Приветствую... помогите плз или подскажите куда или к кому можно обратитсо с подобным вопросом. Необходимо определить отличительные черты для пакетов вирусов и троянов среди общего потока траффика.
Printable View
Приветствую... помогите плз или подскажите куда или к кому можно обратитсо с подобным вопросом. Необходимо определить отличительные черты для пакетов вирусов и троянов среди общего потока траффика.
[code]
Есть ли особенности у пакетов рассылаемых вирусами?
[/code]
нет
возможно я не до конца рассказал. Дело в том что будут доступны логи всей прошедшей информации кто куда и что... есть ли какие то сходства у их пакетов? К примеру я сам могу отметить пожалуй только то что спам-трояны определяют ойпишнеги целей случаным переборным образом... за это можно было бы зацепиться. Не подкините и идейку?:[
[QUOTE=quickIT;286887]Не подкините и идейку?:[[/QUOTE]В любом случае - не в этом разделе.
Тема перемещена.
[QUOTE=quickIT]отличительные черты для пакетов вирусов и троянов среди общего потока траффика ... спам-трояны определяют ойпишнеги целей случаным переборным образом[/QUOTE]В заголовках отличий нет. В Вашей сети ходят пакеты с Вашими айпишниками. Как они подобраны - явно или перебором - разницы нет. Откуда там возьмутся пакеты с айпишниками чужими в поле получателя - они будут отброшены на шлюзах. А если сеть локальная, то не найдя адресата, они просто умрут.
Еще может быть настроена фильтрация по адресам отправителей - от кого принимать, от кого не принимать. Или по типам приложений, например всякие аськи. Ну и т.д.
Вредоносный код находится в поле данных. Данные передаются запросившим их приложениям или анализируются предварительно другими приложениями, например - антивирусом. Срабатывание антивируса на содержащийся в поле данных вредоносный код - это и есть отличительная черта "вредных" пакетов.
Дело в том, что я анализирую не Пришедшие из сети пакеты. А исходящие из станций моей сети - курсовая состоит в написании анализатор исходящего трафа с целью определения какие из станций могут быть заражены...
Трафик шифрует, можно нагуглить что-то например по кракену.
логи и таблицы маршрутизации любых сетевых и межсетевых экранов (файерволы, роутеры, свичи) в помощь
Тему дал препод Cisco... А где вообсче можно узнать о том ЧТО записывается в эти самые логи которые мне нужно анализировать?? адреса, заголовок, размер... может что-то исчо за что можна зацепиться?
Размер кадра будет зависеть от топологии сети. Далее - смотря как, где и что Вы собираетесь анализировать - протоколы стека TCP/IP, протоколы маршрутизации и т.д. Это очень обширно для форума. Гуглите статьи и книги. Можно по авторам, например Таненбаум или Олифер. У обоих есть "Компьютерные сети".
зы. Книги часто бывают в книжных магазинах, имхо. :)
Порекомендовал бы Вам базовый курс в виде книги "Протоколы TCP/IP" Автора к сожалению не помню, но описано все доступным и понятным языком причем очень подробно! Ну, а найти данную книгу думаю проблем не составит, так как переодически вижу данную книгу в книжных магазинах и на ярмарках. RFC1180 - в помощь!