The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Обнаружение атак

   Корень / Программы для администратора / Безопасность / Обнаружение атак

!!!-* Systrace - Interactive Policy Generation for System Calls (доп. ссылка 1) (доп. ссылка 2) (Версия: 1.6 от 2006-03-25) [+]
[обсудить]
 Программа для контроля за выполнением системных вызовов в программе, позволяет отследить все системные вызовы производимые программой и заблокировать или сгенерировать предупреждение при обнаружении определенного действия. Прекрасно подходит для ограничения разрешенных системных вызовов с лимитированием их параметров. Например, позволяет определить разрешенные для программы вызовы и маскируя параметры запретить выход за пределы определенной директории, прием сетевых соединений или коннекты ко внешним IP.
  • Systrace for Linux kernel
  • systrace port for FreeBSD
  •  
    !!!-* PortSentry - detect and respond to port scans against a target host in real-time (Версия: 2.0b1 от 2002-04-11) [+]
    [обсудить]
     Программа позволяющая в реальном режиме времени определить и блокировать попытки сканирования UDP и TCP портов сервера. Определяются также скрытые попытки сканирования портов (SYN/half-open, FIN, NULL, X-MAS, oddball).
     
    !!!-* Snort - packet sniffer/logger and network intrusion detection system (Версия: 2.9.6.0 от 2014-01-27) [+]
    [обсудить]
     Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки. Для анализа логов snort'а можно использовать snort2html из поставки или RazorBack.
  • Snort Wireless - адаптированная для обнаружения атак в беспроводных сетях версия snort.
  •  
    ----* openWAF - open source distributed web application firewall [+]
    [обсудить]
     Распределенная система для защиты web-приложений (dWAF), выполненная в виде модуля для http-сервера Apache и являющаяся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.

    Код включает в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python.

     
    ----* IronBee - universal web application security sensor [+]
    [обсудить]
     Универсальная WAF-система (Web Application Firewall) для отслеживания и предотвращения атак на web-приложения, разработанная ключевыми разработчиками системы ModSecurity. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.

    В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.

    Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.

     
    ----* Suricata - Next Generation Intrusion Detection and Prevention Engine (Версия: 2.0.1 от 2014-05-26) [+]
    [обсудить]
     Открытая система обнаружения и предотвращения атак, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.

    Особенности Suricata:

    • Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
    • Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту);
    • Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и использована в сторонних проектах. Код библиотеки написан автором проекта Mod_Security.
    • Поддержка разбора сжатого методом Gzip содержания пакетов;
    • Очень быстрый механизм сопоставления по маске с большими наборами IP адресов;
    • Поддержка стандартных интерфейсов для перехвата трафика NFQueue, IPFRing, LibPcap, IPFW. Унифицированный формат вывода результатов проверки позволяет использовать стандартные утилиты для анализа;
    • Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
    • Наличие модуля для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате apache;
    • В ближайших планах:
      • Формирование общедоступной распределенной базы репутации IP адресов;
      • Возможность аппаратной акселерации на стороне GPU, за счет задействования CUDA и OpenCL.
     
    ----* Blitzableiter - свободный анализатор уязвимостей во Flash контенте [+]
    [обсудить]
     Инструмент для транзитного анализа Flash роликов перед их отображением пользователю. Программа позволяет выявить и заблокировать выполнения злонамеренных участков ActionScript кода, интегрированных в SWF файлы с целю поражения уязвимой версии плагина Adobe Flash, а также предотвратить использование Flash для проведения некоторых видов атак на браузер.

    С целью защиты от принудительного инициирования кликов на рекламу или подмены перехода на нормальные сайты страницей злоумышенника, в Blitzableiter осуществляется перенаправления некоторых ключевых вызовов, таких как ActionGetURL2, на добавляемый к SWF файлу собственный обработчик, контролирующий факты обращения за пределы текущего активного домена и защищающего от CSRF-атак.

    Из недостатков, над устранением которых работают разработчики, отмечается увеличению размера исходного файла примерно на 220%, добавление примерно секундной задержки при загрузке файла через анализатор и наличие проблем при модификации определенных видов SWF файлов. Например, при тестировании набора из 92 тысяч SWF файлов, 92% успешно прошли тест на корректность формата, но задействовать защиту Blitzableiter удалось только для 82% файлов (тем не менее Flash контент популярных сервисов, таких как YouTube, подвергается модификации без проблем). При проверке эффективности Blitzableiter успешно блокировал работу всех из 20 участвующих в эксперименте реальных эксплоитов.

    Исходные тексты программы распространяются в рамках лицензии GPLv3 , написаны на языке C# и требуют для своего выполнения задействования проекта Mono. Blitzableiter может быть оформлен в виде плгина к web-браузеру или в виде фильтрующего модуля, работающего совместно с прокси сервером Squid.

     
    ----* IMSpector - Instant Messenger proxy (Версия: 0.9 от 2009-07-21) [+]
    [обсудить]
     Прокси с поддержкой протоколов ICQ, MSN, Jabber/XMPP, AIM, Yahoo, IRC and Gadu-Gadu. Позволяет организовать ведение архива транзитных пересылок, осуществлять мониторинг и блокировку неугодного контента. Лог сообщений может сохраняться как файловом представлении, так и в СУБД MySQL, SQLite и PostreSQL.
     
    ----* Korset - Code-based Intrusion Detection for Linux [+]
    [обсудить]
     Система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий.

    Korset состоит из двух базовых модулей:

    • Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.
    • Агент, работающий на уровне ядра и проверяющий следование заданным правилам.

    Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph - CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полное отсутствие ложных срабатываний.

     
    ----* GreenSQL - Open Source database firewall (Версия: 1.3.0 от 2010-10-20) [+]
    [обсудить]
     Позволяет защитить MySQL от атак, направленных на подстановку SQL запросов. В отличии от mod_security, реализующего подобную защиту на уровне проверки запросов к http-серверу, GreenSQL представляет собой прокси сервер, непосредственно анализирующий транзитные запросы, выявляющий аномалии и блокирующий опасные операции.

    Для каждого запроса GreenSQL вычисляет степень риска, при превышении определенного порога запрос блокируется. В качестве фактов повышающих коэффициент риска, может быть обращение к служебным таблицам, использование комментариев внутри запроса, операции сравнения констант ("1=1"), наличие выражений заведомо возвращающих TRUE, обнуление полей с паролем, появление "OR" внутри запроса и т.д.

    Программа позволяет определить список допустимых и запрещенных (например, блокировать запросы с упоминанием id администратора) масок для таких операций, как DELETE, UPDATE и INSERT, а также блокировать выполнение административных операций, подобных DROP и CREATE. Управление программой и просмотр статистики работы производится через web-интерфейс.

     
    ----* Unhide - forensic tool to find hidden processes and TCP/UDP ports by rootkits [+]
    [обсудить]
     Утилита для обнаружения скрытых процессов и закамуфлированных TCP/UDP портов, созданных в результате активности руткитов или враждебных модулей Linux ядра. Для обнаружения скрытых процессов используется сверка содержимого /proc с выводом команды ps и данными полученными через системные вызовы. Кроме того, реализован режим обнаружения скрытых сетевых портов и процессов через полный тестовый перебор всех портов и PID номеров.
     
    ----* lynis - Security and system auditing tool (Версия: 1.5.4 от 2014-06-06) [+]
    [обсудить]
     Утилита для построения профайла конфигурации системы и выявления аномалий, которые могут свидетельствовать о вторжении злоумышленника.
     
    ----* mod_ifier - Apache2 request filtering and rejection [+]
    [обсудить]
     Модуль для Apache2 предоставляющий средства для фильтрации нежелательных запросов, т.е. проще говоря реализация фаервола на уровне Apache. Поддерживается фильтрация по полям в HTTP заголовках (например, referer и user_agent), параметрам запроса, черным спискам IP адресов. Имеется возможность вызова внешнего скрипта после очередного блокирования (например, для дальнейшего блокирования IP пакетным фильтром).
     
    ----* GreenSQL - protect databases from SQL injection attacks (Версия: 1.3.0 от 2010-10-21) [+]
    [обсудить]
     Прокси сервер, работающий между СУБД и приложением, для блокирования попыток типовых атак, направленных на подстановку SQL кода. В настоящее время имеется поддержка MySQL.
     
    ----* Fail2ban - scans log files and bans IP (Версия: 0.8.4 от 2009-09-10) [+]
    [обсудить]
     Программа сканирует лог файлы (sshd, apache, vsftpd и т.д.), определяет попытки подбора паролей и блокирует IP с которых производится подбор через пакетный фильтр iptables или hosts.deny.
     
    ----* pam_abl - PAM module that provides auto blacklisting [+]
    [обсудить]
     PAM модуль для автодобавления хоста в черный список после серии неудачных запросов аутентификации. Может использоваться для защиты от атак направленных на подбор пароля.
     
    ----* OSSEC HIDS - Open Source Host-based Intrusion Detection System (Версия: 2.2 от 2009-09-17) [+]
    [обсудить]
     Система обнаружения атак запускаемая на локальном хосте который нужно защитить. Позволяет выявлять аномалии в логах, контролировать целостность файлов, выявлять наличие руткитов и т.д.
     
    ----* RogueScanner - open-source vulnerability management tool [+]
    [обсудить]
     Программа для выявления несанкционированно подключенных беспроводных устройств в сети.
     
    ----* eash - Enterprise Audit Shell [+]
    [обсудить]
     Оболочка с функциями контроля и аудита доступа пользователей к Shell. Ведутся полные логи действий пользователя.
     
    ----* Honeyd - daemon that creates virtual hosts on a network. [+]
    [обсудить]
     Демон притворяющийся открытым сервисом в котором присутствуют проблемы безопасности. Подходит для создания различных черных списков или автозанесения в фаервол, для защиты от спама, червей, атак и прочей грязи.
  • Honeycomb — автоматически создает сигнатуры для IDS snort;
  • LaBrea - сочетает в себе функции Honeypot и IDS;
  • thp (Tiny Honeypot) - небольшая программа, использующая iptables и xinetd, и позволяющая привязать perl сценарий к возникновению активности на каком-либо порту;
  • Impost - анализатор трафика на совершение атак, который может работать как Honeypot или сниффер.
  •  
    ----* AntiExploit - ON-ACCESS exploit-scanner for Linux and FreeBSD. [+]
    [обсудить]
     Программное обеспечение, которое через взаимодействие с модулем ядра dazuko для Linux и FreeBSD, осуществляет постоянный контроль файловых операций и определяет факт использования популярных эксплоитов по базе контрольных сумм.
     
    ----* snort2c - action tool against attackers based in snort alerts (Версия: 0.2 от 2005-08-17) [+]
    [обсудить]
     *snort2c, работая в паре с IDS Snort, анализирует его вывод и блокирует атакующего используя OpenBSD PF. snort2c основан на snort2pf, но написан на Си.
    Основные особенности: модульность, используется kqueue, возможность работы с таблицами PF, PF управляется системными вызовами, возможность работы в фоновом режиме, поддержка "белых" списков, возможность работы с syslog.
     
    ----* Prelude - Hybrid Intrusion Detection System [+]
    [обсудить]
     Гибридная система обнаружения атак (Hybrid IDS), работает не только как анализатор транзитного сетевого трафика, но и анализирует работу сервисов, активность пользователей, состояние логов и следит за целостностью наиболее важных файлов на конечном хосте.
     
    ----* DNS Flood Detector [+]
    [обсудить]
     Программа для мониторинга интенсивности обращений к DNS серверу (для перехвата пакетов используется libpcap). При обнаружении отклонений в объеме запросов с определенного IP, генерируется запись в лог файл.
     
    ----* mod_security - Web Intrusion Detection And Prevention (Версия: 1.8.6 от 2004-11-06) [+]
    [обсудить]
     Модуль, с помощью которого создать первичный щит по защите пользовательских скриптов на уровне web-сервера. Возможности: фильтрация по маске в параметрах запроса (например, нормализация путей в запросе: ../, /etc/password), сохранение дополнительной информации в лог файле (содержимое POST запроса, заголовков), обнаружение атак через HTTPS или использования сервера как proxy.
  • mod_evasive - модуль пытающийся бороться с DoS, DDoS и "brute force" атаками через анализ числа запроса в единицу времени с одного IP или к одной странице.
  •  
    ----* IP-Sentinel - prevent unauthorized usage of IP (Версия: 0.1 от 2003-07-11) [+]
    [есть мнение]
     Программа для предотвращения факта самовольного присвоения IP-адресов пользователями в локальной сети. Программа периодически посылает ARP-запросы, и сохраняет MAC-адреса машин во внутренней базе, если обнаружен ответ с несовпадающим MAC-адресом, самовольное присвоение IP блокируется.
     
    ----* sXid - suid/sgid monitoring program (Версия: 4.20130802 от 2013-08-09) [+]
    [обсудить]
     Запускаемая через cron программа для слежения за suid и sqid файлами в системе. При появлении нового suid файла, администратору направляется отчет по email. Можно настроить sXid для автоматического удаления suid бита, ограничивать область проверки и т.д.
     
    ----* Libnids - IP defragmentation and TCP stream assembly library (Linux 2.0.x IP stack emulator) (Версия: 1.24 от 2010-03-19) [+]
    [обсудить]
     Библиотека для построения NIDS (Network Intrusion Detection System) систем, эмулирует TCP/IP стэк Linux 2.0.x, что позволяет не только перехватывать пакеты (хаотично идущий набор пакетов), как делает большинство снифферов (например, libpcap, tcpdump), но и отслеживать отдельные сессии (например, перехватывать SMTP трафик и разделять каждую SMTP сессию) с учетом дефрагментации и сборки TCP кусков пакетов. Работает под Linux, *BSD и Solaris.
     
    ----* chkrootkit - locally checks for signs of a rootkit (Версия: 0.48 от 2008-04-22) [+]
    [обсудить]
     Скрипт для обнаружения rootkit'ов в бинарных файлах системы, определяет как известные rootkit'ы по сигнатурам, так и новые троянские вставки.
  • Аналог: Rootkit Hunter (пакет rkhunter) - сканирование системы на наличие Rootkits, Backdoors и Sniffer.
  •  
    ----* slsnif - serial line sniffer, logs all data coming through serial port. (Версия: 0.4.3 от 2004-07-10) [+]
    [обсудить]
     Программа позволяет отследить и поместить в лог файл все данные проходящие через последовательный порт.
  • Похожий продукт - Linux Serial Sniffer
  •  
    ----* nidsbench - network intrusion detection system (NIDS) test suite (доп. ссылка 1) [+]
    [обсудить]
     Система тестирования сети на предмет типовых уязвимостей и выяснения реакции установленной системы обнаружения попыток несанкционированного доступа. Присутствует неплохая подборка документации по NIDS.
     
    ----* iplog - TCP/IP traffic logger, capable of logging TCP, UDP, and ICMP traffic. [+]
    [обсудить]
     Монитор TCP/IP трафика, способен вести логи о проходящем трафике, обнаруживать сканирования портов, флуд и некоторые виды атак.
     
    ----* OpenPorts - script which can be run as a cron, checking the open and listening ports [+]
    [обсудить]
     Программа для отслеживания новых, ждущих соединения, портов, при появлении которых направляется письмо администратору.
     
    ----* Tripwire Intrusion Detection System (Версия: 2.4.2.2 от 2011-11-23) [+]
    [обсудить]
     Система слежения за целостностью файловой системы. Позволяет своевременно обнаружить результаты деятельности злоумышленника, несанкционированно проникшего в систему. Стоит обратить внимание на AIDE (Advanced Intrusion Detection Environment) - бесплатную и расширенную замену Tripwire.
     
    ----* ippl - daemon which logs IP packets sent to a computer [+]
    ----* icmpinfo [+]
    ----* tdetect - daemon that detects all traceroute attempts [+]
    ----* iplogger [+]
    ----* exdump - packet watcher, dumper, and logger. (TCP, UDP, and ICMP) [+]
    ----* jail (just another ICMP logger) [+]
    [есть мнение]
     Системы учета и анализа проходящих через машину сетевых пакетов.
     
    ----* ipgrab - packet sniffer [+]
    [обсудить]
     IP сниффер, резолвит DNS и генерирует детальную информацию.
     
    ----* scanlogd - Port Scan Detection Tools by Solar Designer (Версия: 2.2.7 от 2013-10-23) [+]
    ----* sentrytools - PortSentry, Logcheck/LogSentry, HostSentry [+]
    [обсудить]
     Детекторы попыток сканирования портов.
     



    Близкие по значению ключи
    nmap  spoofing  ddos  exploit  bruteforce  stack  flood  kerberos  pam  attack  trojan  posix  macosx  minix  sysctl 
    Близкие по совпадению ключи
    security  freebsd  ddos  web  nginx  attack  cache  proxy  patch  firewall  linux  sniffer  traffic  apache  iproute2 
    Похожие разделы ключей
  • Безопасность
  • Криптование
  • ОС специфика

  • Раздел новостей
     [12.10.2017] Релиз системы обнаружения атак Snort 2.9.11.0
     [28.07.2017] Доступна система обнаружения атак Suricata 4.0
     [15.12.2016] Релиз системы обнаружения атак Snort 2.9.9.0
     [28.01.2016] Доступна система обнаружения атак Suricata 3.0
     [01.12.2015] Выпуск системы обнаружения атак Snort 2.9.8.0
     [30.07.2015] Обновление DNS-сервера BIND 9.9.7-P2 и 9.10.2-P3 с устранением уязвимости
     [22.07.2015] В TCP-стеке FreeBSD устранена DoS-уязвимость
     [13.12.2014] Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
    Следующая страница >>

    Советы и заметки
     Ограничение трафика через iptables
     Защита маршрутизатора Cisco от DoS атак.
     Обновляем BIOS с загрузкой DOS по сети
     Ускорение анализатора сетевого трафика Snort при помощи библиотеки Hyperscan
     Какие команды IOS использовать на Cisco для защиты от некоторых DoS атак ?
     Предотвращение DoS атак в FreeBSD
     Как удалить символ возврата каретки ^M из файла
     Как удалить DOSовый возврат каретки
    Следующая страница >>

    Тематический каталог
     Система обнаружения вторжений на базе IDS Snort
     Перевод на русский язык Snort FAQ
     Защита от DoS атак в Linux
     Защита от DoS атак в nginx
     Начальная защита Apache
     Борьба с DDOS и DOS на уровне nginx
     Можно ли отслеживать попытки DoS/Flood атак в FreeBSD
     Патч предотвращающий падение FreeBSD при записи на защищенную/битую дискету
    Следующая страница >>

    Каталог программ
     mod_security - Web Intrusion Detection And Prevention
     Snort - packet sniffer/logger and network intrusion detection system
     APSEND - TCP/IP packet sender to test firewalls and other network applications
     snort2c - action tool against attackers based in snort alerts
     Expert Guide is a text-based Norton Guide (NG) reader.
     DOSBox
     IDS-POP - small, fast, and efficient POP3 server (переименован в GnuPOP3d)
     IDS Patch (lids) for Linux kernel 2.2.x
    Следующая страница >>

    Каталог ссылок
     Знакомство с технологией построения IDS
     Язык программирования Ruby
     Distributed Denial of Service (DDoS) Attacks/tools
     Minimizing Denial of Sevice Attacks - Unix IP Stack tuning guide
     Securing a Unix Server

    Архив документации
     Portsentry - система обнаружения сканирования портов.
     Построение защищенных рутеров на базе Cisco ISO
     LIDS - Система обнаружения атак и защиты от вторжения.
     Файловые системы Linux
     Из DOS/Windows в Linux HOWTO
     The Linux ``Linux-DOS-Win95-OS2'' mini-HOWTO
     Мини-HOWTO: Удаленная загрузка и Linux: Настройка удаленно загружаемых рабочих станций с Linux, DOS, Windows 95/98 и Windows NT
     Мини-HOWTO: Резервное копирование при помощи MS-DOS
    Следующая страница >>


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor