Тема работы: Средство имитации комплексных атак на основе Metasploit Framework.
Расшифровка темы: Суть работы заключается в создании инструментария для имитации вредоносного трафика с использованием реальных шеллкодов для тестирования систем обнаружения и предупреждения атак. В рамках работы предполагается создать набор плагинов к Metasploit Framework для имитации комплексных атак всех классов (по классификации, предложенной Андреем Сапожниковым).
Актуальность: Нужно для множества работ по обнаружению атак.
Цель работы: Создание инструментального средства поддержки испытаний систем защиты уровня сети на базе Metasploit Framework.
Постановка задачи: Для достижения поставленной цели необходимо решить следующие задачи:
1. Определить основные сценарии комплексных атак в соответствии с классификацией, а также их вариабельность.
2. Собрать и проанализировать потребности рабочей группы по классам вредоносной активности, которую необходимо имитировать.
3. Проанализировать существующий функционал Metasploit Framework, исследовать возможность реализации всех требуемых видов атак с использованием существующего инструментария.
4. По результатам п. 3 доработать Metasploit Framework (с возможным опубликованием доработок в самом проекте).
5. Реализовать сценарии комплексных атак и генераторы вредоносной активности в соответствии с п. 1 и 2.
Ожидаемый результат: удобное средство тестирования систем защиты уровня сети.
Денис Гамаюнов / Вероника Толоконникова, 4 курс, sec-sem
Модератор: Сотрудники лаборатории
-
Бычков Иван
- Аспирант
- Сообщения: 179
- Зарегистрирован: 23 сен 2008 01:19 pm
-
Вероника Толоконникова
- Гость
- Сообщения: 1
- Зарегистрирован: 18 дек 2008 03:01 pm
Толоконникова Вероника, гр 421
Научный руководитель Гамаюнов Денис Юрьевич
Тема работы:
Средство имитации комплексных атак на основе Metasploit Framework.
________________________________________
Расшифровка темы:
Суть работы заключается в создании инструментария для имитации вредоносного трафика с использованием реальных шеллкодов для тестирования систем обнаружения и предупреждения атак. В рамках работы предполагается создать набор плагинов к Metasploit Framework для имитации комплексных атак всех классов (по классификации, предложенной Андреем Сапожниковым).
Постановка задачи:
Для достижения поставленной цели необходимо решить следующие задачи:
• Определить основные сценарии комплексных атак в соответствии с классификацией, а также их вариабельность.
• Собрать и проанализировать потребности рабочей группы по классам вредоносной активности, которую необходимо имитировать.
• Проанализировать существующий функционал Metasploit Framework, исследовать возможность реализации всех требуемых видов атак с использованием существующего инструментария.
• По результатам п. 3 доработать Metasploit Framework (с возможным опубликованием доработок в самом проекте).
• Реализовать сценарии комплексных атак и генераторы вредоносной активности в соответствии с п. 1 и 2.
Сделано
1 Исследована классификация атак и множество примеров, покрывающих данные классы.
2 Испытан существующий функционал Metasploit Framework на примере нескольких простых атак, реализованных на стенде из виртуальных машин
3 Для решения задачи генерации трафика атак было решено использовать библиотеку libpcap, для чего была изучена оболочка к библиотеке на ruby.
4 Изучен язык Ruby для написания плагина к Metasploit Framework
5 Разобран исходный код Metasploit Framework
6 Реализован тестовый генератор исходящего трафика. Программа генерирует исходящие пакеты с произвольно заданными параметрами IP и TCP заголовков ( порты и адреса), подсчитывает контрольные суммы и записывает в файл. Это средство требуется для генерации трафика комплексных атак на основе MSF, где с его помощью можно будет создавать трафик атак с уже атакованных машин.
Список литературы
[1] Джеймс К. Фостер, Винсент Лю. Разработка средств безопасности и эксплойтов. 2007
[2] Хэл Фунтон. Программирование на языке Ruby. 2007
[3] Ruby/Pcap extension library manual. 2001
[4] Данжани. Средства сетевой безопасности. 2007
[5] Покрей Син и К.К. Мукей. Metasploit Framework. 2004
http://www.securitylab.ru/analytics/216366.php/
[6] Dave Thoms, Andy Hunt, Gavin Sinclair, Eric Hodel, William Webber, Lyle Johnson, James Edward Gray. Ruby Documentation. 2007
http://www.ruby-doc.org/core/
[7] Pcap - Packet Capture library . 2003.
http://www.tcpdump.org/pcap3_man.html
Научный руководитель Гамаюнов Денис Юрьевич
Тема работы:
Средство имитации комплексных атак на основе Metasploit Framework.
________________________________________
Расшифровка темы:
Суть работы заключается в создании инструментария для имитации вредоносного трафика с использованием реальных шеллкодов для тестирования систем обнаружения и предупреждения атак. В рамках работы предполагается создать набор плагинов к Metasploit Framework для имитации комплексных атак всех классов (по классификации, предложенной Андреем Сапожниковым).
Постановка задачи:
Для достижения поставленной цели необходимо решить следующие задачи:
• Определить основные сценарии комплексных атак в соответствии с классификацией, а также их вариабельность.
• Собрать и проанализировать потребности рабочей группы по классам вредоносной активности, которую необходимо имитировать.
• Проанализировать существующий функционал Metasploit Framework, исследовать возможность реализации всех требуемых видов атак с использованием существующего инструментария.
• По результатам п. 3 доработать Metasploit Framework (с возможным опубликованием доработок в самом проекте).
• Реализовать сценарии комплексных атак и генераторы вредоносной активности в соответствии с п. 1 и 2.
Сделано
1 Исследована классификация атак и множество примеров, покрывающих данные классы.
2 Испытан существующий функционал Metasploit Framework на примере нескольких простых атак, реализованных на стенде из виртуальных машин
3 Для решения задачи генерации трафика атак было решено использовать библиотеку libpcap, для чего была изучена оболочка к библиотеке на ruby.
4 Изучен язык Ruby для написания плагина к Metasploit Framework
5 Разобран исходный код Metasploit Framework
6 Реализован тестовый генератор исходящего трафика. Программа генерирует исходящие пакеты с произвольно заданными параметрами IP и TCP заголовков ( порты и адреса), подсчитывает контрольные суммы и записывает в файл. Это средство требуется для генерации трафика комплексных атак на основе MSF, где с его помощью можно будет создавать трафик атак с уже атакованных машин.
Список литературы
[1] Джеймс К. Фостер, Винсент Лю. Разработка средств безопасности и эксплойтов. 2007
[2] Хэл Фунтон. Программирование на языке Ruby. 2007
[3] Ruby/Pcap extension library manual. 2001
[4] Данжани. Средства сетевой безопасности. 2007
[5] Покрей Син и К.К. Мукей. Metasploit Framework. 2004
http://www.securitylab.ru/analytics/216366.php/
[6] Dave Thoms, Andy Hunt, Gavin Sinclair, Eric Hodel, William Webber, Lyle Johnson, James Edward Gray. Ruby Documentation. 2007
http://www.ruby-doc.org/core/
[7] Pcap - Packet Capture library . 2003.
http://www.tcpdump.org/pcap3_man.html
-
Алексей Качалин
- Сотрудник
- Сообщения: 136
- Зарегистрирован: 07 сен 2004 04:38 pm
Какие свойства атак предполагается имитировать? Статистические? Зависимости атак?
Как будут вноситься шумы в поведение злоумышленника? Как будет генерироваться (если будет) легитимный трафик, а если не будет - то как будет достигнута корректность проверки СОИБ с точки зрения ложных срабатываний?
Какой механизм используется для описания последовательности атак?
Из текста отчета следует, что п.1,2 постановки не решались в осеннем семестре, если это не так - какие результаты по этим пунктам?
Отсутствует план работ на 2-й семестр.
Если в работе продолжит отсутствовать научная составляющая (формулировка и обоснование корректности генерации атак), то это риск не только для этой работы, но и для коллег, если они доверятся результатам.
ps Письма от Вас я не получил. Не хорошо.
Как будут вноситься шумы в поведение злоумышленника? Как будет генерироваться (если будет) легитимный трафик, а если не будет - то как будет достигнута корректность проверки СОИБ с точки зрения ложных срабатываний?
Какой механизм используется для описания последовательности атак?
Из текста отчета следует, что п.1,2 постановки не решались в осеннем семестре, если это не так - какие результаты по этим пунктам?
Отсутствует план работ на 2-й семестр.
Если в работе продолжит отсутствовать научная составляющая (формулировка и обоснование корректности генерации атак), то это риск не только для этой работы, но и для коллег, если они доверятся результатам.
ps Письма от Вас я не получил. Не хорошо.