captura de informação em rede

Captura de Informacao em Rede

Ulisses Araujo Costa

18 Fevereiro, 2010

Ulisses Araujo Costa Captura de Informacao em Rede

Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing

5 tsharkEstatısticasSessoes HTTP

6 DescricaoUso da ferramenta


NIDS - Network Intrusion Detection System

Sistema de deteccao de intrusao de rede

Tenta detectar actividade maliciosa (ataques DoS, DDos, portscans, tentativas de cracking)


Como funciona

Analise de todos os pacotes

Tenta encontrar padroes suspeitos

Exemplo - port scanners

Se um grande numero de pedidos de coneccoes TCP para umgrande numero de portas diferentes num curto espaco de tempoentao o NIDS concluı que podemos estar a ser alvo de um scan deportos.


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Definicao

SNORTr is an open source network intrusion preventionand detection system utilizing a rule-driven language,which combines the benefits of signature, protocol andanomaly based inspection methods. With millions ofdownloads to date, Snort is the most widely deployedintrusion detection and prevention technology worldwideand has become the de facto standard for the industry.

Modo passivo

Modo activo 6= firewall


Abordagem - Snort

Usar o Snort para capturar todo o trafego que conseguir em modopassivo.

root@pig:# snort -u snort -g snort -D -d -l /var/log/snort -c /etc/snort/snort.debian.conf -S -i

eth0

Grava log em binario (formato tcpdump)


Abordagem - Snort - Sintaxe Regras

O Snort usa regras para poder fazer o matching do trafego. Ocabecalho de uma regra contem os seguintes campos:

Accao (log, alert)

Protocolo (ip, tcp, udp, icmp, any)

IP origem e Porto

IP destino e Porto

Operador de direccao (− >, ”<>”)


Abordagem - Snort - Sintaxe Regras

Os enderecos IP de destino ou de origem podem ser:

Variaveis ($HOME NET)

Enderecos de IP individuais

blocos CIDR

Listas do tipo: [192.168.3.12,192.168.3.9]

Os portos podem ser:

Portos individuais

Ranges de portos (”80:85”, ”:1024”, ”1025:”)


Abordagem - Snort - Regras

alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; msg: "FTP root

login ";)

alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; msg: "FTP root

login ";)

Estas duas regras dizem ao Snort para quando encontrar trafegovindo de qualquer host e em direccao ao IP 192.168.1.0/24 para oporto 21 e cujo conteudo tenha a string ”user root”ou ”USERroot”entao imprimir no ecran o alerta: ”FTP root login”.


Abordagem - Snort - Regras

A seguinte regra encontra e grava em ficheiro todas as sessoesTelnet que se estabelecam com o host 192.168.1.0/24.

log !192.168.1.0/24 any <> 192.168.1.0/24 23


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Abordagem - tcpdump

O tcpdump e um programa que corre num computador egrava todos os pacotes que chegam a um interface de rede.

Ouve tudo o que a interface recebe

Os ficheiros ficam guardados no formato libpcap.

Correr o tcpdump ligado a um hub.


Abordagem - tcpdump

Correr o tcpdump numa Gateway.


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Depois de ter o ficheiro. . .

Implementacao de filtros segundo determinadas regras

Agregacao de pacotes segundo regras (onde o Snort naochega)


Problema - parsing

Fazer parsing de tcpdump


Exemplo - pacote SSH


Implementacao em Haskell

getPacket :: [Word8] -> InPacket

getPacket bytes = toInPack $ listArray (0,Prelude.length bytes -1) $ bytes

-- Ethernet | IP | TCP | X

getPacketTCP :: [Word8] -> Maybe (NE.Packet (NI4.Packet (NT.Packet InPacket)))

getPacketTCP bytes = doParse $ getPacket bytes :: Maybe (NE.Packet (NI4.Packet (

NT.Packet InPacket)))


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Exemplos

Mostrar todas as comunicacoes com o IP 192.168.74.242root@pig:# tshark -R "ip.addr == 192.168.74.242-r snort.log

...

