230 likes | 409 Views
Курсовая работа. Исследование возможности удаленной идентификации сетевых объектов. Определения. Устройство – MAC + OS + сервисы Пользователь – человек + используемое им ПО Объект – пользователь + одно из используемых им устройств
E N D
Курсовая работа Исследование возможности удаленной идентификации сетевых объектов
Определения • Устройство – MAC + OS + сервисы • Пользователь – человек + используемое им ПО • Объект – пользователь + одно из используемых им устройств • Мультиобъект – пользователь + множество используемых им устройств • Профиль объекта – вектор параметров объекта, полученный при сканировании
Актуальность • Мониторинг сети: • Отслеживание перемещений пользователей и устройств • Обнаружение новых пользователей и устройств • Обнаружение отклонений поведения пользователя, или устройства
Формальная постановка задачи • 1. Разработать структуру и семантику профиля объекта (модель окружения). • 2. Расширить набор параметров за счет добавления тех, которые можно собрать пассивным прослушиванием. • 3. Реализовать алгоритм построения профиля для сетей TCP/IP/Ethernet. • 4. Испытать метод идентификации в сети факультета ВМиК. • 5. Сделать выводы о возможности использования профилей для идентификации объектов.
Метод решения • Режим пополнения базы Сетевой траффик wireshark Декодированный трафик Анализатор Профиль База профилей
Метод решения • Режим идентификации Сетевой траффик IP адрес wireshark Декодированный трафик База профилей Анализатор Профиль Идентифицирующая функция Результат
Проблемы • Получение всего трафика • Коммутированная сеть • Нужен администраторский доступ к шлюзу • Частичное изменение объекта • Устойчивость метода идентификации к частичному изменению профиля • Поддержание базы профилей в актуальном состоянии • Значительное изменение объекта
Классификация сетевых приложений, реализующих модель объекта • По типу использования • Системные • Пользовательские • По коммуникационным функциям • Обмен мгновенными сообщениями • Почтовые серверы и клиенты • Веб приложения и броузеры • Служебные приложения • Службы предоставления доступа к машине • Клиенты доступа к удаленной машине • Peer-to-peer приложения
Структура профиля объекта • MAC адрес • HTTP профиль • POP профиль • SMTP профиль • AOL профиль • SSH профиль • TLS профиль • FTP профиль • NetBIOS профиль • MS BROWSER профиль • DNS профиль
HTTP • Сторона пользователя • Запрошенные страницы • Введённые в формы данные • Браузер • Cookies • Сторона сервера • Строка сервера RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1
POP • Сторона пользователя • Адреса запрошенных серверов • Имя пользователя, пароль • Частота опроса сервера • Кол-во сообщений на сервере • Сторона сервера • Строка ответа +OK RFC 1399 - Post Office Protocol - Version 3
SMTP • Сторона пользователя • Имя пользователя • Почтовый агент • Расширения Агента (к примеру enigmail) • Зашифрованный пароль • Частота обращений • Сторона сервера • Приветствие в ответ на EHLO • Расширения ESMTP RFC 2821 - Simple Mail Transfer Protocol RFC 2554 - SMTP Service Extension for Authentication
AOL • Сторона пользователя • Номер ICQ • Запрошенные сервисы • Список возможностей клиента • Контакт-лист
SSH • Сторона пользователя • Протокол клиента • Алгоритмы шифрования • Алгоритмы сжатия • Mac алгоритмы • Kex алгоритмы • Сторона сервера • Протокол сервера • Алгоритмы шифрования • Алгоритмы сжатия • Mac алгоритмы • Kex алгоритмы RFC 4251 - The Secure Shell (SSH) Protocol Architecture
TLS • Сторона пользователя • Алгоритмы шифрования • Сторона сервера • Версия • Алгоритм шифрования • Сертификат RFC 2246 - The TLS Protocol
FTP • Сторона пользователя • Имя пользователя, пароль • Директория по умолчанию • Сторона сервера • Строка server ready • Строка welcome • Ответ на Syst • Дерево файловой системы RFC 959 - FILE TRANSFER PROTOCOL (FTP)
NETBIOS • Имя компьютера • Домен / Рабочая группа RFC 1001 - Protocol standard for a NetBIOS service on a TCP/UDP transport: Concepts and methods
Microsoft Windows Browser Protocol • Тип сервера • Комментарий
DNS • Сторона пользователя • Адрес сервера
Выводы • Сделано: • Проведен обзор средств захвата и анализа траффика сети, из них выбрано наиболее подходящее для решения задачи • Построен тестовый набор параметров профиля • Определены алгоритмы работы системы • Требуется сделать: • Реализовать алгоритм построения профиля • Реализовать простейший алгоритм идентификации • Провести испытания системы идентификации • Сделать выводы о применимости метода
Перспективы дальнейшего развития • Расширение профиля за счет других протоколов • Использование более сложных методов идентификации