Обнаружение подозрительных ip пакетов

Ну например если в пакете какой-то белый порошок, и это не пакет с сахаром, мукой или солью, то наверно можно считать пакет подозрительным. Если пакет без присмотра и в пакете что-то тикает, то это тоже подозрительный пакет.

Товарищ майор, надо как-то более завуалированнее.

Явка провалена.

Торчащие провода, антенны и скотч забыл! :)

и в пакете что-то тикает

помню, когда я была ещё студентом и переезжала с одной съёмной квартиры на другую, всё моё скромное имущество умещалось в одном чемодане. советский механический будильник я тоже сунула в чемодан. когда я зашла с чемоданом, в котором громко тикал будильник, в трамвай, некоторые люди поспешно вышли :)

я имел ввиду ip пакеты

Ну так может надо было как-то поподробнее описать задачу. Что такое «странные соединения», какие конкретно критерии «подозрительности» имеются ввиду, где эти пакеты надо искать - на каком-нибудь роутере, на компе пользователя или на сервере, на какой конкретно системе это надо делать и т.д. и т.п.

А то, что ты «имел ввиду ip пакеты» никак вообще не делает твой вопрос чем-либо отличающимся от вопроса про пакеты вообще.

Вопрос совершенно идентичен вопросу типа «как мне наносить синюю краску?». То, что ты указал что краска синяя вообще никак не помогает сделать вопрос осмысленным. Осмысленным он станет только когда ты расскажешь какая конкретно краска, на каком растворителе и с каким связующим, одно или двухкомпонентная, что именно ты её собираешься красить - материал, поверхность, форма, размер, чем ты собираешься красить и т.п. Только задав вопрос имеющий смысл ты сможешь получить ответы имеющие смысд.

Так что полное описание конкретной задачи на бочку, со всеми конкретными деталями о железе, софте, назначении и т.п., или мы продолжаем глумиться. :)

если чего-то не знаешь - то изучаешь.
врубаешь мониторинг пакетов в своей сети и изучаешь, шо там по сети у тебя бегаеть из угла в угол.
по мере изучения отфильтровываешь все полезные пакеты….
и… тадададам… остаток аккурат будет искомым подозрительным.
:)

А как ты понял, что они странные?

Так что полное описание конкретной задачи на бочку, со всеми конкретными деталями о железе, софте, назначении и т.п., или мы продолжаем глумиться. :)

Ой да ладно, мы и так продолжим же :)

пакет-иноагент

обязательно разноцветные

ты FTM?

Ага, и чтобы остановить таймер, ненадо резать красный провод :)

Ехал я как-то в автобусе, полном, что называется, под завязку. Вдруг вижу, что на одном из кресел лежит GameBoy. Может, кто-то забыл, а может быть и бомба.

Народ реагирует как надо: никто в руки не берёт и места не занимает.

Кроме одного мужика лет 65. Вот он пыхтел-пыхтел, и я не успел глазом моргнуть, как он схватил эту игрушку, и положил её на площадку около окна. Ну не идиот ли?! Если бы бабахнуло, то человек 20 бы полегло.

Единственное, что я успел сделать, это оглядеть салон и спрятаться за него, за этого мужика.

Провести инвентаризацию каким софтом пользуются. Составить список портов и хостов. Например, может быть 80 и 443 порты куда угодно, 22 порт только к известному серверу и т д. Соответственно, всё, что не ложиться в этот список, считать подозрительным. Только не забыть про всякий служебный трафик типа DNS, ARP и т д.

Разумеется, всё это не панацея, ибо существует стеганография, некоторые протоколы маскируются под HTTP(S) и т. д.

Тут уже зависит от твоего ТЗ. Если сдать зачёт, то описанного хватит. Если настроить сеть в организации, то надо в соответствии с принятыми нормативными документами - курить «ГОСТ на подозрительные пакеты» применимый именно для этой организации.

Если бы оно хотело бахнуть, то оно бы бахнуло и без мужика (автобус постоянно тормозит, ускоряется и подпрыгивает на кочках, а срабатывание вообще может быть по таймеру). Самое хорошее расслабить булки, потому что стать жертвой теракта шанс примерно как шанс выиграть в лотерею (а вот забывают всякую фигню в автобусах и на улице люди регулярно) - если ты не лудоман, это просто не учитываешь до самого факта. Если лудоман - учитываешь, но в плюс это тебе не играет.

эээ... а кто такой FTM?

у нас однажды метро остановили. а у нас в метро только одна ветка. и её перекрыли из-за «подозрительного пакета». оказалось, какой-то малец ехал в школу и забыл на скамейке мешок с переодевной обувью.

Суриката позови. Он в «пакетах» лучше разбирается

Да-да.

погугли

1. Лучше перебдеть, чем недобдеть.

2. Недовольные и умники будут всегда.

Лучше перебдеть, чем недобдеть.

Спорно. Каждый год в ДТП гибнет раз в 100-1000 больше (в зависимости от страны) людей, чем от взорвавшихся чемоданов. Чисто практически можно париться и меньше, другое дело, что когда кто-то убивается в ДТП, то весь негатив будет в сторону хотя бы одного из тех, кто был за рулём, а если что-то взорвётся, то негатив будет в сторону чиновников, отвечающих за безопасность, а они не хотят.

лучше, наверное, не воровать и никого не убивать. тогда и недовольных будет меньше. и не будет подозрений на «терроризм» в каждом мусорном мешке. и не нужны будут все эти заборы и шмоны на каждом углу. чем больше подлости - тем больше будет врагов. но это чисто теоретически. это всё порождения тоталитаризма и его прямые следствия.

именно это. безопасность людей тут вообще ни при чём.

А чиновники тут при чём?

Мы живём в мире, в котором живём.

...недовольных будет меньше...

Как показывает практика, не будет.

ну, так оно. так что выбора особо нет. можно даже не мечтать. можно очень локально, у себя дома, строить мир логики и гармонии. главное, сильно не отсвечивать, чтобы не пришли со шмоном, как к «диссиденту» или «иноагенту».

Не грусти. Я ж не грущу и не унываю...

Самое хорошее расслабить булки, потому что стать жертвой теракта шанс примерно как шанс выиграть в лотерею

А вот хз. Сижу я как то на рабочем месте, на седьмом этаже здания, а ко мне заходят менты с собакой. Говорят: чойта вы тут делаете. Здание заминировано и всех эвакуировали. Нашли чего то или нет не знаю.

по моему в лотерею (в РФ точно) выиграть шанс меньше.

я не грущу. я не умею это делать. я всегда найду, чем занять себя.

уныние не помогает справиться с проблемами. поэтому надо себя периодически пинать под жопу, чтобы достигать какого-то прогресса.

я не могу сказать, что я оптимист. я уже давно не смеялась по-настоящему, искренне и радостно. но такова селяви и либо ты приспосабливаешься и приглагаешь усилия, либо жизнь тебя раскатает в лепёшку и проедет дальше.

ППКС.

Просто заворачивай все пакеты без подписи гендира или хотя бы зама.

Я вручную UDP пакеты с фальшивым source адресом определял по TTL. Обычно TTL с реального адреса не меняется продолжительное время.

TTL уменьшается на каждом хопе. Что вы, вообще, несёте ?

Ну уменьшается, и что?

Собственно, на практике был случай где мне приходил флуд с конкретного адреса. И пока выясняли виноват ли тот, с чьего адреса мне идёт флуд, сравнили логи. У легитимных пакетов TTL был изначально, допустим, 64, а ко мне стабильно доходили пакеты с TTL, допустим, 42. Пакеты же фальшивые приходили с TTL пусть будет 240. Увеличиться он точно никак не может.

Так и выяснили, что флуд наверняка шел от очередного школьника, с сети которого можно слать сырые пакеты с фигнёй в поле source. И это при существующем и легко реализуемым BCP 38.