی داره: به منابع سوییچ فشار میاره و ممکنه باعث افت کارایی بشه.
۲. استفاده از TAP
میاییم از TAP (Test Access Point) استفاده میکنیم
یه سختافزار لایه یکه که بدون فشار به سوییچ، یه کپی از ترافیک رو به IDS میده.
‼یه مشکل اساسی: ترافیک رمزشده‼
سیستم های IDS تا وقتی میتونه مفید باشه که بتونه محتوای بستهها رو ببینه اگه ترافیک رمز شده باشه (SSL/TLS) IDS عملاً نمیتونه چیزی بفهمه
راهکار چیه؟
برای این موضوع هم راهحل هست:
از Forward Proxy یا Reverse Proxy استفاده میکنیم که بتونن ترافیک رو رمزگشایی کنن و یه کپی رمز نشده بدن به IDS
مثلاً روی دستگاههایی مثل Gigamon TAP میتونیم کلید رمزگشایی SSL رو بدیم تا یه نسخهی رمزگشاییشده برای IDS داده بشه
حتی توی فایروالهای جدید، قابلیتی به نام SSL Decryption Mirroring داریم که همین کارو انجام میده
ذخیرهسازی پکتها: IDS پکت رو نگه نمیداره، پس چی کار کنیم؟
نکته مهم اینه که IDS ترافیک رو ذخیره نمیکنه، فقط تحلیل میکنه
ولی اگه بخوایم برای بررسیهای فارنزیک یا بعد از حمله پکتها رو داشته باشیم، باید از ابزارهایی برای ذخیرهسازی استفاده کنیم
راهحل: FPC یا Full Packet Capture
با استفاده از سیستمهایی مثل Arkime (قبلاً به اسم Moloch بودش) میتونیم پکتها رو بهطور کامل ذخیره کنیم
حالا اگه با روشهایی که بالا گفتیم ترافیک رمزگشایی شده باشه، میتونیم نسخهی قابل تحلیلش رو هم ذخیره کنیم، و بعداً برای بررسیهای دقیقتر استفاده کنیم
اگه بخوام جمعبندی کنم
سیستم IDSوظیفش تحلیل و هشدار دادنه نه جلوگیری
ترافیک باید براش کپی بشه، با TAP بهتر از SPAN
موضوع رمزنگاری رو با ابزارهایی مثل proxy و SSL mirroring حلش میکنیم
برای ذخیرهسازی دقیقتر FPC مثل Arkime استفاده میکنیم
https://news.1rj.ru/str/ViperNull
یکی از اجزای مهم امنیت شبکه، چیزی نیست جز سیستم تشخیص نفوذ یا همون IDS (Intrusion Detection System)
کار اصلی IDS اینه که نفوذ یا حملههای احتمالی رو شناسایی کنه و هشدار بده. البته خودش مستقیماً جلو حمله رو نمیگیره (اون کار وظیفهی IPS هست) ولی بهعنوان دیدهبان شبکه، میتونه حسابی مفید باشه
سیستم IDS چطوری کار میکنه؟
برای اینکه IDS بتونه کاری انجام بده باید یه کپی از ترافیک شبکه رو بگیره و بررسیش کنه. این سیستم معمولاً با استفاده از یک پایگاه داده از الگوها یا رفتارها، تصمیم میگیره که آیا ترافیکی مشکوک هست یا نه‼
انواع IDS
سیستم IDSها به طور کلی به دو دسته تقسیم میشن:
۱. Signature-based IDS
این نوع IDS بر اساس الگوها ( پترن حملات) یا امضاهای حملات شناختهشده کار میکنه. مثل وقتی که آنتیویروس یه ویروس خاص رو از رو امضاش میشناسه. سیستمهایی مثل Snort و Suricata از این دسته هستن
ابزار های Snort و Suricata هر دو اوپنسورس و رایگان هستن
ولی نکته اینه که رولهای دقیق و آپدیتشده برای Snort معمولاً پولیان
و رولهای Snort رو میتونیم توی Suricata هم استفاده کنیم
۲. Behavior-based IDS
این سیستمها بر اساس تحلیل رفتار ترافیک کار میکنن مثلاً اگه یه سیستم معمولاً روزی ۱۰۰ پکت میفرسته ولی یهو شد ۱۰ هزار تا، این ممکنه نشونهای از حمله باشه
وIDSهای رفتاری میتونن کمک زیادی توی شناسایی حملات Zero-day بکنن
یه مثال خوبش Zeek هست که خیلی هم محبوبه این ابزار
⬇️
چجوری ترافیک رو به IDS میدیم؟
خب، IDS خودش ترافیک رو sniff نمیکنه، باید یه کپی از ترافیک بهش داده بشه
برای این کار چند تا روش وجود داره:
۱. Port Mirroring یا SPAN
توی سوییچهای سیسکو بهش میگن SPAN، یعنی ترافیک یه پورت یا VLAN رو کپی میکنیم میفرستیم برای IDS.
