The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен инструмент Hone для анализа сетевых пакетов с привязкой к приложениям

18.04.2012 16:57

Глен Финк (Glen Fink) из команды исследователей Министерства энергетики США, представил инструмент для исследования безопасности Hone, предназначенный для глубокого и детального исследования сетевой активности внутри крупных компьютерных систем. По словам создателя, инструмент способен дать администраторам более полную картину взаимосвязей между сетевыми пакетами, чем обычные средства исследования сетевой активности.

Главная идея Hone (HOst-NEtwork) - дать наглядное представление взаимосвязей между машинами, приложениями и подозрительными пакетами, обнаруженными внутри сети. Hone позволяет сгенерировать графическое представление этих взаимосвязей, благодаря которому можно без труда найти источник проблемы, проследив путь трафика от машины назначения к источнику, приложению и конкретному процессу, сгенерировавшему пакеты.

Hone реализован в виде сетевого сенсора, использующего функциональность подсистемы Linux Netfilter. Его ядро состоит из нескольких модулей, которые регистрируют функции обратного вызова на цепочках INPUT и OUTPUT, собирая информацию о каждом пришедшем и покинувшем машину пакете. Эта информация связывается с данными о процессе, участвующем в обмене пакетами и направляется в файл /dev/hone в виде простого текста или в формате PCAP-NG, который можно проанализировать с помощью таких инструментов как Wireshark.

В данный момент в публичном доступе находится только сам сенсор (код под лиценизией GPL), более высокоуровневые компоненты Hone не открыты и более детальная информация о них недоступна. Тем не менее, доступные наработки проекта уже используются в Тихоокеанской северо-западной национальной лаборатории для выявления возможных угроз.



  1. Главная ссылка к новости (http://www.eweek.com/c/a/Enter...)
Автор новости: Evgeny Zobnin
Тип: Программы
Ключевые слова: security, sniffer, pcap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, klalafuda (?), 18:08, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Я конечно чрезвычайно рад за тихоокеанскую северо-западную национальную лабораторию и их беспрецедентный уровень секурити, но при таком подходе мне то что с того :-?
     
     
  • 2.9, Аноним (-), 22:50, 18/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    при каком подходе?
     
     
  • 3.10, Аноним (-), 00:54, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > при каком подходе?

    "код есть и работает, но мы вам его не дадим. Проприетарщики мы"

     
     
  • 4.14, Аноним (-), 09:03, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Все нормально. Программу то тебе дают бесплатно?
    Откроют код и хакеры научатся обходить сабж ))
     
     
  • 5.19, iCat (ok), 13:24, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >...Все нормально. Программу то тебе дают бесплатно?...

    Хавай то, что дали!!!
    Победное шествие Идеи "зверь-сиди" по планете!

    Хомячок, опомнись, пока не стал барашком...

     

  • 1.2, aNoN (?), 18:28, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?
     
     
  • 2.4, Михаил (??), 18:45, 18/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Вы что, хотите, чтоб root не знал что на машине происходит? Для предоставления максимально полной свободы (сладкое слово?) хакерам, админу следует сделать себе шел false и группу nobody. Харакири по вкусу.


     
  • 2.15, 3030 (?), 10:34, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь? А какие проблемы с отслеживанием трафика конкретного приложения были до этого?
     
     
  • 3.17, aNoN (?), 12:32, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.
    Например, запущено у меня два почтовых клиента и я хочу знать сколько каждый хавает трафика, именно в разрезе этих двух приложений-клиентов, а не почтовых серверов, на которые настроены учётки.
     
     
  • 4.21, iCat (ok), 15:03, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.

    ...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
    It is just work.

     
     
  • 5.22, aNoN (?), 15:53, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Расширение работает с INPUT?
     
     
  • 6.23, Аноним (-), 03:37, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Расширение работает с INPUT?

    Нет. И с png тоже. А Hone работает с INPUT?

     
     
  • 7.24, aNoN (?), 10:56, 20/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаю.
     
  • 5.25, anonim (?), 22:37, 21/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    -m owner поддерживает только --uid-owner и --gid-owner.
    Где тут фильтр по приложениям?
     
     
  • 6.28, Имя и код (?), 02:29, 24/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > -m owner поддерживает только --uid-owner и --gid-owner.
    > Где тут фильтр по приложениям?

    --cmd-owner name
    Matches if the packet was created by a process with the given
    command name. (this option is present only if iptables was com-
    piled under a kernel supporting this feature)

     
  • 2.26, Имя и код (?), 01:36, 24/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?

    Да давно уже можно было, блин RTFM!

    man iptables

    owner
    This module attempts to match various characteristics of the packet
    creator, for locally-generated packets. It is only valid in the OUTPUT
    chain, and even this some packets (such as ICMP ping responses) may
    have no owner, and hence never match.

    --uid-owner userid
    Matches if the packet was created by a process with the given
    effective user id.

    --gid-owner groupid
    Matches if the packet was created by a process with the given
    effective group id.

    --pid-owner processid
    Matches if the packet was created by a process with the given
    process id.

    --sid-owner sessionid
    Matches if the packet was created by a process in the given ses-
    sion group.

    --cmd-owner name
    Matches if the packet was created by a process with the given
    command name. (this option is present only if iptables was com-
    piled under a kernel supporting this feature)

     
     
  • 3.29, qux (ok), 22:13, 08/05/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы с каких годов хаутушки копипастили?
    cmd-owner с 2.6.15 не работает, хватит ним трясти.
     

  • 1.6, Аноним (-), 19:33, 18/04/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чем новость-то? В том, что запилили очередной сенсор трафика? Так на базе netfilter это любой студент сможет, всего пара стандартных хуков.
     
     
  • 2.7, Аноним (-), 21:27, 18/04/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, в том, что не просто запилили, а еще и закрыли, сказали, что работает система просто супер, но ее ни кому не дадут.
     
     
  • 3.8, DannyBoy (?), 22:32, 18/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Таки патентным троллингом попахивает =//
     
  • 3.11, Аноним (-), 00:55, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, в том, что не просто запилили, а еще и закрыли, сказали,
    > что работает система просто супер, но ее ни кому не дадут.

    Это любой студент второго курса (айтишной специальности, более-менее приличного вуза) может запилить. Так об чем новость?

     
     
  • 4.12, Аноним (-), 00:56, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это любой студент второго курса (айтишной специальности, более-менее приличного вуза)
    > может запилить.

    Разумеется, так чтобы работало. И под какой угодно лицензией.

     
     
  • 5.20, iCat (ok), 15:00, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/

    ...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
    It is just work.


     
  • 4.13, pavlinux (ok), 02:29, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не второй, 4-5 минимум.
     
  • 4.16, Andrey Mitrofanov (?), 10:39, 19/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это любой студент
    > может запилить. Так об чем новость?

    В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

     
     
  • 5.27, Имя и код (?), 01:39, 24/04/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это любой студент
    >> может запилить. Так об чем новость?
    > В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

    Пила 0xFF ? :))

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру