Erkennen von über HTTP getunneltem Verkehr |
||
---|---|---|
#0
| ||
25.04.2007, 10:19
...neu hier
Beiträge: 4 |
||
|
||
26.04.2007, 13:09
Member
Beiträge: 1543 |
#2
Hello,
ich glaube das geht nicht so einfach. Solange derjenige welcher da Tunnelt einfach nur das Protokoll missbraucht kann man sicher http-NonKonforme Datenpakete aufspüren. Wenn derjenige da welcher aber die Daten noch durch ein Konvertierungsprogramm laufen lässt, wird es richtig schweinisch. Mal ganz abgesehen von den Datenschutzrechtlichen Aspekten, halte ich das mitsniffen auch für bedenklich. Wirkliche Sicherheit setzt in meinen Augen dann eher auf dem entsprechenden Desktop der Mitarbeiter auf. Da dürfen dann eben nur authorisierte Programme laufen, noch besser nur welche aus dem LAN aber dann hast Du ja schon so etwas wie ein dummes Terminal geschaffen. Noch zwei links zum lesen für die Allgemeinheit: http://wiki.hackerboard.de/index.php/Tunnel und http://wiki.hackerboard.de/index.php/Application_Level_Firewall Viel Spass noch TS |
|
|
||
26.04.2007, 13:48
...neu hier
Themenstarter Beiträge: 4 |
#3
Hi TurnRstereO,
also, was das mitsniffen angeht, dass ist soweit ich weiß geklärt... Man schaut sich ja auch nicht den Inhalt jeder normalen Session an, sondern nur Paketeigenschaften wie Größe, Datenrichtung usw. Wenn du Lust hast, oder auch andere, ich hab hier nen Artikel gefunden ( http://www.ll.mit.edu/IST/pubs/Pack-IEEE2002.pdf ) und will es jetzt mal in der Art probieren... Allerdings weiß ich noch nicht genau, wie ich die Paketeigenschaften, die in dem Paper beschrieben sind auch tcpdump bzw tethereal raus bekomme... Falls jemand noch ne Idee oder ne Meinung hat, bin ganz Ohr!!! mfg |
|
|
||
27.04.2007, 15:05
Member
Beiträge: 5291 |
#4
schoetti:
man tcpdump Steht alles da drin, soviel ist sicher. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
ich bin Student und mache zur Zeit ein Praktikum.
Ich habe mich jetzt eine Weile mit ADS (Anomalie ErkennungsSystemen) beschäftigt und seit Ende letzter Woche ein etwas anderes Gebiet zugeteilt bekommen. Und zwar soll ich schauen bzw mir überlegen, ob es möglich ist, in einem großen Firmennetz Daten mitzusniffen und aus diesen Daten erkennen zu können, ob man es mit über HTTP-getunnelten Verkehr zu tun hat. Also, dass das mitsniffen möglich ist weiß ich... ;-)
Also, meine Frage ist, woran erkenne ich Verkehr, der über HTTP getunnelt ist? Kann ich das mit Analyse der Header der einzelnen Pakete machne, oder auch mit Anomalieerkennung? Wenn zweiteres, was ist der Unterscheid zwischen getunneltem Verkehr und normalem Verkehr? Und wie sollte ich die Filter bei meinen Sniffern einstellen?
Also zur Zeit sniffe ich mit tcpdump bzw tethereal/ethereal. Und ich mache das eben so, dass ich ne weile mitsniffe und die daten dann auswerte. Aber eigentlich sollte das irgendwann mal in echtzeit und andauernd ausgewertet werden. Kennt einer von euch ein Programm, bei dem man die einzelnen Pakete dann auch in verschiedene Verbindungen unterteilen kann bzw wie bekommt man diese bei den oben genannten sniffern ausgewertet.
Danke schonmal für eventuelle Antworten,
mfg