Obtener informacion de los paquetes

Iniciado por .rn3w., 8 Enero 2020, 02:25 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

.rn3w.

8 Enero 2020, 02:25 AM Ultima modificación: 8 Enero 2020, 02:30 AM por .rn3w.
esta es mi anterior pregunta: https://foro.elhacker.net/hacking_avanzado/hacer_un_ids_con_redes_neuronales-t502082.0.html

necesito obtener informacion de los paquetes de redes, instale snort y cuando lo ejecuto obtengo mensajes parecidos a este:

Código [Seleccionar]
WARNING: No preprocessors configured for policy 0.
01/07-20:36:47.454886 2803:9400:3:5fc9:5599:9c50:4514:c593:40540 -> 2a03:2880:f043:11:face:b00c:0:2:443
TCP TTL:64 TOS:0x0 ID:0 IpLen:40 DgmLen:72
***A**** Seq: 0xC4357D2B  Ack: 0xFCC31DA3  Win: 0x26E  TcpLen: 32
TCP Options (3) => NOP NOP TS: 1697228946 1613132354

no entiendo mucho sobre ese mensaje cual es la informacion relevante?

AlbertoBSD

#1
8 Enero 2020, 02:47 AM
Realmente casi todo es relevante, si es un IDS realmente debería detectar la actividad normal contra la de un Intruso valga la Redundancia.

Segun veo tu paquete:
IP de origen
2803:9400:3:5fc9:5599:9c50:4514:c593
Puerto
40540
con Destino a
2a03:2880:f043:11:face:b00c:0:2
Puerto 443 (HTTPS)
TTL:64 (De salida por default en sistemas muchos sistemas Linux)

Existen muchos vectores de ataque entonces lo que tendría que hacer tu IDS es primero aprender cual es la actividad normal y posteriormente detectar anomalías.

Por ejemplo ese es solo el paquete IP, sobre el va algo de data TCP 32 bytes Y sobre eso van datos que procesa el navegador del cliente y el servidor WEB (Para este caso).
Otra cosa, para comunicaciones que viajan sobre SSL no podrás ver los datos que realmente se enviando por que esta cifrados.

Es algo bastante complejo, si necesitas un background de Redes y de Paquetes.

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#2
8 Enero 2020, 02:53 AM Ultima modificación: 8 Enero 2020, 02:57 AM por .rn3w.
Hola Alberto, primeramente te quiero agradecer en esta oportunidad por tanta ayuda que me brindaste en el pasado (hace como 5 años) muchas gracias!!!

entonces con esta informacion ya puedo generar patrones para poder entrenar las redes neuronales?
como puedo generar patrones con estas variables?
tengo otra pregunta:

influye en algo este warning: WARNING: No preprocessors configured for policy 0.?


AlbertoBSD

#3
8 Enero 2020, 03:04 AM
Cita de: .rn3w. en  8 Enero 2020, 02:53 AM
Hola Alberto, primeramente te quiero agradecer en esta oportunidad por tanta ayuda que me brindaste en el pasado (hace como 5 años) muchas gracias!!!

No pues de que :) aqui estamos para ayudar

Cita de: .rn3w. en  8 Enero 2020, 02:53 AMinfluye en algo este warning: WARNING: No preprocessors configured for policy 0.?

No influye, básicamente te indica que no tiene ningun preproceso configurado, snort ademas de poder mostrarte la información, se puede configurar como IDS con ciertas reglas.


Cita de: .rn3w. en  8 Enero 2020, 02:53 AMentonces con esta información ya puedo generar patrones para poder entrenar las redes neuronales?

Tengo una idea muy vaga y escueta sobre como programar una red neuronal, alguna vez vi algunos videos sobre  como hacerlo y en mi cabeza solo estaba pensando en la vaga idea que eso lo podría realizar mediante grafos (Siendo los nodos las neuronas y las aristas las dendritas), pero realmente nunca lo puse en practica.

Pues la información esta bien para empezar aun que como te comento existen varios protocolos y familias ya todo depende del alcance que quieras tener con tu IDS.

Por poner un ejemplo básico PING
[Paquete IP][Paquete ICMP]

Ejemplo básico HTTP
[Paquete IP][Paquete TCP][Paquete HTTP]

Ejemplo básico HTTPS
[Paquete IP][Paquete TCP][Paquete HTTPS (Cifrado)]

Y asi por no decir IPv4 y IPv6
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#4
8 Enero 2020, 03:11 AM Ultima modificación: 8 Enero 2020, 03:35 AM por .rn3w.
necesito variables que puedan llegar a ser unicas para diferenciar y de esa manera armar un patron unico para el aprendizaje de la red neuronal


como puedo obtener mas informacion con snort?

Código [Seleccionar]
[Paquete IP][Paquete ICMP]
Ejemplo básico HTTP
[Paquete IP][Paquete TCP][Paquete HTTP]
Ejemplo básico HTTPS
[Paquete IP][Paquete TCP][Paquete HTTPS (Cifrado)]
IPv4 y IPv6


si lo configuro como ids puedo obtener mas informacion?



de toda esta informacion, creo que aun nada es unico para formar un patron diferenciable entre los demas

Código [Seleccionar]
IP de origen
2803:9400:3:5fc9:5599:9c50:4514:c593
Puerto
40540
con Destino a
2a03:2880:f043:11:face:b00c:0:2
Puerto 443 (HTTPS)
TTL:64 (De salida por default en sistemas muchos sistemas Linux)


en la informacion de paquete que datos son unicos y diferenciables entre los demas?

AlbertoBSD

#5
8 Enero 2020, 03:45 AM Ultima modificación: 8 Enero 2020, 05:15 AM por AlbertoBSD
Cita de: .rn3w. en  8 Enero 2020, 03:11 AM
necesito variables que puedan llegar a ser unicas para diferenciar y de esa manera armar un patron unico para el aprendizaje de la red neuronal

En general cada paquete es unico

Cita de: .rn3w. en  8 Enero 2020, 03:11 AM
de toda esta informacion, creo que aun nada es unico para formar un patron diferenciable entre los demas

Lo que estas viendo es una vista resumida del paquete por ejemplo para TCP tiene mas datos:



Cita de: .rn3w. en  8 Enero 2020, 03:11 AM
si lo configuro como ids puedo obtener mas información?

Creo que tiene el modo --verbose donde incluso te muestra la data final en formato hexadecimal...

No, si lo configuras como IDS vas a cargarle la mano mas al procesador. Ya pesado mostrar los paquetes.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#6
10 Enero 2020, 03:04 AM
En general cada paquete es unico
me puedes explicar porfavor como puedo visualizar que cada paquete es unico porfavor

AlbertoBSD

#7
10 Enero 2020, 05:45 AM
Valida la ayuda de snort, debe de tener un parámetro que te muestre el paquete entero en formato hexadecimal. Ahorita no recuerdo cual es la opción y no tengo instalado snort en ninguno de mis equipos.


Detalles de la estructura del paquete TCP
https://www.geeksforgeeks.org/services-and-segment-structure-in-tcp/

Detalles de la estructura del paquete IP
https://www.tutorialspoint.com/ipv4/ipv4_packet_structure.htm

Ambos realmente son un solo paquete. Tienen ciertos valores y/o parámetros que generalmente los hacen únicos (a ambos vistos como uno solo)

Si lo quieres integrar todo en uno solo te recomiendo que en lugar de snort utilizes libpcap, ya que se puede integrar desde C/C++ para leer los paquetes que llegan a la tarjeta de red directamente desde desde el lenguaje y procesar los datos que quieras directo a tus redes neuronales.

Saludos!
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

.rn3w.

#8
11 Enero 2020, 05:22 AM Ultima modificación: 11 Enero 2020, 05:39 AM por .rn3w.
obtengo este mensaje de error

WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.
WARNING: No preprocessors configured for policy 0.


cuando ejecuto sudo snort -b este comando lo saque de http://www.adminso.es/index.php/SNORT-Modos_de_ejecuci%C3%B3n

creo que ese comando es al que te refieres?

.rn3w.

#9
11 Enero 2020, 15:04 PM
estuve viendo este video https://www.youtube.com/watch?v=1lDfCRM6dWk&t=595s, y al final obtiene los datos en hexadecimal, esta bien ?



Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario