Nota: Se stai leggendo questo messaggio è perchè non vedi i nostri file css, oppure perchè non hai un browser "standards-compliant browser". Leggi l'aiuto.

TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club ProntoImprese IlSoftware
TechTarget Italia SearchCIO.it SearchNetworking.it
Cerca
in
In pratica
Sono efficaci le tecniche di analisi dei pacchetti per individuare i malware?
Link suggeriti
Topics E' arrivato il momento del SIM Expert Advice Un simulatore per TFTP e FTP Tips I pro e i contro degli UTM
Glossario Denial of Service (DoS)
In Internet, per Denial-of-Service (DoS) o "interruzione dell'erogazione del servizio", s'intende un incidente nel ...
» continua
Pacchetto
Per pacchetto s'intende un'unità di dati che viene instradata tra un'origine ed una destinazione attraverso Internet...
» continua
18 Settembre 2007
Ho letto che è ormai possibile individuare i worm analizzando la connessione e i flussi di pacchetti. Queste tecniche non basate su una firma elettronica sono efficienti e sono in qualche modo diverse dai prodotti NBAD?

L'analisi delle connessioni e dei flussi di pacchetti rientra nell'approccio generale noto come Network Behavior Anomaly Detection (NBAD). I rootkit e altre forme di malware sono diventate talmente abili nell'intrufolarsi all'interno dei sistemi degli utenti finali che le aziende sono arrivate al punto d'affidarsi all'aiuto di risorse d'indagine di rete. Quando i sistemi vengono infettati da malware, i flussi di comunicazione al loro interno di solito cambiano secondo modalità che possono essere individuate.

Considerate questo esempio: i client di solito comunicano con i server. I server raramente iniziano una connessione con i loro client, fatta eccezione per servizi occasionali come il File Transfer Protocol (FTP) non usato in modalità passiva. Inoltre, i client non comunicano quasi mai con altri client e i server comunicano pochissimo con altri server. Avete qui di seguito un esempio di come i tool possono individuarli.

Al momento di un attacco worm, si verifica spesso un picco elevato d'inizio sessioni client-to-client. Si potrebbe quindi verificare un aumento nel consumo della banda passante di una o più delle macchine infette e anche un picco nel numero di tentativi d'inizio connessione. Ognuna di queste misurazioni è utile e può essere rilevata da vari prodotti NBAD. I sistemi di prevenzione delle intrusioni network-based, i prodotti di Security Information Management (SIM), alcuni sistemi di detezione delle intrusioni, come pure i prodotti di monitoraggio di Denial of Service (DDoS) offrono tutti questo tipo di funzionalità

Oltre a questi prodotti, esistono progetti Internet-based su larga scala che verificano le anomalie di rete. Uno dei più importanti è DShield project, gestito da SANS Internet Storm Center. Questo progetto ha più di 45.000 operatori/sensori volontari su Internet. I sensori raccolgono informazioni, le rendono anonime e le inviano a chi le raccoglie. I software e i tecnici analizzano poi i risultati, riguardanti sia sessioni di comunicazione e che le porte utilizzate. Le prime 10 porte che si stanno affermando come varie sessioni d'attività anomale, vengono tracciate ed aggiornate ogni giorno sul sito Web di DShield.

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari