Введение
1. Обзор существующих сетевых анализаторов 10
1.1 Особенности передачи сетевого трафика 11
1.2 Требования к разбору сетевого трафика 15
1.3 Способ оценки современных методов разбора 16
1.4 Системы обнаружения и предотвращения вторжений
1.4.1 Snort 18
1.4.2 The Bro Network Security Monitor 19
1.5 Универсальные анализаторы трафика 20
1.5.1 Wireshark 20
1.6 Результаты оценки 20
1.6.1 Восстановление потоков данных 21
1.6.2 Анализ вложенных туннелей 22
1.6.3 Анализ модифицированных данных 25
1.6.4 Локализация ошибок разбора 25
1.6.5 Переносимость разборщиков между offline- и online-режимами 26
1.6.6 Добавление поддержки новых протоколов 26
1.6.7 Выводы 27
2. Модель представления разбора сетевого трафика 28
2.1 Сущности модели 30
2.1.1 Сетевой пакет 30
2.1.2 Логическое соединение 33
2.1.3 Участники сетевого обмена 37
2.2 Связывание уровней произвольного стека протоколов 41
2.3 Алгоритм восстановления потоков сетевых данных при нарушении порядка следования пакетов 42
2.4 Выводы 44
3. Архитектура системы анализа 45
3.1 Процедура анализа 47
3.2 API ядра
3.2.1 Разбор 50
3.2.2 Представление в заданном формате результатов анализа трафика 51
3.3 Инструмент портирования разборщиков из Wireshark 51
4. Разработанные анализаторы 55
4.1 Анализ трафика в режиме online 55
4.1.1 Управление ресурсами 57
4.2 Offline-анализ сетевых трасс 59
4.2.1 Представление результатов разбора 60
4.2.2 Интерактивный разбор 66
5. Практическое применение разработанной системы 68
5.1 Восстановление TCP-потока в случае переупорядочивания пакетов 68
5.2 Анализ зашифрованного SSL-трафика 69
5.3 Извлечение файлов при проведении online-анализа 71
5.4 Обратная инженерия закрытого протокола ботнета rbot 71
Заключение 75
Список литературы
