á¡áááºáá±á¬ááºážáá«ážááœá±ááŸá¬ StealthWatch á¡ááŒá±á¬ááºážáá±ážáá¬ážááŒá®ážáá¬ážá
ááááŠážá
áœá¬á StealthWatch ááœáẠalgorithms ááŸáá·áº feeds áá»á¬ážá¡ááŒá¬áž ááŸáá¯ážá
ááºáá»á¬áž ááŒáá·áºáá±ááŸá¯á¡áá»áá¯á·ááŸááááºáᯠááá¯ááá«áááºá áááá¡áá»ááºááŸá¬ á¡áá»áá¯ážáá»áá¯ážáá±á¬ ááŸáá¯ážá
ááºáá»á¬áž (ááááá±ážáá»ááºáá»á¬áž) ááᯠá¡á
áá»áá¯ážááá¯ááºáá±á¬á¡áá«á áááºááẠááœááºáááºáá±á«áºááŸá áá¶ááááŒá
áºááœááºá¡áá¬áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºáááºá áá¯áááá¡áá»ááºááŸá¬ áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠááŒá
áºá
ááºáá»á¬ážááŒá
áºáááºá á€áá±á¬ááºážáá«ážááœáẠá¡á
áá»áá¯ážáá¬ážáá±á¬ algorithms ááá°áᬠ4 áá¯ááŸáá·áº feeds á ááá°áᬠ2 áá¯ááᯠááŒáá·áºááŸá¯áá«áááºá
1. ááœááºáááºá¡ááœááºáž á¡ááŒá®ážáá¬ážáá¯á¶áž á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
StealthWatch ááᯠá áááºáááºááŸááºáá¬ááœáẠáááŠážá¡ááá·áºááŸá¬ hosts ááŸáá·áº networks áá»á¬ážááᯠá¡á¯ááºá á¯áá»á¬ážá¡ááŒá ẠáááºááŸááºáááºááŒá áºáááºá áááºá¡ááºáá¬áá±á·á áºáááºááºááœáẠá á®á ááºáááºááŸááºááŒááºáž > áááºáá¶á¡á¯ááºá á¯á á®áá¶ááá·áºááœá²ááŸá¯ ááœááºáááºáá»á¬ážá áááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áá¬áá¬áá»á¬ážááᯠááá·áºáá»á±á¬áºáá±á¬ á¡á¯ááºá á¯áá»á¬ážá¡ááŒá Ạááœá²ááŒá¬ážáá¬ážááá·áºáááºá ááá·áºááá¯ááºááá¯ááºá¡ááœá²á·áá»á¬ážááá¯áááºáž áááºáá®ážááá¯ááºáááºá á áá¬ážáá ááºá Cisco StealthWatch ááŸá host áá»á¬ážááŒá¬áž á¡ááŒááºá¡ááŸááºáááºááœááºááŸá¯áá»á¬ážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááŒááºážááẠá¡ááœááºá¡áááºááŒá±áááºá á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº áááºááẠááŸá¬ááœá±ááŸá¯ filter áá»á¬ážááᯠstream ááŒáá·áºáá¬áá ááááºáá»á¬ážááá¯ááºááá¯ááºáá« ááááºážáááºážááá¯ááºáá±á¬ááŒá±á¬áá·áºááŒá áºáááºá
á áááºááẠáááºá¡ááºáá¬áá±á·á áºááœáẠáááºáááºááºááá¯á· ááœá¬ážááá·áºáááºá ááœá²ááŒááºážá áááºááŒá¬ááŒááºáž > á á®ážáááºážááŸá¯ááŸá¬ááœá±ááŸá¯. ááá¯á·áá±á¬áẠá¡á±á¬ááºáá« parameters áá»á¬ážááᯠáááºááŸááºááá·áºááẠá
- ááŸá¬ááœá±ááŸá¯ á¡áá»áá¯ážá¡á á¬áž - ááááºáááºáž á áá¬ážááá¯ááºážáá»á¬áž (áá±áááºážá¡á á¬ážáá¯á¶áž á¡ááŒááºá¡ááŸáẠááŒá±á¬ááá¯ááŸá¯áá»á¬áž)
- á¡áá»áááºá¡ááá¯ááºážá¡ááŒá¬áž â 24 áá¬áá® (á¡áá»áááºáá¬áá áááºáá±á¬ááºáááºáá¯á¶ážááá¯ááºáááº)
- ááŸá¬ááœá±ááŸá¯á¡ááẠ- ááááºáááºážá áá¬ážááá¯ááºážáá»á¬ážá¡ááœááºážááá¯ááºáž-á¡ááœááºážááá¯ááºáž (áááºááá·áºáááºážááŸá®ážáá±á¬á¡áááºáááá¯)
- áá¬áá¬ááẠ- áááºáá¶áá°á¡á¯ááºá á¯áá»á¬áž â Inside Hosts (áááºážááŒá Ạ- á¡ááœááºážá¡áááºááŸááºáá»á¬ážá¡á¯ááºá á¯)
- áá»áááºáááºááŸá¯ (ááááºáááºážáá»á¬ážá á¡ááá®áá±ážááŸááºážáá»á¬ážááᯠáááºáááºááŸááºááá¯ááºáááº)
- áááºáá°ááœááºáá° - áááºáá¶áá°á¡á¯ááºá á¯áá»á¬áž â Inside Hosts (áŠážáááºáá»áẠ- á¡ááœááºážááá¯ááºážáá¯á¶ááŸááºá¡á¯ááºá á¯áá»á¬áž)
- Advanced Options ááœááºá áá±áá¬ááŒáá·áºááŸá¯ááá·áºá á¯áá±á¬ááºážáá°ááᯠáááºáá±á¬ááºážáááºááŸááºááá¯ááºááŒá®áž á¡ááœááºááá¯á á®ááŒááºáž (bytesá streams á áááºááŒáá·áº)á áá°áááºážá¡ááá¯ááºáž áá¬ážáá²á·áá«áááºá
ááá¯ááºááá¯ááŸáááºááŒá®ážáá±á¬áẠááŸá¬ááẠááœáŸá²ááŒá±á¬ááºážáá±ážááá·áºáá±áá¬ááá¬áá¡ááá¯áẠá
á®ááœá²áá¬ážááŒá®ážááŒá
áºááá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á
á¬áááºážááᯠááŒááá¬ážáááºá
áá«á·á
á¶ááá°áá¬á¡á á¡áááºááŸáẠ10.150.1.201 (áá¬áá¬) ááẠthread áá
áºáá¯áááºážá¡ááœááºážáᬠáá°ážá
ááºáááºá 1.5 GB á¡áá áááºáá¶áááºáááºážááŒá±á¬ááºáž 10.150.1.200 áááá¯ááá¯áá±á¬á¡á¬ážááŒáá·áº (áá±á¬ááºáááº) mysql. ááá¯áẠáá±á¬áºáá¶áá»á¬ážááᯠá
á®áá¶áá«á output data ááœáẠáá±á¬áºáá¶áá»á¬ážááᯠáááºááá·áºááá¯ááºá
á±áá«áááºá
ááá¯á·áá±á¬ááºá á á®áá¶ááá·áºááœá²áá°á áá¯á¶ážááŒááºáá»ááºá¡áá áááºááẠSNMPá á¡á®ážáá±ážáẠááá¯á·ááá¯áẠSyslog ááŸáá áºááá·áº á€á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á¡áá»áá¯ážá¡á á¬ážááᯠá¡ááŒá²áááºážááŒá áºáá±á«áºá á±ááá·áº á áááºááŒáá¯ááºá ááºážáá»ááºážáá áºáá¯ááᯠáááºáá®ážááá¯ááºáááºá
2. ááŸá±á¬áá·áºááŸá±ážááŸá¯áá»á¬ážá¡ááœáẠááœááºáááºá¡ááœááºáž á¡ááŸá±ážááœá±ážáá¯á¶áž áááá¯ááºážááá·áº-áá¬áᬠá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠáá±á·áá¬ááŒááºážá
Tags: SRT (áá¬áá¬áá¯á¶á·ááŒááºáá»áááº), RTT (á¡ááœá¬ážá¡ááŒáẠá¡áá»áááº) áá¬áá¬ááŸá±á¬áá·áºááŸá±ážááŸá¯ááŸáá·áº á¡ááœá±ááœá±ááœááºáááºááŸá±á¬áá·áºááŸá±ážááŸá¯áá»á¬ážááᯠáááºááŸá¬ááœá±ááá¯ááºá á±áá«áááºá ááŸá±ážááœá±ážáá±á¬á¡ááá®áá±ážááŸááºážáá áºáá¯ááŸáá·áºáááºáááºá á¡áá¯á¶ážááŒá¯áá°ááá¯ááºááŒá¬ážáá»ááºáá»á¬ážá á¡ááŒá±á¬ááºážáááºážááᯠáá»ááºááŒááºá áœá¬ááŸá¬ááœá±ááẠááá¯á¡ááºááá·áºá¡áá« á€áááááá¬ááẠá¡áá°ážá¡áá¯á¶ážáááºáá«áááºá
ááœá±á¬ááá¯: Netflow áááºááá¯á·áá°á¡á¬ážáá¯á¶ážáá®ážáá«áž áááºááá¯áá²ááááá°ážá SRTá RTT áááºáá»á¬áž áá±ážááá¯á·áá«á ááá¯á·ááŒá±á¬áá·áº FlowSensor ááœáẠááá¯áá²á·ááá¯á·áá±á¬ áá±áá¬áá»á¬ážááᯠáááŒá¬áá ááŒááºááœá±á·ááá¯ááºáááºá áááºááẠááœááºáááºá ááºáá á¹á ááºážáá»á¬ážá០áááºážááŒá±á¬ááºážáááá¹áá°ááᯠáá±ážááá¯á·ááẠá á®á ááºáááºááŸááºááẠááá¯á¡ááºáá«áááºá FlowSensor ááẠááá¯ážáá»á²á· IPFIX ááᯠFlowCollector ááá¯á· ááá¯á·áá±ážáááºá
á á®áá¶ááá·áºááœá²áá°áááœááºáá»á°áá¬áá±á«áºááœáẠááá·áºááœááºážáá¬ážááá·áº StealtWatch java á¡ááá®áá±ážááŸááºážááœáẠá€ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááᯠáá¯ááºáá±á¬ááºááẠááá¯áá¡áááºááŒá±áááºá
áá¬áááºáá±á¬ááºá áºááá¯ááºááᯠááœáá·áºáá«á Hosts á¡ááœááºážááá¯ááºáž ááŒá®ážáá»áŸáẠtab ááá¯ááœá¬ážáá«á á á®ážáááºážááŸá¯ááá¬áž.
ááá¯ááŸáááºáá«á áá±á
á
Ạááá¯á¡ááºáá±á¬ parameters áá»á¬ážááá¯áááºááŸááºáá«á á¥ááá¬á¡áá±áá²á·-
- áááºá áœá²/á¡áá»ááẠ- áá±á¬ááºáá¯á¶áž 3 áááº
- á áœááºážáá±á¬ááºááẠâ áá»ááºážáá»áŸ á¡ááœá¬ážá¡ááŒáẠá¡áá»ááẠ>=50ms
áá±áá¬ááá¯ááŒáááŒá®ážáá±á¬ááºá áá»áœááºá¯ááºááá¯á·á
áááºáááºá
á¬ážáá±á¬ RTT ááŸáá·áº SRT á¡ááœááºáá»á¬ážááᯠááá·áºááá·áºáááºá áá«ááá¯áá¯ááºááá¯á·á áááºáá¬ážááŒááºááŸá áá±á¬áºáá¶ááᯠááŸáááºááŒá®áž áá¬áááºáá±á¬ááºá
áºááá¯ááºááᯠááœá±ážáá»ááºáá«á áá±á¬áºáá¶áá»á¬ážááᯠá
á®áá¶áá«á. ááá¯á·áá±á¬áẠRTTá SRT áá±á¬ááºáá»á¬ážááᯠááŸáááºáá«á
áá±á¬ááºážááá¯ááŸá¯ááᯠáá¯ááºáá±á¬ááºááŒá®ážáá±á¬ááºá áá»áœááºá¯ááºááẠRTT áá»ááºážáá»áŸá¡á¬ážááŒáá·áº á
á®á
á
áºááŒá®áž á¡ááŸá±ážáá¯á¶áž á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠááœá±á·áá²á·ááááºá
á¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááá¯á· ááœá¬ážáááºá¡ááœáẠstream áá±á«áºááœáẠright-click ááŸáááºááŒá®áž ááœá±ážáá»ááºáá«á á
á®ážáááºážááŸá¯á¡ááœáẠá¡ááŒááºááŒáá·áºáááº.
á€á¡áá»ááºá¡áááºááẠá¡áááºááŸááºááᯠááœáŸááºááŒáááºá 10.201.3.59 á¡á¯ááºá
á¯áá²á á¡áá±á¬ááºážááŸááºá·á
á»á±ážááœáẠprotocol á¡á¬ážááŒáá·áº NFS áááºááŒá¬ážáááºá DNS áá¬áᬠáá
áºáááá
áºááŸáá·áº áá á
áá¹ááá·áºáá»áŸáá¬ááŸáááŒá®áž ááá¯ážááœá¬ážááœááºážááŸáááºá áááºááºáá²ááŸá¬ interfaces Netflow data exporter á០áááŸááá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáááºááŸá¬ááœá±ááá¯ááºáá«áááºá áááºááºáá²ááŸá¬ á
á¬ážááŸá² á¡ááŒááºá¡ááŸááºáááºááœááºááŸá¯ááá¯ááºáᬠá¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááá¬ážáááºá
ááá¯á·áá±á¬ááºá áááºááá·áºá
ááºáá
á¹á
ááºážáá»á¬ážááẠFlowSensor ááá¯á· á¡ááœá¬ážá¡áá¬áá»á¬ážááá¯á·áááºááᯠáááºááŸá¬ááœá±ááá·áºááŒá®áž ááŒá¿áá¬ááŸá¬ ááŒá
áºááá¯ááºááŒá±á¡ááŸááá¯á¶ážááŒá
áºáááºá
ááá¯á·á¡ááŒááºá StealthWatch áááºáááºážááá¯ááºáá±á¬ááºááŸá¯ááœááºáá°ážááŒá¬ážáááºá áá¯ááºáá°ááŒááºáž áá±áᬠ(áá°áá®áá±á¬áááºážááŒá±á¬ááºážáá»á¬ážááᯠáá±á«ááºážá ááºáá¬ážáááº)á ááá¯á·ááŒá±á¬áá·áºá áááºááẠNetflow á ááºáá á¹á ááºážá¡á¬ážáá¯á¶ážáá®ážáá«ážá០á á¯áá±á¬ááºážááá¯ááºááŒá®áž ááœá¬ážáá±áá±á¬áá±áá¬áá»á¬ážá áœá¬ááŸááááºááᯠáááŒá±á¬ááºáá«á ááá·áºáá»ááºáááºá¡áá±ááŸáá·áºá á€á¡á á®á¡á á¥áºááœáẠáááºááá·áº hop ááœáẠá¡ááŒá®ážáá¬ážáá¯á¶ážááŸá±á¬áá·áºááŸá±ážááŸá¯áá»á¬ážááŸááááºááᯠáá¬ážáááºááẠáá°áá®áá±ážáá«áááºá
3. HTTPS áá¯ááºááŸááºáááá¯ááá¯áá±á¬áá»á¬ážááᯠá á áºáá±ážááŒááºážá
ETA (áá¯ááºááŸááºáá¬ážáá±á¬ áááºážááŒá±á¬ááºážááá¯ááºáᬠááá¯ááºážááŒá¬ážá áááºááŒá¬áá»ááº) Cisco á០áááºáá®ážáá¬ážááá·áº áááºážááá¬áá áºáá¯ááŒá áºááŒá®áž áááºážááᯠáá¯ááºááŸááºááŒááºážáááŒá¯áá² áá¯ááºááŸááºáá¬ážáá±á¬ á¡ááœá¬ážá¡áá¬ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ áá»áááºáááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºá á±áá«áááºá ááá¯á·á¡ááŒááºá á€áááºážááá¬ááẠááá·áºá¡á¬áž áá»áááºáááºááŸá¯áá»á¬ážá¡ááœááºáž á¡áá¯á¶ážááŒá¯ááá·áº TLS áá¬ážááŸááºážáá»á¬ážááŸáá·áº áá¯ááºááŸááºáááá¯ááá¯áá±á¬áá»á¬ážááá¯á· âááœá²ááŒááºážá áááºááŒá¬ááŒááºážâ áá¯ááºááá¯ááºá á±áááºááŒá áºáááºá á¡á¬ážáááºážáá±á¬ crypto á á¶ááŸá¯ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá·áº network node áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááá·áºá¡áá« á€áá¯ááºáá±á¬ááºáá»ááºááẠá¡áá°ážáááŒáá·áº á¡áá¯á¶ážáááºáá«áááºá
ááœá±á¬ááá¯- ááẠStealthWatch ááœáẠááœááºáááºá¡ááºááºááᯠáŠážá áœá¬ ááá·áºááœááºážááá«áááºá ETA Cryptographic á á¬áááºážá á áº.
áááºááºááá¯á·ááœá¬ážáá«á áááºááŸáºáá¯ááºáá»á¬áž â ETA áá±ážáá¯á¶áá±ážáááºáž á á¬áááºážá á Ạááœá²ááŒááºážá áááºááŒá¬ááẠá á®á ááºáá¬ážáá±á¬ á¡áááºááŸááºá¡á¯ááºá á¯ááᯠááœá±ážáá«á áá¯á¶áá áºáá¯áá¯á¶ážá¡ááœááºá ááœá±ážááŒáá«á áá¯á· Hosts á¡ááœááºážááá¯ááºáž.
TLS áá¬ážááŸááºážááŸáá·áº áááºááá¯ááºáá±á¬ crypto á
á¶ááŸá¯ááºážáá»á¬ážááẠoutput ááŒá
áºááŒá±á¬ááºáž áááºááœá±á·ááŒááºááá¯ááºáá«áááºá áá±á¬áºáá¶ááŸá¬ áá¯á¶ážá
á¶á¡ááá¯ááºáž áá¯ááºáá±á¬ááºáá»ááºáá»á¬áž ááœá¬ážáá«á Flows ááá¯ááŒáá·áºáá«á ááŸá¬ááœá±ááŸá¯ááẠáááºááºá¡áá
áºáá
áºáá¯ááœáẠá
áááºáááºá
output á០host ááá¯ááŒááºááá¯ááºáááºá 198.19.20.136 áá»á±á¬áº 12 áá¬áá® áá¯ááºááŸááºááŒááºážááá¯ááºáᬠá¡ááºáááá¯áá®áááºááŸááᬠTLS 1.2 ááŒáá·áº HTTPS ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá AES-256 ááŸáá·áº hash áá¯ááºáá±á¬ááºáá»áẠSHA-384. ááá¯á·ááŒá±á¬áá·áº ETA ááẠááá·áºá¡á¬áž ááœááºáááºáá±á«áºááœáẠá¡á¬ážáááºážáá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºá
á±áá«áááºá
4. ááœááºáááºááœá²ááœá²ááŸá¯ ááœá²ááŒááºážá áááºááŒá¬ááŒááºážá
Cisco StealthWatch ááẠáááááá¬áá¯á¶ážáá¯ááᯠá¡áá¯á¶ážááŒá¯á ááœááºáááºáá±á«áºááŸá áá¬ááºááŒá±á¬ááááºááá¯á·ááŸá¯áá»á¬ážááᯠááŸááºáá¬ážááá¯ááºáááº- á¡áááááŒá áºáááºáá»á¬áž (áá¯á¶ááŒá¯á¶áá±ážááŒá áºáááºáá»á¬áž)á áááºáá¶áá±ážááŒá áºáááºáá»á¬áž (á¡ááá¯ááºážáá»á¬ážá ááœááºáááºáá¯á¶ááŸááºáá»á¬ážááŒá¬áž á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºááŸá¯áá»á¬áž) ááŸáá·áº á¡ááŒá¯á¡áá°ááá¯ááºážááŒá¬ážá áááºááŒá¬ááŸá¯.
á¡ááŒá¯á¡áá°ááá¯ááºážááŒá¬ážá áááºááŒá¬áá»ááºá áá áºáááºá áá áºááẠá¡áááºááŸááºáá áºáŠáž ááá¯á·ááá¯áẠá¡áááºááŸááºá¡á¯ááºá á¯á¡ááœáẠá¡ááŒá¯á¡áá°áá¯á¶á á¶áá áºáá¯ááᯠá¡áá»áááºááŒá¬áá¬áááºááŸáá·áºá¡áá»áŸ áááºáá®ážááá¯ááºá á±áááºá StealthWatch ááŸáá áºááá·áº ááŒááºáááºážááœá¬ážáá¬ááŸá¯ ááá¯áá»á¬ážáá±á á€áá¯á¶ážáááºáá»ááºááŒá±á¬áá·áº ááááá±ážáá»ááºáá»á¬áž ááá¯ááá¯áááá»áá±ááŒá áºáááºá á¡á ááá¯ááºážááœááºá á áá áºááẠááŸá¬ážááœááºážá áœá¬ á¡á áá»áá¯ážáá¬áá±á¬ááŒá±á¬áá·áº á ááºážáá»ááºážáá»á¬ážááᯠáááºááŒáá·áº "ááááº" ááá«áááºá á áá áºá áá°á·áá¬áá¬áá° áá»áááºááŸááá±ážááẠááá¯á·ááá¯áẠááŒáœááºážáá»ááºá¡ááŒá Ạáááºážááá¯á·ááᯠááá·áºááœááºážáááºááŒá áºáá±á¬ááŒá±á¬áá·áº ááááááºááá¹ááááºá¡áááºážáááºá¡ááœááºáž áááºážááŒá áºáááºáá»á¬ážááᯠáá»á áºáá»á°ááŸá¯ááẠá¡ááŒá¶ááŒá¯ááá¯áá«áááºá
á¡á±á¬ááºááœáẠááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ á ááºážáááºážáá áºáá¯á á¥ááá¬áá áºáá¯ááŒá áºáááºá Anomalyá¡áááºá á¡ááŒá áºá¡áá»ááºááẠá¡áá»ááºáá±ážáá¶ááá«áá² áá®ážáá±á¬ááºááœá¬ážáááºááŒá áºááŒá±á¬ááºáž áá±á¬áºááŒáááºá Inside Hosts á¡á¯ááºá á¯ááŸá host ááẠInside Hosts á¡ááœá²á·ááŸáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááŒá®áž 24 áá¬áá®á¡ááœááºáž traffic ááẠ10 megabytes áá»á±á¬áºááœááºááœá¬ážáááá·áºáááº.
á¥ááá¬á ááŸáá¯ážá
ááºáá
áºáá¯áá°ááŒáá«á
áá¯á· áá±áᬠá
á¯áá±á¬ááºážááŒááºážáááá¯ááá¯áááºááŸá¬ á¡áá»áá¯á·áá±á¬ áááºážááŒá
áº/ááá®ážáá¯á¶ážáá±áᬠáááºáá¶áá°ááẠáááºáá¶áá°á¡á¯ááºá
ᯠááá¯á·ááá¯áẠáááºáá¶áá°áá
áºá
á¯áá¶á០áá¯á¶ááŸááºááá¯ááºáá±á¬ áá±áá¬ááá¬áááᯠá¡áá»á¬ážá¡ááŒá¬áž á¡ááºáá¯ááºáá¯ááºáá¬ážáááº/áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáááºá ááœá²áá±á«áºááœáẠááá
áºááŸáááºááŒá®áž áá±á«áºáá±á«ááºáá¬áá±á¬ host áá»á¬ážááᯠááœáŸááºááŒááá·áº ááá¬ážááá¯á· ááœá¬ážáá«á ááá¯á·áá±á¬ááºá áá±á¬áºáá¶ááᯠá
áááºáááºá
á¬ážááá·áº á¡áááºááŸááºááᯠááœá±ážáá«á áá±áᬠá
á¯áá±á¬ááºážááŒááºážá.
162k "ááŸááº" ááᯠááœá±á·ááŸáááŒá±á¬ááºáž ááœáŸááºááŒááŒá®áž áá°áá«áá¡á 100k "ááŸááº" ááᯠááœáá·áºááŒá¯áá¬ážááẠ- áááºážááá¯á·ááẠá¡ááœááºážááá¯ááºáž StealthWatch áááºááá
áºáá»á¬ážááŒá
áºáááºá áá±á¬áºáá¶áá
áºáá¯ááœáẠáá¯ááºáá±á¬ááºáá»ááºáá»á¬áž ááœááºáž Flows ááá¯ááŒáá·áºáá«á.
á¡á²áá«ááᯠáá»áœááºáá±á¬áºááá¯á· á
á±á¬áá·áºááŒáá·áºááá¯ááºáá«áááºá áááºáá¶áá±ážáááºá ááááºááœáẠá¡áááºááŸááºááŸáá·áº áááºáá¶áááºá 10.201.3.47 áá¬áá០á¡áá±á¬ááºážááŸáá·áºá
á»á±ážááœáẠprotocol á¡á¬ážááŒáá·áº HTTPS ááᯠáá±á«ááºážáá¯ááºáá¯ááºáá«á 1.4 GB á¡áá. á€ááá°áá¬ááẠáá¯á¶ážáá¡á±á¬ááºááŒááºáááºááá¯ááºáá±á¬áºáááºáž áá¬ááááºážáá
áºáá«ááá¯ááºá¡ááááẠá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááŒááºážááẠá¡áá°áá°áááºááŒá
áºáá«áááºá ááá¯á·ááŒá±á¬áá·áº ááœá²ááœá²áá»ááºáá»á¬ážááᯠáááºáá¶á
á¯á¶á
ááºážááŒááºážááẠá
áááºáááºá
á¬ážááœááºááááºáá»á¬áž ááŒá
áºáá±á«áºáá¬ááá¯ááºáááºá
ááœá±á¬ááá¯: SMC áááºá¡ááºáá¬áá±á·á
áºááœááºá áá±áá¬ááẠáááºááºáá»á¬ážáá²ááœáẠááŸááá±áááºá Dashboard áá±á¬ááºáá¯á¶ážá¡áááºááŸáá·áº tab ááœááºáá¬ááŒááá¬ážáááºá á
á±á¬áá»á·ááŸá±á¬áá» ááŒá®ážáá²á·ááá·áº 2 áááºá¡ááœááºážá ááŒá
áºáááºáá±á¬ááºážáá»á¬ážááá¯ááœá²ááŒááºážá
áááºááŒá¬ááŒá®áž á¡á
á®áááºáá¶á
á¬áá»á¬ážáá¯ááºáá±ážáááºá á
á®áá¶ááá·áºááœá²áá°áááœááºáá»á°áá¬ááŸá java console ááŸáá·áº áá¯ááºáá±á¬ááºááẠááá¯á¡ááºáááºá
5. á¡ááœááºážááá¯ááºážááœááºáááºá áááºááºáá»á¬ážááá¯ááŸá¬ááœá±ááŒááºážá
ááᯠfeeds áááá°áá¬á¡áááºážáááºááá¯ááŒáá·áºáá« - ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááŒá áºáááºáá»á¬ážá á€áá¯ááºáá±á¬ááºáá»ááºááẠáá¯á¶ááŒá¯á¶áá±ážááá¬ááŸááºáá»á¬ážá¡ááœáẠááá¯ááá¯á áááºáááºá á¬ážááœááºááŒá áºáá«áááºá
StealthWatch ááœáẠááŒáá¯áááºáááºááŸááºá áááºáẠááŒá áºáááºá¡áá»áá¯ážá¡á á¬ážáá»á¬ážá áœá¬ ááŸááá«áááºá
- ááá¯á·ááºá áááºááºâáááºážááŒá áºááẠáŠážáááºáá¬áá¬áááŸá ááááºáááºážá¡áá»á¬ážá¡ááŒá¬ážááᯠá áááºááºáááºáááºá
- Addr tcp á áááºáẠ- á¡áááºážá¡ááŒá áºááẠáá°áá®áá±á¬ TCP á¡áá±á«ááºááœáẠááœááºáááºáá áºáá¯áá¯á¶ážááᯠá áááºááºáááºááŒá®áž áŠážáááºáᬠIP ááááºá á¬ááᯠááŒá±á¬ááºážáá²áááºá á€ááá á¹á ááœááºá á¡áááºážá¡ááŒá áºááẠTCP ááŒááºáááºáááºááŸááºááŒááºáž packets ááá¯áááºáá¶áááŸáááẠááá¯á·ááá¯áẠáá¯á¶á·ááŒááºááŸá¯áá¯á¶ážáááááŸááá«á
- Addr udp á áááºáẠ- áááºážááŒá áºááẠáŠážáááºáᬠIP ááááºá á¬ááᯠááŒá±á¬ááºážáá²áá±á ááºááœáẠáá°áá®áá±á¬ UDP á¡áá±á«ááºááœáẠááœááºáááºáá áºáá¯áá¯á¶ážááᯠá áááºááºáááºáááºá á€ááá á¹á ááœááºá á¡áááºážá¡ááŒá áºááẠICMP Port Unreachable packets áá»á¬ážááᯠáááºáá¶áááŸáááẠááá¯á·ááá¯áẠáá¯á¶á·ááŒááºááŸá¯áá¯á¶ážáááááŸááá«á
- Ping Scan - á¡ááŒá±áá»á¬ážááá¯ááŸá¬ááœá±áááºá¡ááœáẠá¡áááºážá¡ááŒá áºááẠICMP áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááœááºáááºáá áºáá¯áá¯á¶ážááá¯á· áá±ážááá¯á·áááºá
- Stealth Scan tÑp/udp - á¡áááºážá¡ááŒá áºááẠdestination node áá±á«áºááŸá port á¡áá»á¬ážá¡ááŒá¬ážááᯠáá áºáá»áááºáááºážááœááºáá»áááºáááºááẠáá°áá®áá±á¬ port ááá¯á¡áá¯á¶ážááŒá¯áááºá
á¡ááœááºážááá¯ááºážá áááºáá¬á¡á¬ážáá¯á¶ážááᯠáá áºááŒáá¯ááºáááºááŸá¬ááœá±ááẠááá¯ááá¯á¡áááºááŒá±á á±áááºá¡ááœáẠááœááºáááºá¡ááºááºáá áºáá¯ááŸááááºá StealthWatch - ááŒááºááá¯ááºá áœááºáž á¡áá²ááŒááºááŒááºážá. áááºááºááá¯á·ááœá¬ážáá«á áááºááŸáºáá¯ááºáá»á¬áž â ááŒááºááá¯ááºá áœááºáž á¡áá²ááŒááºááŒááºáž â á¡ááœááºážááá¯ááºáž ááœááºáááºá áááºáá¬áá»á¬áž ááŒá®ážáá²á·áá±á¬ 2 áááºá¡ááœááºáž á áááºááºáááºááŒááºážááá¯ááºáᬠáá¯á¶ááŒá¯á¶áá±ážááŒá áºáááºáá»á¬ážááᯠáááºááœá±á·ááá«áááºá
ááá¯ááºááá¯ááŸáááºáá«á á¡áá±ážá
áááºááœááºáááºáá
áºáá¯á
á®á á
áááºááºáááºááŒááºážá
áááºáá»áááºá áááºážááŒá±á¬ááºážáááºážááŒá±á¬ááºážááŸáá·áº áááºááá¯ááºááá·áº á¡áá»ááºáá±ážááŸáá¯ážá
ááºáá»á¬ážááᯠáááºááœá±á·ááá«áááºá
ááá¯á·áá±á¬ááºá áááºááẠááááºáááºáá¬ážááŒááºáá¬ááºáá¯á¶ááŸá áááºááŸáá±áááºááá¯á· âáá»ááºááœááºâ ááá¯ááºááŒá®áž áá¯á¶ááŒá¯á¶áá±ážááŒá
áºáááºáá»á¬ážá¡ááŒáẠá€á¡áááºááŸááºá¡ááœáẠááŒá®ážáá²á·ááá·áºá¡áááºá áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááŒáá·áºááŸá¯ááá¯ááºáááºá
á¥ááá¬á¡áá±áá²á· á¡ááŒá
áºá¡áá»ááºááᯠááœá²ááŒááºážá
áááºááŒá¬ááŒáá·áºáá¡á±á¬áẠááááºáááºážá
áááºáẠá¡áááºááŸááºáá¶á០10.201.3.149 á¡áá±á«áº 10.201.0.72ááŸáááºá áá¯ááºáá±á¬ááºáá»ááºáá»á¬áž > áááºá
ááºá
á®ážáááºážááŸá¯áá»á¬áž. á
á¬ááœá²ááŸá¬ááœá±ááŸá¯ááᯠá
áááºááŒá®áž áááºááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááá¬ážáááºá
áááºážá ááááºáááºážáá»á¬ážáá²á០á€á¡áááºááŸááºááᯠáá»áœááºá¯ááºááá¯á· áááºááá¯á·ááŒááºáááááºážá 51508 / TCP ááœááºáá²á·áá±á¬ á áá¬áá®á ááá®ážáá¯á¶ážáá±áá¬á¡á¬áž ááááºáááºážááŒáá·áº á
áááºááºáááºáá²á·áááºá 22á 28á 42á 41á 36á 40 (TCP). Netflow áááºááá¯á·áá°ááœáẠNetflow á¡ááœááºá¡á¬ážáá¯á¶ážááᯠááá¶á·ááá¯ážááá¯ááºáá±á¬ááŒá±á¬áá·áº á¡áá»áá¯á·á¡ááœááºáá»á¬ážááẠá¡áá»ááºá¡áááºáá»á¬ážááᯠáááŒáááá¯ááºáá«á
6. CTA ááᯠá¡áá¯á¶ážááŒá¯á áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ malware áá»á¬ážááᯠáá±á·áá¬ááŒááºáž
CTA (á¡ááá¥á¬ááºááŒáááºážááŒá±á¬ááºááŸá¯ ááá¯ááºážááŒá¬ážá áááºááŒá¬áá»ááº) â Cisco StealthWatch ááŸáá·áº ááŒá®ážááŒáá·áºá á¯á¶á áœá¬ áá±á«ááºážá ááºáá¬ážááá·áº Cisco cloud ááœá²ááŒááºážá áááºááŒá¬áá»ááºááẠáááºááŸááºááá«áá±á¬ ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááᯠáááºááŸááºááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááŒáá·áº ááŒáá·áºá áœááºááœáá·áºááŒá¯áááºá áááºážááẠTrojaná network wormsá zero-day malware ááŸáá·áº á¡ááŒá¬ážáá±á¬ malware áá»á¬ážááᯠááŸá¬ááœá±ááááŸáááá¯ááºááŒá®áž áááºážááá¯á·ááᯠááœááºáááºá¡ááœááºáž ááŒáá·áºáá±ááá¯ááºá á±áááºá ááá¯á·á¡ááŒááºá ááááºááá±á¬áºááŒáá²á·áá±á¬ ETA áááºážááá¬ááẠááá·áºá¡á¬áž áá¯ááºááŸááºáá¬ážáá±á¬ á¡ááœá¬ážá¡áá¬ááœáẠááá¯áá²á·ááá¯á·áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ áááºááœááºááŸá¯áá»á¬ážááᯠááá¯ááºážááŒá¬ážá áááºááŒá¬ááá¯ááºá á±áá«áááºá
áááºá¡ááºáá¬áá±á·á
áºááŸá ááááá¯á¶áž tab ááœáẠá¡áá°ážáá
áºáá»ááºáá
áºáá¯ááŸááááºá ááááŸá¯ááŒáááºážááŒá±á¬ááºááŸá¯ ááá¯ááºážááŒá¬ážá
áááºááŒá¬áá»ááº. á¡ááá¯áá»á¯á¶áž á¡áá»ááºážáá»á¯ááºááẠá¡áá¯á¶ážááŒá¯áá°á¡áááºááŸááºáá»á¬ážáá±á«áºááœáẠááœá±á·ááŸááááá·áº ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠááœáŸááºááŒáááº- Trojaná á¡áá¯á¡áá±á¬ááºáá±á¬á·ááºáá²ááºá á
áááºá¡ááŸá±á¬áá·áºá¡ááŸááºááŒá
áºá
á±áá±á¬ adwareá âEncryptedâ áá°áá±á¬ á
áá¬ážáá¯á¶ážááẠETA á áá¯ááºáá±á¬ááºááŸá¯ááᯠá¡ááŸááºáááẠááœáŸááºááŒáááºá áááºáá¶áá±á¬ááºááœááºáá±ážáá°áá
áºáŠážááᯠááŸáááºááŒááºážááŒáá·áºá áááºážááŸáá·áºáááºáááºááá·áº á¡áá»ááºá¡áááºá¡á¬ážáá¯á¶ážá CTA ááŸááºáááºážáá»á¬ážá¡áá«á¡ááẠáá¯á¶ááŒá¯á¶áá±ážááŒá
áºáááºáá»á¬áž áá±á«áºáá¬áááºááŒá
áºáááºá
CTA áá¡ááá·áºáá
áºáá¯á
á®á¡áá±á«áºááœáẠáá»á¶áá²ááŒááºážááŒáá·áºá á¡ááŒá
áºá¡áá»ááºááẠá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯ááá¯ááºáᬠá¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááááºá ááŒá®ážááŒáá·áºá
á¯á¶áá±á¬ ááœá²ááŒááºážá
áááºááŒá¬ááŸá¯á¡ááœááºá á€áá±áá¬ááá¯ááŸáááºáá«á á¡ááŒá
áºá¡áá»ááºá¡áá±ážá
áááºáá»á¬ážááᯠááŒáá·áºáá«áááŸáá·áº áááºááẠáá®ážááŒá¬áž console ááá¯á· áá±á«áºáá±á¬ááºááœá¬ážáááºááŒá
áºáááºá ááááŸá¯ááŒáááºážááŒá±á¬ááºááŸá¯ ááá¯ááºážááŒá¬ážá
áááºááŒá¬áá»ááº.
áá¬áááºá¡áá±á«áºáá±á¬áá·áºááœááºá á
á
áºáá¯ááºááŸá¯áá
áºáá¯ááẠááá·áºá¡á¬áž ááŒááºážáááºááŸá¯á¡ááá·áºááŒáá·áº á¡ááŒá
áºá¡áá»ááºáá»á¬ážááᯠááŒáááá¯ááºá
á±áá«áááºá áááºááŸááºáá¬ážáá±á¬ ááœá²ááœá²áá»ááºáá
áºáá¯ááᯠáááºááœáŸááºááŒáá±á¬á¡áá«á áá¬áááºááŸá áááºááá¯ááºáᬠá¡áá»áááºááá¬ážáá
áºáá¯ááŸáá·áºá¡áá° ááŸááºáááºážáá»á¬áž áá»ááºááŸá¬ááŒááºá¡á±á¬ááºááŒá±ááœáẠáá±á«áºáá¬áááºááŒá
áºáááºá ááá¯á·ááŒá±á¬áá·áºá ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°ááẠáááºááá·áºáá±á¬áá«ááá¯ážáá°ážá
ááºáá¶áááá·áºá¡áááºááŸááºááẠáááºááá·áºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá
áááºáá¯ááºáá±á¬ááºáá²á·ááŒá±á¬ááºáž ááŸááºážáááºážá
áœá¬áá¬ážáááºáá«áááºá
á¡á±á¬ááºááœáẠá¡ááŒá¬ážáá±á¬ á¥ááá¬áá áºáá¯ááẠ- host ááᯠáá°ážá ááºá á±áá±á¬ áááºáá¯ááºáááºáž Trojan áá áºáá¯ááŒá áºáááºá 198.19.30.36. á€á¡áááºááŸááºááẠá¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááááºážáá»á¬ážááŸáá·áº á áááºáá¯á¶á·ááŒááºáá²á·ááŒá®áž ááŸááºáááºážáá»á¬ážá á¡ááá¯áá« á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážá á á®ážáááºážááŸá¯ááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠááŒááááºá
áá±á¬ááºáá
áºáá¯á á¡áá±á¬ááºážáá¯á¶ážááŒá±ááŸááºážáá»ááºááœá±áá²ááá
áºáá¯ááá±á¬á· áá¬ááááᯠáá»á±ážáá°ážáááºáá²á·á¡áá±áá²á· á¡áááºááŸááºááᯠáá®ážááá·áºááœá²áá¬ážááá¯á·áá«áá²á
áá±á¬ááºáá»ááº
Cisco StealthWatch ááŒá±ááŸááºážáá»ááºááẠááœááºáááºááœá²ááŒááºážá
áááºááŒá¬ááŸá¯ááŸáá·áº ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠááŸá
áºáááºá
áá¯á¶ážááœáẠááœááºáááºá
á±á¬áá·áºááŒáá·áºáá±ážáá¯ááºáá¯ááºáá»á¬ážááŒá¬ážááœáẠáá±á«ááºážáá±á¬ááºáá
áºáŠážááŒá
áºáááºá áááºážááŒá±á¬áá·áºá áááºááẠááœááºáááºá¡ááœááºáž ááá¬ážáááẠá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážá á¡ááá®áá±ážááŸááºážááŸá±á¬áá·áºááŸá±ážááŸá¯áá»á¬ážá á¡áááºááŒáœáá¯á¶ážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážá ááœá²ááœá²áá»ááºáá»á¬ážá malware ááŸáá·áº APTs áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºáá«áááºá ááá¯á·á¡ááŒááºá áááºááẠá
áááºáá¬áá»á¬ážá pentesters áá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºááŒá®áž HTTPS áááºážááŒá±á¬ááºážá crypto-audit ááᯠáá¯ááºáá±á¬ááºááá¯ááºáááºá áá±á¬ááºááẠá¡áá¯á¶ážááŒá¯ááŸá¯ááá
á¹á
áá»á¬ážááᯠááœáẠáááºááŸá¬ááœá±ááá¯ááºáá«áááºá
ááá·áºááœááºáááºááœáẠá¡áá¬á¡á¬ážáá¯á¶áž áááºáá»áŸáá»á±á¬ááœá±á·ááŒá®áž áááá±á¬ááºááŸá¯ááŸáááŒá±á¬ááºáž á
á
áºáá±ážááá¯áá«á áá±ážááá¯á·áá«á
ááá±ážáá±á¬á·áá±á¬á¡áá¬áááºááœááºá áá»áœááºá¯ááºááá¯á·ááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá¯ááºáá»á¬ážá¡ááœáẠáá±á¬ááºáááºáááºážááá¬ááá¯ááºáᬠáá¯ááºáá±ááŸá¯áá»á¬ážááᯠá
á®á
ááºáá±áá«áááºá á€á¡ááŒá±á¬ááºážá¡áá¬ááᯠá
áááºáááºá
á¬ážáá«á áá»áœááºá¯ááºááá¯á·ááá»ááºáááºáá»á¬ážááŸá á¡ááºááááºáá»á¬ážááᯠááá¯ááºáá¬áá« (
source: www.habr.com