9 - HackMD

## Отчёт по практической работе №9 ## По дисциплине «Методы сбора и обработки данных из открытых источников» ### Цель работы Необходимо разобраться в дампах Wireshark, которые нам даны, определить какая аномалия происходит в сети. ### Ход работы Загружаем и устанавливаем Wireshark. ![](https://hackmd.io/_uploads/S1Ss8a3Cn.png) ![](https://hackmd.io/_uploads/ByvsIa302.png) Выгружаем файлы ддля практической работы. ![](https://hackmd.io/_uploads/Bk-2Uph02.png) ### Первый файл Аномальная активность в виде ARP сканирования. Используем фильтр arp.dst.hw_mac==00:00:00:00:00:00. ![](https://hackmd.io/_uploads/HyxpIT2Cn.png) Первый файл Аномальная активность в виде ARP сканирования. Используем фильтр arp.dst.hw_mac==00:00:00:00:00:00. ![](https://hackmd.io/_uploads/ByIT86303.png) Это первый шаг в трехстороннем TCP-согласовании (начало любого TCP-соединения) с очень маленьким размером окна TCP. Если есть слишком много таких пакетов за короткое время, скорее всего, кто-то делает: SYN-сканирование в нашей сети (например, путем запуска nmap -sS <target>). Порт SYN просматривает сеть (например, запустив nmap -sS -pXX <subnet>). SYN-флуд (метод отказа в обслуживании). TCP Connect () сканирование. Используем фильтр tcp.flags.syn= =1 and tcp.flags.ack==0 and tcp.window_size > 1024. ![Uploading file..._8gs3mhv8w]() ![](https://hackmd.io/_uploads/H10p8p3C3.png) Отличие от сканирования SYN: больший размер окна TCP, который указывает на то, что стандартное TCP-соединение фактически ожидает передачи некоторых данных. Если слишком много таких пакетов за короткий промежуток времени, скорее всего, кто-то делает: Сканирование портов в нашей сети (например, путем запуска nmap -sT <target>). Порт просматривает сеть (например, запустив nmap -sT -pXX <subnet>). TCP Null. Используем фильтрр tcp.flags==0. ![](https://hackmd.io/_uploads/HJofv6hRn.png) TCP Null сканирование работает путем отправки пакетов без установленных флагов. Это потенциально может проникнуть в некоторые брандмауэры и обнаружить открытые порты. Если есть такие пакеты в нашей сети, вероятно, кто-то выполняет сканирование TCP null (например, запустив nmap -sN <target>). ICMP флуд. Используем фильтр icmp and data.len > 48. ![](https://hackmd.io/_uploads/Sy-7P6h0h.png) Стандартный ICMP ping отправляет пакеты с 32 байтами данных (команда ping в Windows) или 48 байтами (команда ping в Linux). Когда кто-то выполняет ICMP-флуд, он обычно отправляет гораздо больший объем данных, поэтому здесь мы фильтруем все ICMP-пакеты с данными размером более 48 байт. Это эффективно обнаружит любой ICMP-поток независимо от типа или кода ICMP. Злоумышленники часто используют такие инструменты, как fping или hping, для выполнения ICMP-лавинной рассылки. Надежда на VLAN. Используем фильтр dtp or vlan.too_many_tags. ![](https://hackmd.io/_uploads/B1DmDp30n.png) Hope for VLAN — это метод обхода контроля доступа к сети (NAC), который часто используется злоумышленниками, пытающимися получить доступ к различным VLAN путем неправильной настройки коммутаторов Cisco. Верным индикатором надежды VLAN является наличие пакетов DTP или пакетов, отмеченных несколькими тегами VLAN. Если мы видим такие пакеты в нашей сети, возможно, кто-то пытается выполнить VLAN в надежде использовать, например, утилиты frogger или yersinia. Необъяснимая потеря пакетов. Используем фильтр tcp.analysis.lost_segment or tcp.analysis.retransmission. ![](https://hackmd.io/_uploads/S1b4P62Cn.png) Если есть много повторных передач пакетов и разрывы в сетевом соединении (потерянные пакеты), это может указывать на серьезную проблему в сети, возможно, вызванную атакой отказа в обслуживании. Такая ситуация в Wireshark, безусловно, заслуживает дальнейшего изучения. ### Второй файл Теперь рассмотрим второй файл. ![](https://hackmd.io/_uploads/SyNGuThC3.png) Обнаружение пакетов с неправильными значениями флагов TCP. Используем фильтр tcp.flags.fin && tcp.flags.syn. ![](https://hackmd.io/_uploads/Bkqzd6hA3.png) Фильтр для обнаружения пакетов с множественными соединениями. Используем фильтр tcp.flags.syn == 0 && tcp.flags.ack == 1. ![](https://hackmd.io/_uploads/ByHQdanA2.png) ARP сканирование. Используем флаг arp.dst.hw_mac==00:00:00:00:00:00.![](https://hackmd.io/_uploads/SJh7up20n.png) Проверка связи ICMP. Используем флаг icmp.type= =8 or icmp.type==0.![Uploading file..._70uhsmow3]() ![](https://hackmd.io/_uploads/HylruThC2.png) ICMP флуд. Используем фильтр icmp and data.len > 48. ![](https://hackmd.io/_uploads/B1ELuTnA3.png) TCP Connect () сканирование. Используем фильтр tcp.flags.syn= =1 and tcp.flags.ack==0 and tcp.window_size > 1024. ![](https://hackmd.io/_uploads/BJn8dThCh.png) ### Третий файл Загружаем третий файл Пакеты с неправильными значениями TTL. Используем фильтр ip.ttl == 0 || ip.ttl > 64. ![](https://hackmd.io/_uploads/H1QtuahA2.png) ARP сканирование. Используем фильтр arp.dst.hw_mac==00:00:00:00:00:00. ![](https://hackmd.io/_uploads/BJ9tOTnCn.png) Используем фильтр icmp.type= =8 or icmp.type==0. ![](https://hackmd.io/_uploads/ByW5_T2C2.png) С помощью этого фильтра мы фильтруем эхо-запросы ICMP (тип 8) или эхо-ответы ICMP (тип 0). Если есть слишком много таких пакетов за короткий промежуток времени, нацеленных на множество разных IP-адресов, то, вероятно, мы видим эхо-запросы ICMP. Кто-то пытается определить все действующие IP-адреса в нашей сети (например, запустив nmap -sn -PE <subnet>). DNS ошибки. Используем фильтр dns.flags.rcode != 0 or (dns.flags.response eq 1 and dns.qry.type eq 28 and !dns.aaaa). ![](https://hackmd.io/_uploads/Skuc_p3C2.png) Всякий раз, когда сервер отвечает чем-либо, кроме “да”, это плохо. В DNS положительный ответ по-прежнему не обязательно является положительным ответом. Это происходит с запросами на IPv6-адрес. Вместо отправки сообщения об ошибке “такого имени нет” сервер отвечает без кода ошибки и без IPv6-адреса. В нашем случае это хорошо видно по строкам с записью NULL. ## Вывод Разобрались в дампах Wireshark, которые нам даны, определили какая аномалия происходит в сети.