IDSが取得する不明なポート/プロトコルを特定するにはどうすればよいですか?
ポートとプロトコルをグーグルすると、せいぜい簡潔な説明になり、平均的なケースではリンクファームになります。さまざまな不明なハイポートのほとんどのプロトコルにはプレーンテキストがほとんどまたはまったく含まれていません。IDSがセッションの途中でトリップした場合、セッションの設定も表示されません。
さまざまなファイルタイプを示す便利な lists のファイル署名があります。 Wiresharkに組み込まれているプロトコル以外に、トランスポート層より上のプロトコルでこのようなものを見たことはありません。
誰もがこのための良い情報源を知っていますか?
別のオプションは、ネットワークデータの機械学習分類器です。私はそれらを説明する論文を見たことがありますし、プロジェクトを最初から構築するのを見ましたが、開発の有効な段階でそれらを見つけることはありませんでした。
見てみましょう。これは簡単なはずです。次のような優れた論文を読んでください 半教師あり学習を使用したオフライン/リアルタイムトラフィック分類
次に、1回の読み取りを完全に理解することで得た知識をいくつか組み合わせる ネットワークセキュリティの統計的手法 (Amazonでは160ドルのみ)
次に、お気に入りのテキストエディターを起動して少しコードを記述しますが、 RapidMiner または Weka を使用します。これらのアルゴリズムのコーディングはtoo簡単です。
最後に、数時間かけてアルゴリズムを調整し、次にすべての設定を行います。
皮肉はさておき、上記の手順は、セキュリティに関する多くの困難な問題を創造的に解決するための学術的に人気のある方法を概説しています。私は私が上記を上手にできると言えるといいのですが-多分あなたはそれを行うためのツールを書くことができます!
IANAのリスト here から始めます。次に、トラフィックが送受信されるネットワーク内のホストを調査して、トラフィックを担当するアプリケーションを特定します。 IANAリストで見つかった場合、これは確認手順にすぎません。トラフィックが一貫していて悪意のないものである場合、ホスト上のnetstatを使用して、どのアプリケーションがトラフィックを受信/生成しているのかを把握できるはずです。
The Hacker's ChoiceのAmapを使用しています。ポート番号を変更してサービスを難読化しようとすると、Amapがそれを識別します。それがAmapが知らないプロトコルであるなら、あなたはまだSOLです。
http://freeworld.thc.org/thc-amap/
Amapは、ネットワーク侵入テストを支援するための次世代ツールです。バインドされているTCP/UDPポートに関係なく、高速で信頼性の高いアプリケーションプロトコル検出を実行します。