ولی این روش یه مشکل اساسی داره: به منابع سوییچ فشار میاره و ممکنه باعث افت کارایی بشه.
۲. استفاده از TAP
میاییم از TAP (Test Access Point) استفاده میکنیم
یه سختافزار لایه یکه که بدون فشار به سوییچ، یه کپی از ترافیک رو به IDS میده.
‼یه مشکل اساسی: ترافیک رمزشده‼
سیستم های IDS تا وقتی میتونه مفید باشه که بتونه محتوای بستهها رو ببینه اگه ترافیک رمز شده باشه (SSL/TLS) IDS عملاً نمیتونه چیزی بفهمه
راهکار چیه؟
برای این موضوع هم راهحل هست:
از Forward Proxy یا Reverse Proxy استفاده میکنیم که بتونن ترافیک رو رمزگشایی کنن و یه کپی رمز نشده بدن به IDS
مثلاً روی دستگاههایی مثل Gigamon TAP میتونیم کلید رمزگشایی SSL رو بدیم تا یه نسخهی رمزگشاییشده برای IDS داده بشه
حتی توی فایروالهای جدید، قابلیتی به نام SSL Decryption Mirroring داریم که همین کارو انجام میده
ذخیرهسازی پکتها: IDS پکت رو نگه نمیداره، پس چی کار کنیم؟
نکته مهم اینه که IDS ترافیک رو ذخیره نمیکنه، فقط تحلیل میکنه
ولی اگه بخوایم برای بررسیهای فارنزیک یا بعد از حمله پکتها رو داشته باشیم، باید از ابزارهایی برای ذخیرهسازی استفاده کنیم
راهحل: FPC یا Full Packet Capture
با استفاده از سیستمهایی مثل Arkime (قبلاً به اسم Moloch بودش) میتونیم پکتها رو بهطور کامل ذخیره کنیم
حالا اگه با روشهایی که بالا گفتیم ترافیک رمزگشایی شده باشه، میتونیم نسخهی قابل تحلیلش رو هم ذخیره کنیم، و بعداً برای بررسیهای دقیقتر استفاده کنیم
اگه بخوام جمعبندی کنم
سیستم IDSوظیفش تحلیل و هشدار دادنه نه جلوگیری
ترافیک باید براش کپی بشه، با TAP بهتر از SPAN
موضوع رمزنگاری رو با ابزارهایی مثل proxy و SSL mirroring حلش میکنیم
برای ذخیرهسازی دقیقتر FPC مثل Arkime استفاده میکنیم
https://news.1rj.ru/str/ViperNull
Telegram
ViperNułł
ViperNull | Exploring the world of network security. Dive into cybersecurity with in-depth content on penetration testing, defensive strategies, vulnerability analysis, and powerful security tools.
Pv ; @Cintaxed
Pv ; @Cintaxed
🔥6❤2👍1
Forwarded from KALI
کتاب "Practical Malware Analysis" یه جورایی حکم قرآن هکرها و تحلیلگرای بدافزارو داره! اگه بخوای یاد بگیری یه بدافزار چطوری کار میکنه، از کجا میاد، چی کار میکنه، یا چطوری جلوی خرابکاریش رو بگیری، این کتاب یه مرجع توپ و حسابیه.
از اولش باهات راه میاد؛ یعنی فرض نمیکنه همه چی بلدی. از ابزارهای پایه مثل IDA Pro، OllyDbg، PEview گرفته تا تحلیل دستی و استاتیک و داینامیک (یعنی چه قبل اجرا چه بعد اجرا بررسیشون.
بهت یاد میده چطور یه بدافزارو تو محیط امن اجرا کنی و رفتارشو ببینی.
مثال زیاد داره؛ یعنی فقط تئوری نمیگه، میگه "بیا اینو نگاه کن، ببین این بدافزار چه مرگشه.
@kali_signal
از اولش باهات راه میاد؛ یعنی فرض نمیکنه همه چی بلدی. از ابزارهای پایه مثل IDA Pro، OllyDbg، PEview گرفته تا تحلیل دستی و استاتیک و داینامیک (یعنی چه قبل اجرا چه بعد اجرا بررسیشون.
بهت یاد میده چطور یه بدافزارو تو محیط امن اجرا کنی و رفتارشو ببینی.
مثال زیاد داره؛ یعنی فقط تئوری نمیگه، میگه "بیا اینو نگاه کن، ببین این بدافزار چه مرگشه.
@kali_signal
❤6🔥1