Тематический план
- Общее
- Сбор информации
Сбор информации
tcpdump и wireshark - средства сбора информации и мониторинга сети
Задание по теме:
- Используя tcpdump или wareshark собрать на домашнем компьютере dump в течении нескольких часов работы.
- Определить доли пакетов различных протоколов.
- Выявить пакеты с неправильными заголовками пакетов.
- Анализ числа SYN и SYN_ACK пакетов
Анализ числа SYN и SYN_ACK пакетов
Ведётся подсчёт числа пакетов в TCP соединениях с установленными SYN и SYN_ACK флагами. Определяется среднее по времени число таких пакетов и выясняются причины возможных отклонений от среднего значения.
Задание по теме:
- В DUMP-файле class_tcpdump.log (взять у преподавателя) проанализировать изменение относительной разности числа пакетов с установленными syn и syn-ack флагами.
- Построить график изменения упомянутой разности со временем.
- Выявить аномальные значения.
- Объяснить причины появления аномалий.
- nmap и portsentry
nmap и portsentry
Утилиты nmap и portsentry для сканирования сети и обнаружения сканирования
Задание по теме:
- Провести взаимное сканирование тремя разными способами (способ сканирования держать в тайне).
- По результатам анализа DUMP-файла определить какими способами сканировали Ваш компьютер.
- Структура TCPDUMP log-файла
Структура TCPDUMP log-файла
Рассматривается формат log-файла программы TCPDUMP и программа работы с ним
Задание:
1. Реализовать программу для подсчёта SYN и SYN-ACK пакетов в DUMP файле
2. Реализовать программу определения временного интервала между соседними пакетами.
- Модель программы обнаружения вторжений
Модель программы обнаружения вторжений
Рассматривается общая архитектура системы обнаружения вторжений, необходимые компоненты и функционал такой программы.