セッションされた長寿命のSSHを検出する方法
長期間にわたって確立されたsshセッションを検出する方法を見つけようとしています。長い間接続されているtcp接続を検出する方法があったことを思い出しているようですが、その方法を覚えていません。私はSnortを見て、それについてここに投稿しましたが、sshセッションを任意の時間にわたって監視し、特定の制限時間に達した場合にのみアラートを出すことを許可するルールを見つけることができませんでした。
誰かが私をこれのための正しい方向/技術に向けることができますか?
ありがとうございました、
これに対するすぐに使える解決策を見つけることができませんでしたが、これは少しスクリプトを書くことで実行できると思います。これが私の考えです。
TCP SSHターゲットポートへのハンドシェイクでアラートを出すようにSnortを設定します。これらのアラートをファイルに記録します。SSHポートとの間のトラフィックアラートも設定します。これらのアラートもファイルに書き込みます。 。
次に、これらのイベントを相互に関連付けるスクリプトを作成し、接続が長時間存続している場合にアラートを出します。
単純なステートマシンがその仕事をするはずです。ハンドシェイクアラートが発生した場合は、from/to ipをある種のストレージ(メモリの場合もあります)、ポート、およびアラートの時刻に保存します。最終確認日も保存し、2つのホスト間のトラフィックが表示されたら更新します。最後に確認した接続と確立した接続の差が好みよりも大きいかどうかを確認します。