7750 6079.816123 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Key Exchange Init

7751 6079.816151 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ACK] Seq =37

Ack =825 Win =7424 Len=0 TSV =131877388 TSER =1789588

7752 6079.816528 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Key Exchange Init

7753 6079.817450 193.136.19.96 -> 192.168.74.242 TCP 51919 > ssh [ACK] Seq =825


7754 6079.817649 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Diffie -Hellman

GEX Request

7755 6079.820784 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Diffie -Hellman

Key Exchange Reply

7756 6079.829495 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Diffie -Hellman

GEX Init

7757 6079.857490 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Diffie -Hellman

GEX Reply

7758 6079.884000 193.136.19.96 -> 192.168.74.242 SSHv2 Client: New Keys

7759 6079.922576 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ACK] Seq =1613


...


Exemplos

Mostrar um triplo com: (tempo,codigo http,tamanho do conteudohttp), separados por ’,’ e entre aspas.

root@pig:# tshark -r snort.log -R http.response -T fields -E header=y -E separator=’,’ -E

quote=d -e frame.time relative -e http.response.code -e http.content length

...

"128.341166000" ,"200" ,"165504"

"128.580181000" ,"200" ,"75332"

"128.711618000" ,"200" ,"1202"

"149.575548000" ,"206" ,"1"

"149.719938000" ,"304" ,

"149.882290000" ,"404" ,"338"

"150.026474000" ,"404" ,"341"

"150.026686000" ,"404" ,"342"

"150.170295000" ,"304" ,

"150.313576000" ,"304" ,

"150.456650000" ,"304" ,

...


Exemplos

Mostrar um tuplo de aridade 4 com: (tempo,ip origem,ip destino,tamanho do pacote tcp).

root@pig:# tshark -r snort.log -R "tcp.len>0-T fields -e frame.time relative -e ip.src -e ip.dst

-e tcp.len

...

551.751252000 193.136.19.96 192.168.74.242 48

551.751377000 192.168.74.242 193.136.19.96 144

551.961545000 193.136.19.96 192.168.74.242 48

551.961715000 192.168.74.242 193.136.19.96 208

552.682260000 193.136.19.96 192.168.74.242 48

552.683955000 192.168.74.242 193.136.19.96 1448

552.683961000 192.168.74.242 193.136.19.96 1448

552.683967000 192.168.74.242 193.136.19.96 512

555.156301000 193.136.19.96 192.168.74.242 48

555.158474000 192.168.74.242 193.136.19.96 1448

555.158481000 192.168.74.242 193.136.19.96 1400

556.021205000 193.136.19.96 192.168.74.242 48

556.021405000 192.168.74.242 193.136.19.96 160

558.874202000 193.136.19.96 192.168.74.242 48

558.876027000 192.168.74.242 193.136.19.96 1448

...


Exemplos

Mostrar um triplo com: (ip origem,ip destino, porto do ip destino).

root@pig:# tshark -r snort.log -Tfields -e ip.src -e ip.dst -e tcp.dstport

...

192.168.74.242 193.136.19.96 37602

192.168.74.242 193.136.19.96 37602

193.136.19.96 192.168.74.242 22

192.168.74.242 193.136.19.96 37602

193.136.19.96 192.168.74.242 22

193.136.19.96 192.168.74.242 22

192.168.74.242 193.136.19.96 37602

192.168.74.242 193.136.19.96 37602

192.168.74.242 193.136.19.96 37602

193.136.19.96 192.168.74.242 22

193.136.19.96 192.168.74.242 22

193.136.19.96 192.168.74.242 22

193.136.19.96 192.168.74.242 22

192.168.74.242 193.136.19.96 37602

192.168.74.242 193.136.19.96 37602

...


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Estatısticas

Hierarquia de protocolosroot@pig:# tshark -r snort.log -q -z io,phs

frame frames :7780 bytes :1111485

eth frames :7780 bytes :1111485

ip frames :3992 bytes :848025

tcp frames :3908 bytes :830990

ssh frames :2153 bytes :456686

http frames :55 bytes :19029





data -text -lines frames :10 bytes :5356

tcp.segments frames :3 bytes :1117


media frames :3 bytes :1117

udp frames :84 bytes :17035

nbdgm frames :50 bytes :12525

smb frames :50 bytes :12525

mailslot frames :50 bytes :12525

browser frames :50 bytes :12525

dns frames :34 bytes :4510

llc frames :3142 bytes :224934

stp frames :3040 bytes :182400

cdp frames :102 bytes :42534

loop frames :608 bytes :36480

data frames :608 bytes :36480

arp frames :38 bytes :2046


Estatısticas - Conversations

Usa-se: -z conv,<tipo>,<filtro>

Tipo pode ser: eth,tr,fc,fddi,ip,ipx,tcp,udpOs filtros servem para restringir as estatisticas

root@pig:# tshark -r snort.log -q -z conv,ip,tcp.port==80

================================================================================

IPv4 Conversations

Filter:tcp.port ==80

| <- | | -> | | Total |

|Frames Bytes | |Frames Bytes | |Frames Bytes |

193.136.19.148 <-> 192.168.74.242 141 13091 202 259651 343 272742

192.168.74.242 <-> 128.31.0.36 22 6858 28 4784 50 11642

================================================================================


Estatısticas - IO

Usa-se: -z io,stat,<int>,<filtro>,. . . ,<filtro>

root@pig:# tshark -r snort.log -q -z io,stat,300,’not (tcp.port=22)’

===================================================================

IO Statistics

Interval: 300.000 secs

Column #0:

| Column #0

Time |frames| bytes

000.000 -300.000 2161 543979

300.000 -600.000 1671 264877

600.000 -900.000 508 46224

900.000 -1200.000 185 12885

1200.000 -1500.000 201 14607

1500.000 -1800.000 187 13386

1800.000 -2100.000 189 13887

2100.000 -2400.000 187 13386

2400.000 -2700.000 189 13887

2700.000 -3000.000 187 13386

3000.000 -3300.000 185 12885

3300.000 -3600.000 189 13887

3600.000 -3900.000 210 15546

3900.000 -4200.000 189 13887

4200.000 -4500.000 187 13386

4500.000 -4800.000 185 12885

4800.000 -5100.000 189 13887

===================================================================


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Sessoes HTTP

Quando queremos obter determinada informacao, se for muitoespecifica, o tshark sozinho pode nao conseguir la chegar. Assimusamos como apoio outras linguagens que suportem o tshark afimde conseguir a informacao que pretendemos.Neste caso queremos mostrar as sessoes HTTP de um determinadoutilizador.


Sessoes HTTP- implementacao

#!/ usr/bin/bash

file=$1

user=$2

for cookie in ‘tshark -r $file -R "http.request and http contains $user" -T

fields -e http.cookie | tr " " "_"‘

do

sid=‘echo $cookie | cut -d ’_’ -f 2 | tr -d "\015" ‘

tmpfile ="tmp_ ‘echo $sid | cut -d ’=’ -f 2‘.cap"

echo "Processing session cookie $sid to $tmpfile"

tshark -r $file -w $tmpfile -R ‘tshark -r $file "http.request and http.cookie

contains \"$sid \"" -T fields -e tcp.srcport | awk ’{printf ("% stcp.port

==%s",sep ,$1);sep="||"}’‘

done

mergecap -w $user.cap ‘ls -1 tmp_*.cap ‘

rm ‘ls -1 tmp_*.cap ‘


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Ferramenta

Apos analise de varias ferramentas

Necessidade de criar uma linguagem menor que a quedescreve frames de rede

Cada linha representa o estado de uma ligacao


Ferramenta - Sintaxe do input

2010 -01 -01 -01:18:25.2246 tcp (6) E 82.3.10.27 4885 192.168.1.50 445: 4207 0

2010 -01 -01 -01:33:23.8935 tcp (6) S 82.155.39.149 4827 192.168.1.50 23

2010 -01 -01 -01:33:26.9242 tcp (6) E 82.155.39.149 4827 192.168.1.50 23: 0 62

2010 -01 -01 -03:26:11.9261 tcp (6) S 124.120.7.119 4900 192.168.1.50 23

2010 -01 -01 -03:26:13.8581 tcp (6) E 124.120.7.119 4900 192.168.1.50 23: 0 62

2010 -01 -01 -03:26:13.8606 tcp (6) - 124.120.7.119 4900 192.168.1.50 23: 40 R

2010 -01 -01 -03:36:25.6577 tcp (6) S 82.155.157.249 4268 192.168.1.50 23

2010 -01 -01 -03:36:28.6923 tcp (6) E 82.155.157.249 4268 192.168.1.50 23: 0 78

2010 -01 -01 -04:34:39.6524 tcp (6) S 82.155.251.43 3641 192.168.1.50 23

2010 -01 -01 -04:34:42.7348 tcp (6) E 82.155.251.43 3641 192.168.1.50 23: 0 62

2010 -01 -01 -05:45:06.4542 tcp (6) S 82.155.249.73 64436 192.168.1.50 139

2010 -01 -01 -05:45:15.6469 tcp (6) E 82.155.249.73 64436 192.168.1.50 139: 0 0

2010 -01 -01 -05:57:06.7332 tcp (6) S 79.25.93.226 44973 192.168.1.50 139

2010 -01 -01 -05:57:14.3509 tcp (6) E 79.25.93.226 44973 192.168.1.50 139: 0 0

2010 -01 -01 -05:57:28.0971 tcp (6) S 79.25.93.226 46984 192.168.1.50 80

2010 -01 -01 -05:58:40.3750 tcp (6) E 79.25.93.226 46984 192.168.1.50 80: 150 1008

2010 -01 -01 -06:05:42.1734 tcp (6) S 82.155.249.73 64894 192.168.1.50 139

2010 -01 -01 -06:05:46.1496 tcp (6) E 82.155.249.73 64894 192.168.1.50 139: 0 0

2010 -01 -01 -06:15:14.8449 tcp (6) S 82.155.249.73 53952 192.168.1.50 139

2010 -01 -01 -06:15:14.8841 tcp (6) E 82.155.249.73 53952 192.168.1.50 139: 0 0

2010 -01 -01 -06:23:25.5025 tcp (6) S 82.155.249.73 53934 192.168.1.50 139

2010 -01 -01 -06:23:26.5404 tcp (6) E 82.155.249.73 53934 192.168.1.50 139: 0 0



Data Protocolo T IPOrig PortOrig IPDst PortDst Info2009-12-09-06:31:59.3902 tcp(6) S 88.44.123.210 3637 192.168.1.50 1392009-12-07-16:06:28.9343 tcp(6) S 82.155.0.49 22617 192.168.1.50 1392009-12-09-11:41:25.6859 tcp(6) E 82.155.1.160 4399 192.168.1.50 445: 0 02009-12-07-16:20:04.5996 tcp(6) - 82.155.122.18 61582 192.168.1.50 139: 40 R2009-12-14-09:04:38.2678 icmp(1) - 80.236.5.27 192.168.1.50: 3(13): 562009-12-17-01:11:47.6209 tcp(6) - 82.154.64.174 34507 192.168.1.50 445: 40 RA2009-12-19-18:25:03.3130 tcp(6) - 124.8.74.33 1806 192.168.1.50 25: 70 FPA2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA2009-12-14-09:54:27.6131 tcp(6) - 82.155.57.245 58274 192.168.1.50 445: 52 PA2009-12-14-09:54:27.6131 tcp(6) - 193.136.19.149 58274 192.168.1.50 445: 52 PA2009-12-07-20:59:29.6910 tcp(6) - 88.175.73.149 4332 192.168.1.50 139: 40 R2009-12-09-11:57:04.2741 tcp(6) - 82.155.137.139 1230 192.168.1.50 445: 40 A2009-12-07-18:35:28.4232 tcp(6) - 82.155.7.176 2794 192.168.1.50 445: 40 A2009-12-07-15:34:49.0070 tcp(6) - 82.155.116.238 3578 192.168.1.50 23: 60 S2009-12-07-16:06:29.2781 tcp(6) - 124.207.41.198 48804 192.168.1.50 23: 40 S2009-12-15-22:59:03.4039 udp(17) - 192.168.1.254 67 192.168.1.50 68: 298



A coluna da Date tem uma marca temporal de quando acomunicacao ocorreu.A coluna Protocolo contem informacao sobre o protocolo detransporte que foi usado, TCP, UDP ou ICMP. Mesmo assimquando e feita uma pesquisa nao comum de rede pode ser umoutro qualquer protocolo de internet.



A terceira coluna (T) contem a informacao do tipo de conexao:

S significa que a ligacao comecou (Start)

E significa que a ligacao terminou (End)

- significa que o package nao corresponde a nenhumaconexao.

As proximas quatro colunas correspondem a informacao sobre o IPde destino, o porto de destino, o IP de origem e o porto de origem.Para o protocolo ICMP as colunas das portas estao vazias porqueeste protocolo nao usa portas.A coluna Info contem informacao relativa a uma conexao ou umpacote. Quando uma conexao termina este contem o numero debytes recebidos e enviados.



Para os pacotes de sondagem estes contem informacao adicional:

TCP O tamanho do pacote e as flags que estao no header.

F (Fin) - Nao existe mais informacao paraenviar

S (Syn) - Sincroniza numeros de sequenenciaR (Rst) - Faz Reset a conexao

P (Push) - Esta flag diz ao host receptor parafazer um push a toda a informacaopara a aplicacao que vai receber ainformacao, basicamente diz: ”chegapor agora”.

A (Ack) - Indica que o campo ACKnowledgmentesta preenchido, com o valor doACKnowledgment



U (Urg) - Indica que o campo URGent esta preenchido. Estaflag serve para indicar que a informacao contidaneste campo tera de ser tratada com uregencia, antesdos pacotes normais serem tratados.

E (ECE) - Indica que o protocolo TCP e capaz de ExplicitCongestion Notification durante o 3-way handshake.

C (CWR) - Flag de Congestion Window Reduced e usada paraindicar que foi recebida um segmento TCP com aflag ECE

ICMP O codigo, o tipo e o tamanho do pacote.

UDP Tamanho do pacote



O cabecalho de um pacote TCP contem espaco para todas estasflags que foram descritas. Como podemos ver na imagem:


Sumario

1 NIDS

2 Snort

3 tcpdump

4 Parsing




Ferramenta - output

Com este programa conseguimos gerar por exemplo ascomunicacoes entre o host 193.136.19.96 e o host 192.168.74.242pelo porto 80 (HTTP), em bytes:

As linhas que separam a linha do grafico, quebram as maioresunidades de tempo, ou seja, caso tenhamos apenas 4 horas dehistorial de trafego, poderemos esperar ter 4 separacoes.


Ferramenta - output

No seguinte grafico conseguimos ver o numero de ligacoes quehouve durante um periodo de tempo a maquina 192.168.74.242por IP de origem:


Ferramenta - output

Mostra a quantidade de trafego recebido pela maquina193.136.19.96 no porto 80 (HTTP), vindo de todos os IP’s quecomunicaram consigo:


Ferramenta - output

Numero de hits no porto 80 do IP 192.168.1.50:


Ferramenta - output

Numero de hits nos portos do IP 192.168.1.50:


Conclusoes

tshark e o verdadeiro canivete suico de frames de rede

Todas as ferramentas tiveram pontos fortes

Nenhuma resolveu totalmente o nosso problema

Software esta reparado para ser extendido e suportar outrosprotocolos de qualquer Layer.

Desenvolver conversor libpcap para a linguagem utilizada, verrelatorio para sugestoes de implementacao.


Fim

?


captura de informação em rede

Technology