The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлен инструмент Hone для анализа сетевых пакетов с пр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от opennews on 18-Апр-12, 18:08 
Глен Финк (Glen Fink) из команды исследователей Министерва энергетики США, представил (http://www.eweek.com/c/a/Enterprise-Networking/New-Security-.../) инструмент для исследования безопасности Hone (https://github.com/HoneProject), предназначенный для глубокого и детального исследования сетевой активности внутри крупных компьютерных систем. По словам создателя, инструмент способен дать администраторам более полную картину взаимосвязей между сетевыми пакетами, чем обычные средства исследования сетевой активности.


Главная идея Hone (HOst-NEtwork) - дать наглядное представление взаимосвязей между машинами, приложениями и подозрительными пакетами, обнаруженными внутри сети. Hone позволяет сгенерировать графическое представление этих взаимосвязей, благодаря которому можно без труда найти источник проблемы, проследив путь трафика от машины назначения к источнику, приложению и конкретному процессу, сгенерировавшему пакеты.


Hone реализован в виде сетевого сенсора, использующего функциональность подсистемы Linux Netfilter. Его ядро состоит из нескольких модулей, которые регистрируют функции обратного вызова на цепочках INPUT и OUTPUT, собирая информацию о каждом пришедшем и покинувшем машину пакете. Эта информация связывается с данными о процессе, участвующем в обмене пакетами и направляется в файл /dev/hone в виде простого текста или в формате PCAP-NG, который можно проанализировать с помощью таких инструментов как Wireshark.


В данный момент в публичном доступе (https://github.com/HoneProject/Linux-Sensor) находится только сам сенсор (код под лиценизией GPL), более высокоуровневые компоненты Hone не открыты и более детальная информация о них недоступна. Тем не менее, доступные наработки проекта уже используются в Тихоокеанской северо-западной национальной лаборатории для выявления возможных угроз.


URL: http://www.eweek.com/c/a/Enterprise-Networking/New-Security-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=33631

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +10 +/
Сообщение от klalafuda on 18-Апр-12, 18:08 
Я конечно чрезвычайно рад за тихоокеанскую северо-западную национальную лабораторию и их беспрецедентный уровень секурити, но при таком подходе мне то что с того :-?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Аноним (??) on 18-Апр-12, 22:50 
при каком подходе?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от Аноним (??) on 19-Апр-12, 00:54 
> при каком подходе?

"код есть и работает, но мы вам его не дадим. Проприетарщики мы"

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  –3 +/
Сообщение от Аноним (??) on 19-Апр-12, 09:03 
Все нормально. Программу то тебе дают бесплатно?
Откроют код и хакеры научатся обходить сабж ))
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от iCat (ok) on 19-Апр-12, 13:24 
>...Все нормально. Программу то тебе дают бесплатно?...

Хавай то, что дали!!!
Победное шествие Идеи "зверь-сиди" по планете!

Хомячок, опомнись, пока не стал барашком...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  –1 +/
Сообщение от aNoN on 18-Апр-12, 18:28 
Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от Михаил (??) on 18-Апр-12, 18:45 
А Вы что, хотите, чтоб root не знал что на машине происходит? Для предоставления максимально полной свободы (сладкое слово?) хакерам, админу следует сделать себе шел false и группу nobody. Харакири по вкусу.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от 3030 on 19-Апр-12, 10:34 
Теперь? А какие проблемы с отслеживанием трафика конкретного приложения были до этого?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от aNoN on 19-Апр-12, 12:32 
Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.
Например, запущено у меня два почтовых клиента и я хочу знать сколько каждый хавает трафика, именно в разрезе этих двух приложений-клиентов, а не почтовых серверов, на которые настроены учётки.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от iCat (ok) on 19-Апр-12, 15:03 
> Направьте на хаутушку, как фильтровать трафик не по назначению (адресам|портам), а по приложениям.

...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
It is just work.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от aNoN on 19-Апр-12, 15:53 
Расширение работает с INPUT?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Аноним (??) on 20-Апр-12, 03:37 
>Расширение работает с INPUT?

Нет. И с png тоже. А Hone работает с INPUT?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от aNoN on 20-Апр-12, 10:56 
Я не знаю.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от anonim on 21-Апр-12, 22:37 
-m owner поддерживает только --uid-owner и --gid-owner.
Где тут фильтр по приложениям?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Имя и код on 24-Апр-12, 02:29 
> -m owner поддерживает только --uid-owner и --gid-owner.
> Где тут фильтр по приложениям?

--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Имя и код on 24-Апр-12, 01:36 
> Это что, теперь в линухах можно будет отслеживать трафик конкретного приложения?

Да давно уже можно было, блин RTFM!

man iptables

owner
This module attempts to match various characteristics of the packet
creator, for locally-generated packets. It is only valid in the OUTPUT
chain, and even this some packets (such as ICMP ping responses) may
have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given
effective user id.

--gid-owner groupid
Matches if the packet was created by a process with the given
effective group id.

--pid-owner processid
Matches if the packet was created by a process with the given
process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given ses-
sion group.

--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от qux (ok) on 08-Май-12, 22:13 
Это вы с каких годов хаутушки копипастили?
cmd-owner с 2.6.15 не работает, хватит ним трясти.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

6. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Аноним (??) on 18-Апр-12, 19:33 
В чем новость-то? В том, что запилили очередной сенсор трафика? Так на базе netfilter это любой студент сможет, всего пара стандартных хуков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +1 +/
Сообщение от Аноним (??) on 18-Апр-12, 21:27 
Не, в том, что не просто запилили, а еще и закрыли, сказали, что работает система просто супер, но ее ни кому не дадут.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от DannyBoy on 18-Апр-12, 22:32 
Таки патентным троллингом попахивает =//
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Аноним (??) on 19-Апр-12, 00:55 
> Не, в том, что не просто запилили, а еще и закрыли, сказали,
> что работает система просто супер, но ее ни кому не дадут.

Это любой студент второго курса (айтишной специальности, более-менее приличного вуза) может запилить. Так об чем новость?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Аноним (??) on 19-Апр-12, 00:56 
> Это любой студент второго курса (айтишной специальности, более-менее приличного вуза)
> может запилить.

Разумеется, так чтобы работало. И под какой угодно лицензией.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от iCat (ok) on 19-Апр-12, 15:00 

...берём православный iptables, знакомимся с его расширением "-m owner", и готовим до желаемого состояния.
It is just work.


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от pavlinux (ok) on 19-Апр-12, 02:29 
Ну не второй, 4-5 минимум.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Andrey Mitrofanov on 19-Апр-12, 10:39 
> Это любой студент
> может запилить. Так об чем новость?

В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Представлен инструмент Hone для анализа сетевых пакетов с пр..."  +/
Сообщение от Имя и код on 24-Апр-12, 01:39 
>> Это любой студент
>> может запилить. Так об чем новость?
> В тихоокеанских лабораториях обнаружены студенты с пилой! Опасность, они рвутся наружу...

Пила 0xFF ? :))

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру