Direkt zum Inhalt

Es gibt eine Vielzahl von Tools zum Filtern von Paketen aus einem Netzwerk. Eines der bekanntesten ist der Berkeley Packet Filter (BPF). Alle diese Filter basieren auf statischen Beschreibungen, z. B. auf festen Quellports oder festen Subnetzen von IP-Adressen. Diese Methoden funktionieren gut für die meisten Arten von Netzwerkverkehr, aber es gibt Fälle, in denen eine größere Vielfalt von Anwendungen sinnvoll ist. In diesem Beitrag stellen wir ein neues Analysewerkzeug vor, mit dem wir eine zeitabhängige Analyse durchführen können. Einer der Vorteile dieser Methode ist, dass sie uns ermöglicht, die Beziehung des Pakets zu seiner IP-Quelladresse zu aufzulösen. Wir werden zeigen, dass wir Datenverkehr von verschiedenen Rechnern unterscheiden können, auch wenn sie die gleiche Quelladresse haben (z.B. NAT-Router) und dass wir Datenverkehr vom gleichen Rechner erkennen können, auch wenn sich die IP-Quelladresse geändert hatte. Viele weitere Analysen sind möglich. Das Grundkonzept dieses neuen Filters ist, dass er versucht, jede Art von linearem Zusammenhang in den Daten zu erkennen, unabhängig von Störfaktoren wie weißem Rauschen usw.

Authors
Alexander Schinner
Veranstaltung
SANS GCIA Practical ver. 3.5
Veranstalter
SANS
Veröffentlicht
24.04.2004
Reprint
x