Intrusion Analysis in Darknet with Honeynet Deployment

Μέγεθος: px
Εμφάνιση ξεκινά από τη σελίδα:

Download "Intrusion Analysis in Darknet with Honeynet Deployment"

Transcript

1 ΔΘΝΙΚΟ ΚΑΙ ΚΑΠΟΓΙΣΡΙΑΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΑΘΗΝΩΝ ΥΟΛΗ ΘΔΣΙΚΩΝ ΔΠΙΣΗΜΩΝ ΣΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΣΗΛΔΠΙΚΟΙΝΩΝΙΩΝ ΠΣΤΥΙΑΚΗ ΔΡΓΑΙΑ Intrusion Analysis in Darknet with Honeynet Deployment Παύινο Γ. Αξβαλίηεο Φώηηνο Υ. Παξαζθεπάο Δπηβιέπσλ: Άγγεινο Κηαγηάο, Δπίθνπξνο Καζεγεηήο ΑΘΗΝΑ ΟΚΣΧΒΡΙΟ 2010

2 ΠΣΤΥΙΑΚΗ ΔΡΓΑΙΑ Intrusion Analysis in Darknet with Honeynet Deployment Παύινο Γ. Αξβαλίηεο Α.Μ.: Φώηηνο Υ. Παξαζθεπάο Α.Μ.: ΔΠΙΒΛΔΠΧΝ: Άγγεινο Κηαγηάο, Δπίθνπξνο Καζεγεηήο

3 ΠΔΡΙΛΗΦΗ Η εξγαζία απηή αζρνιείηαη κε ηελ παξαθνινχζεζε ηεο δηαδηθηπαθήο θίλεζεο ελφο κέξνπο ηνπ δηθηχνπ ηνπ Σκήκαηνο Πιεξνθνξηθήο θαη Σειεπηθνηλσληψλ ηνπ Δζληθνχ Καπνδηζηξηαθνχ Παλεπηζηεκίνπ Αζελψλ. Σν ππνδίθηπν απηφ απνηειείηαη απφ 256 δηεπζχλζεηο IP (/24, class C) πνπ έρνπλ επαθή κε ην Γηαδίθηπν. Σν ζεκαληηθφηεξν ραξαθηεξηζηηθφ ηνπ είλαη πσο νη δηεπζχλζεηο απηέο είλαη αλελεξγέο, δελ έρνπλ απνδνζεί δειαδή ζε θάπνηνλ ππνινγηζηή. Σν ζχλνιν ηέηνησλ δηεπζχλζεσλ νλνκάδεηαη dark address space ή darknet. Σν παξαπάλσ ραξαθηεξηζηηθφ έρεη εμέρνπζα ζεκαζία, δηφηη ζπλεπάγεηαη πσο νπνηαδήπνηε θίλεζε αληρλεπζεί πξνο (ή απφ) ην darknet, είλαη χπνπηε θαη πηζαλφηαηα απνηειεί κέξνο θάπνηαο επίζεζεο. Γηα ηελ παξαθνινχζεζε ηεο θίλεζεο απηήο ρξεζηκνπνηήζεθε έλαο εμππεξεηεηήο, ζπλδεδεκέλνο ζε άιιν ππνδίθηπν, ζηνλ νπνίν φκσο αλαθαηεπζχλνληαλ ηα ελ ιφγσ παθέηα. Η ζπιινγή θαη αλάιπζή ηνπο γηλφηαλ απφ ην δεκνθηιέο ινγηζκηθφ IDS Snort, ην νπνίν εγθαηαζηάζεθε ζηνλ εμππεξεηεηή κε ηε ζπλνδεία νξηζκέλσλ βνεζεηηθψλ εξγαιείσλ. Γηα λα πξνζηεζεί θάπνηα επηπιένλ δηαδξαζηηθφηεηα, πνπ ζα δηέθξηλε ηηο πξαγκαηηθέο επηζέζεηο απφ ηπραία παθέηα, πινπνηήζεθε ζην dark address space έλα honeynet, έλα ζχλνιν δειαδή εηθνληθψλ ππνινγηζηψλ πνπ πξνζνκνηψλνπλ δηάθνξεο ππεξεζίεο. Οη κεηξήζεηο φισλ απηψλ ησλ πξνγξακκάησλ ππέζηεζαλ αλάιπζε θαη εμάρζεθαλ απφ απηέο ζηαηηζηηθά ζηνηρεία, γξαθήκαηα θαη θπξίσο ζπκπεξάζκαηα γηα ηελ παξάλνκε δξαζηεξηφηεηα ζην darknet. Η εξγαζία απνηειείηαη απφ 6 θεθάιαηα. ην 1 ν Κεθάιαην δίλνληαη νη νξηζκνί ησλ βαζηθψλ ελλνηψλ darknet θαη honeynet θαη ζπδεηνχληαη ζρεηηθά ζέκαηα. Σν 2 ν Κεθάιαην πεξηέρεη πεξηγξαθή θαη νδεγίεο εγθαηάζηαζεο ηνπ ινγηζκηθνχ πνπ ρξεζηκνπνηήζεθε. Πην επηζηακέλα πεξηγξάθεηαη ε ιεηηνπξγία ηνπ honeyd, ηνπ ινγηζκηθνχ ην νπνίν πινπνηεί ην honeynet, ζην Κεθάιαην 3. Σν θχξην κέξνο ηεο εξγαζίαο, δειαδή ηα απνηειέζκαηα θαη ζπκπεξάζκαηα ησλ ζηνηρείσλ πνπ ζπιιέρζεθαλ θαζψο θαη νξηζκνί ησλ επηζέζεσλ πνπ εληνπίζηεθαλ, βξίζθνληαη ζην Κεθάιαην 4. Σν 5 ν Κεθάιαην αλαιχεη ηελ ιεηηνπξγία θαη ηνπο θηλδχλνπο ησλ botnets, κνιπζκέλσλ δειαδή ππνινγηζηψλ κε απηφλνκε δξάζε, πνπ ήηαλ έλα απφ ηα ζέκαηα πνπ καο απαζρφιεζαλ. Σέινο, ζην 6 ν Κεθάιαην αλαθέξνληαη δεηήκαηα ηα νπνία αλέθπςαλ θαηά ηελ εθπφλεζε ηεο εξγαζίαο θαη πξνηείλνληαη νξηζκέλεο κειινληηθέο θαηεπζχλζεηο. ΘΔΜΑΣΙΚΗ ΠΔΡΙΟΥΗ: Αζθάιεηα ζην Γηαδίθηπν ΛΔΞΔΙ ΚΛΔΙΓΙΑ: security, address space, darknet, IDS, honeypots, botnets

4 ΔΤΥΑΡΙΣΙΔ Θεσξνχκε ππνρξέσζή καο λα επραξηζηήζνπκε φινπο φζνπο πιαηζίσζαλ ηελ πξνζπάζεηά καο, μεθηλψληαο απφ ηνλ θαζεγεηή καο θ. Άγγειν Κηαγηά, πνπ καο έδσζε ηελ επθαηξία λα αζρνιεζνχκε κε ην ζπγθεθξηκέλν ζέκα. Δπραξηζηνχκε επίζεο ην Κέληξν Λεηηνπξγίαο θαη Γηαρείξηζεο Γηθηχνπ ηνπ Παλεπηζηεκίνπ Αζελψλ θαη εηδηθφηεξα ηνλ θ. Αξηζηνηέιε Γιεληή. Σέινο, λα επραξηζηήζνπκε ηνλ θ. Γηψξγν Καθαιέηξε γηα ηε βνήζεηα πνπ καο παξείρε ζην ζηήζηκν ηνπ εμππεξεηεηή κέζα ζε έλα απφ ηα εξγαζηήξηα ηνπ ηκήκαηνο Πιεξνθνξηθήο θαη Σειεπηθνηλσληψλ.

5 ΠΔΡΙΔΥΟΜΔΝΑ ΠΡΟΛΟΓΟ Δηζαγσγή Darknet: Ση είλαη; Darknet, dark address space, dark internet: εκαζηνινγία Darknet Deployment Honeypots High interaction Low interaction Πεξηγξαθή ησλ ινγηζκηθώλ πνπ ρξεζηκνπνηήζεθαλ Snort IDS/IPS Δγθαηάζηαζε Snort κε ππνζηήξημε MySQL Βειηίσζε ηεο απφδνζεο ηνπ Snort κε barnyard Σν ζρήκα ηεο βάζεο δεδνκέλσλ γηα ην Snort BASE Δγθαηάζηαζε apache2 κε php Δγθαηάζηαζε BASE Honeyd Δγθαηάζηαζε honeyd κε honeycomb plugin Η βάζε δεδνκέλσλ γηα ην honeyd Υξήζε ηνπ ινγηζκηθνύ Honeyd Ο ρώξνο δηεπζύλζεσλ IP γηα ηα honeypots Γέζκεπζε δηεπζχλζεσλ IP κε ην Arpd Θέηνληαο personalities κε ην honeyd Virtual network topology Host discovery κε Nmap Honeyd services Σα δεδνκέλα από ηε βάζε δεδνκέλσλ ηνπ Snort Alerts Δξκελεία γηα ηα είδε ησλ alerts Scripts for snort database Αλάιπζε ησλ ζπκβάλησλ πνπ θαηέγξαςε ην Snort Honeypots activity Botnets πκπεξάζκαηα θαη παξαηεξήζεηο Ιζηνξηθό εξγαζίαο

6 6.1.1 Alerts ηνπ παξαγσγηθνχ δηθηχνπ ARP poisoning, host flapping MAC address Μειινληηθέο θαηεπζύλζεηο ΑΝΑΦΟΡΔ

7 ΚΑΣΑΛΟΓΟ ΥΗΜΑΣΧΝ ρήκα 1: Γηάγξακκα Venn. Α είλαη ην ζχλνιν ησλ πξνζβάζηκσλ θφκβσλ. Β είλαη ην ζχλνιν φισλ ησλ θφκβσλ ηνπ δηθηχνπ ρήκα 2: Οη ρψξεο πξνέιεπζεο πξνο ηνλ αξηζκφ ησλ alerts γηα θάζε κία. Σηκή θαησθιίνπ είλαη ηα 100 alerts ρήκα 3: Ο αξηζκφο ησλ alerts πνπ πξνήιζαλ απφ δηάθνξεο IPs. Σηκή θαησθιίνπ ηα εθαηφ alerts. Σν 100% αληηζηνηρεί ζε alerts ρήκα 4: Πφζεο IPs έρνπλ πξνθαιέζεη ηνλ ίδην αξηζκφ unique alerts ρήκα 5: Ο αξηζκφο ησλ δηαθνξεηηθψλ IPs πνπ έρνπλ πξνθαιέζεη ην ίδην είδνο alert. Δηθνλίδνληαη ηα δέθα ελλέα πξψηα είδε ησλ alerts. ICMP D.U.C.A.P : Destination Unreachable Communication Administratively Prohibited ρήκα 6: Ο αξηζκφο ησλ δηαθνξεηηθψλ IPs πνπ έρνπλ πξνθαιέζεη ην ίδην είδνο alert. Δηθνλίδνληαη ηα επφκελα δέθα ελλέα είδε ησλ alerts ρήκα 7: Οη TCP ζχξεο πξννξηζκνχ πξνο ηνλ αξηζκφ ησλ alerts. To 100% αληηζηνηρεί ζε 968 alerts ρήκα 8: Πξσηλή δψλε 06:00:00 11:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts ρήκα 9: Μεζεκεξηαλή δψλε 12:00:00 17:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts ρήκα 10: Απνγεπκαηηλή δψλε 18:00:00 23:59:59, κε ηηκή θαησθιίνπ ηα 10 alert ρήκα 11: Βξαδηλή δψλε 00:00:00 05:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts ρήκα 12: Η θαηαλνκή ησλ alerts ζπλνιηθά κεηαμχ ησλ ηεζζάξσλ δσλψλ ψξαο ρήκα 13: Η θαηαλνκή ηνπ αξηζκνχ ησλ alerts ζε κεληαία βάζε. Απφ 1 Ιαλνπαξίνπ σο 1 Ινπλίνπ Σν 100% αληηζηνηρεί ζε alerts ρήκα 14: Οη ζπλδέζεηο γηα θάζε ρψξα. Σηκή θαησθιίνπ νη ζπλδέζεηο ρήκα 15: Απφ ην ζχλνιν ησλ alerts, ηα 2812 απεπζχλνληαη ζε IPs ηνπ honeynet ρήκα 16: Γηα θάζε honeypot αλαγξάθεηαη ν αξηζκφο ησλ δηαθνξεηηθψλ εηδψλ alerts πνπ δέρζεθε ρήκα 17: H θαηαλνκή ηνπ αξηζκνχ ησλ ζπλδέζεσλ πξνο ηα honeypots, ζηα πξσηφθνιια icmp, tcp, udp

8 ΚΑΣΑΛΟΓΟ ΔΙΚΟΝΧΝ Δηθφλα 1: Η ηνπνινγία ηνπ darknet server ζε έλα αθαηξεηηθφ ζρήκα Δηθφλα 2: Οιφθιεξν ην ζρήκα γηα ηε βάζε δεδνκέλσλ ηνπ Snort Δηθφλα 3: Η αξρηθή ζειίδα ηνπ BASE Δηθφλα 4: Η δηεπαθή ηνπ BASE γηα ηελ δεκηνπξγία δηαγξακκάησλ απφ ηα δεδνκέλα ηεο βάζεο ή θάπνηνπ alert group Δηθφλα 5: Έλα παξαγσγηθφ ππνδίθηπν, φπνπ ηα honeypots κνηξάδνληαη κε ηνπο θαλνληθνχο ππνινγηζηέο ηνλ ίδην ρψξν δηεπζχλζεσλ Δηθφλα 6: Δηθνληθή ηνπνινγία απφ honeypots θαηαζθεπαζκέλε κε ην honeyd Δηθφλα 7: Παγθφζκηνο ράξηεο κε ζεκεησκέλεο ηηο ρψξεο απν ηηο νπνίεο θαηαγξάθεθε δξαζηεξηφηεηα πξνο ην darknet space Δηθφλα 8: χζηεκα δηαρείξηζεο botnet κέζσ ελφο θεληξηθνπνηεκέλνπ εμππεξεηεηή

9 ΚΑΣΑΛΟΓΟ ΠΙΝΑΚΧΝ Πίλαθαο 1: Σα είδε ησλ alerts πνπ θαηαγξάθεθαλ ζην ρψξν ηνπ darknet. Φηάλνπλ ηα ηξηάληα νθηψ ζε αξηζκφ Πίλαθαο 2: Οη 88 ρψξεο απφ ηηο νπνίεο θαηαγξάθεθαλ ζπκβάληα ζην dark address space Πίλαθαο 3: Σα είδε ησλ alerts θαη ν αξηζκφο απηψλ, πνπ πξνήιζαλ απφ ηηο πέληε ρψξεο κε ηα πεξηζζφηεξα alerts Πίλαθαο 4: Ο αξηζκφο ησλ bytes πνπ αληαιιάρζεθαλ ζε θάζε honeypots θαη ζε θάζε ζχξα απηνχ Πίλαθαο 5: Σα επηπιένλ είδε ησλ alerts πνπ θαηαγξάθεθαλ ζην παξαγσγηθφ ππνδίθηπν. Φηάλνπλ ηα νθηψ ζε αξηζκφ

10 ΠΡΟΛΟΓΟ Απηή ε εξγαζία εθπνλήζεθε σο πηπρηαθή ζην Σκήκα Πιεξνθνξηθήο θαη Σειεπηθνηλσληψλ ηνπ Καπνδηζηξηαθνχ Παλεπηζηεκίνπ Αζελψλ, απφ ηνπο θνηηεηέο ηνπ ηκήκαηνο Αξβαλίηε Παχιν θαη Παξαθεπά Φψηην. Γηα ηελ εθπφλεζε ηεο εξγαζίαο απαξαίηεηε ήηαλ ε ζπκβνιή ηνπ θαζεγεηή καο θ. Άγγεινπ Κηαγηά σο επηβιέπνληα. Δμίζνπ απαξαίηεηε ήηαλ ε ζπκβνιή θαη ε ππνζηήξημε πνπ καο παξείραλ απφ ην Κέληξν Λεηηνπξγίαο θαη Γηαρείξηζεο Γηθηχνπ ηνπ Παλεπηζηεκίνπ, πξνθεηκέλνπ λα απνθηήζνπκε πξφζβαζε ζε έλαλ ππνινγηζηή εληφο ηνπ Γηθηχνπ ν νπνίνο ζα απνηεινχζε ην θχξην εξγαιείν γηα ηελ εθπφλεζε ηεο πηπρηαθήο καο. Ο ζθνπφο καο ήηαλ λα θαηαλνήζνπκε ηνπο ηξφπνπο κε ηνπο νπνίνπο δηεμάγνληαη επηζέζεηο ζην Γηαδίθηπν, λα κειεηεζνπκε ηε δξάζε θαθφβνπινπ ινγηζκηθνχ (π.ρ. bots) θαη λα εμάγνπκε επηπιένλ ζηαηηζηηθά θαη ζπκπεξάζκαηα γηα ηα θαηλφκελα πνπ παξαηεξνχκε. Σν κέζν κε ην νπνίν επηηχρακε ηα παξαπάλσ είλαη κε ηελ εγθαηάζηαζε θαη ιεηηνπξγία ελφο darknet server γηα κία πεξίνδν πεξίπνπ 6 κελψλ απφ ηνλ Ιαλνπάξην 2010 κέρξη θαη ηνλ Ινχλην ηνπ ίδηνπ έηνπο. Η βαζηθή ρξήζε ηνπ server ήηαλ λα θαηαγξάθεη θαη λα αλαιχεη ηε δηθηπαθή θίλεζε ζε έλα ρψξν δηεπζχλζεσλ IP πνπ ήηαλ αρξεζηκνπνίεηνο. Ο ρψξνο απηφο απνθαιείηαη dark address space ή darknet. Η παξαθνινχζεζε ηνπ darknet έρεη ηδηαίηεξε ζεκαζία, θαζψο είρακε ηελ βεβαηφηεηα φηη φια ηα παθέηα πνπ ζα πξννξίδνληαη πξνο απηφλ ζα είραλ θαθφβνπιε πξνέιεπζε αθνχ νη δηεπζχλζεηο πνπ ηνπ αλήθνπλ δελ πξνθαινχλ δηαδηθηπαθή θίλεζε. Σα ζηνηρεία πνπ πξνθχπηνπλ είλαη έλαο θαιφο ηξφπνο λα δηαπηζηψζνπκε ηάζεηο πνπ επηθξαηνχλ ζρεηηθά κε θαθφβνπιεο ελέξγεηεο ζην Γηαδίθηπν, εηδηθά φζεο νθείινληαη ζε απηνκαηνπνηεκέλνπο κεραληζκνχο, φπσο δίθηπα κνιπζκέλσλ απφ εηδηθφ ινγηζκηθφ ππνινγηζηψλ. Απηά είλαη γλσζηά κε ηελ νλνκαζία botnets θαη ε ιεηηνπξγία ηνπο είλαη αθφκα έλα δήηεκα πνπ εμεηάζακε. Δπηπιένλ αζρνιεζήθακε κε ηελ αλάπηπμε honeypots, εηθνληθψλ δειαδή ππνινγηζηψλ πνπ πξνζσκνηψλνπλ ππεξεζίεο, ηα νπνία απνηεινχλ έλαλ απφ ηνπο πην απνηειεζκαηηθνχο ηξφπνπο γηα ηελ πξνζέιθπζε θαη θαηαγξαθή ηέηνηνπ είδνπο ινγηζκηθψλ.

11 ΚΔΦΑΛΑΙΟ 1 1. Δηζαγσγή ηηο ηξεηο πξψηεο ελφηεηεο ηνπ πξψηνπ θεθαιαίνπ ζα αλαθεξζνχκε ζε κεξηθέο έλλνηεο φπσο ην darknet space, ην darknet internet, θαζψο θαη ζην πσο αλαπηχμακε ην δηθφ καο darknet server κέζα ζην ππνινγηζηηθφ δίθηπν ηνπ ηκήκαηνο ηνπ παλεπηζηεκίνπ Αζελψλ. ηηο επφκελεο ελφηεηεο ζα πεξηγξάςνπκε ηη είλαη ηα honeypots θαη ζα ηα δηαρσξίζνπκε ζε δχν κεγάιεο θαηεγνξίεο ηα High Interaction θαη ηα Low Interaction. 1.1 Darknet: Ση είλαη; Όπσο είδακε ζηελ εηζαγσγή, ην βαζηθφηεξν θνκκάηη ηεο εξγαζίαο ζηεξίδεηαη ζηελ εγθαηάζηαζε θαη ηελ παξαθνινχζεζε ελφο darknet server. Ση είλαη φκσο ην darknet; Έλαο πξψηνο νξηζκφο πνπ κπνξνχκε λα δψζνπκε είλαη: ην ζχλνιν ησλ κε πξνζβάζηκσλ δηεπζχλζεσλ ελφο δηθηχνπ. Ωο πξφζβαζε ελλννχκε νπνηαδήπνηε επηθνηλσλία κπνξεί λα έρεη θάπνηνο ππνινγηζηήο κε ηνλ δηθηπαθφ θφκβν πνπ αληηζηνηρεί ζε κηα δηεχζπλζε, φπσο απνζηνιή αηηήζεσλ ping θαη ιήςε απαληήζεσλ. Ο νξηζκφο απηφο φκσο εκπεξηέρεη κηα αζάθεηα. Δίλαη ην darknet θνηλφ γηα φινπο ηνπο ππνινγηζηέο ελφο δηθηχνπ; Θεσξεηηθά νη θφκβνη ζε ηνπηθά δίθηπα ή δίθηπα κεγάινπ εχξνπο, φπσο ην Γηαδίθηπν, είλαη ηζφηηκνη, ζπλεπψο ζα έπξεπε λα έρνπλ δπλαηφηεηα πξφζβαζεο ζην ίδην ζχλνιν θφκβσλ. Θα δνχκε φκσο παξαθάησ πσο θάηη ηέηνην δελ ηζρχεη. Μπνξνχκε ινηπφλ λα ηξνπνπνηήζνπκε ειαθξψο ηνλ πξνεγνχκελν νξηζκφ, ιέγνληαο πσο ην darknet γηα έλαλ ππνινγηζηή/θφκβν είλαη ην ζχλνιν ησλ δηεπζχλζεσλ ηνπ δηθηχνπ πνπ αλήθεη ζηηο νπνίεο δελ έρεη πξφζβαζε. Δλαιιαθηηθά ην darknet είλαη δπλαηφλ λα αλαπαξαζηαζεί απφ ην αθφινπζν δηάγξακκα Venn: Α Β ρήκα 1: Γηάγξακκα Venn. Α είλαη ην ζύλνιν ησλ πξνζβάζηκσλ θόκβσλ. Β είλαη ην ζύλνιν όισλ ησλ θόκβσλ ηνπ δηθηύνπ. Αλ ζεσξήζνπκε φηη ην ζχλνιν Β (κεγάιν ζχλνιν) είλαη ην ζπλνιηθφ πιήζνο ησλ δηεπζχλζεσλ ηνπ δηθηχνπ καο θαη ην ζχλνιν Α είλαη φιεο νη δηεπζχλζεηο ζηηο νπνίεο αληηζηνηρεί θφκβνο πξνζβάζηκνο απφ έλαλ ζπγθεθξηκέλν ππνινγηζηή, ηφηε ε δηαθνξά ησλ ζπλφισλ Β - Α απνηειεί ην darknet. Οη ιφγνη γηα ηνπο νπνίνπο κηα δηθηπαθή δηεχζπλζε δελ είλαη πξνζπειάζηκε πνηθίιινπλ. ηα ηνπηθά δίθηπα ε ζπλεζέζηεξε αηηία είλαη πσο ε δηεχζπλζε απηή δελ έρεη θαηαλεκεζεί ζε θάπνηνλ ππνινγηζηή. Σν ζχλνιν ησλ κε θαηαλεκεκέλσλ δηεπζχλζεσλ ελφο δηθηχνπ θαιείηαη επίζεο dark address space. ηα πιαίζηα ηεο εξγαζίαο απηήο παξαθνινπζήζακε έλα class C (/24 bits, 256 δηεπζχλζεηο) ππνδίθηπν ηνπ δηθηχνπ ηνπ ηκήκαηνο Πιεξνθνξηθήο θαη Σειεπηθνηλσληψλ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 10

12 ηνπ Δ.Κ.Π.Α., πνπ αλήθεη ζην dark address space, θαζψο απνηειείηαη απφ εμ νινθιήξνπ απφ κε θαηαλεκεκέλεο δηεπζχλζεηο. Σν θαηλφκελν ηνπ darknet φκσο εκθαλίδεηαη θαη ζην Γηαδίθηπν, φπνπ νη κε θαηαλεκεκέλεο δηεπζχλζεηο είλαη πιένλ ειάρηζηεο. Σν δηαδηθηπαθφ darknet, απνθαινχκελν θαη dark internet, έγηλε ην αληηθείκελν εξεπλψλ, αξθεηέο απφ ηηο νπνίεο δηεμήρζεζαλ ην 2001, πνπ απνδεηθλχνπλ ηελ χπαξμή ηνπ θαη αλαιχνπλ ηηο απεηιέο πνπ θξχβεη. Αλ θαη ε εξγαζία γίλεηαη ζηα πιαίζηα ζπγθεθξηκέλνπ δηθηχνπ, ην dark internet έρεη φκνηεο αηηίεο θαη θηλδχλνπο κε απηφ πνπ εμεηάδνπκε, γηα απηφ θαη γίλεηαη κηα ζχληνκε αλαθνξά ηνπ παξαθάησ. Όζνλ αθνξά ζην Γηαδίθηπν, επηθξαηεί γεληθά ε εληχπσζε πσο είλαη έλαο πιήξσο ζπλδεδεκέλνο γξάθνο θφκβσλ. Γπζηπρψο απηφ απέρεη πνιχ απφ ηελ αιήζεηα. ηελ πξαγκαηηθφηεηα ππάξρνπλ ππνινγηζηέο πνπ αλήθνπλ ζην Γηαδίθηπν, νη νπνίνη δελ είλαη πξνζβάζηκνη απφ ην κέζν ρξήζηε. Κιαζηθφ παξάδεηγκα απνηεινχλ ηζηνζειίδεο θαη ππνινγηζηέο ηνπ ζηξαηνχ ησλ ΗΠΑ πνπ αλήθνπλ ζην απαξραησκέλν MILNET, ή αθφκα θαη ζην Arpanet, ηνλ πξφδξνκν ηνπ Γηαδηθηχνπ. Πέξα φκσο απφ δίθηπα ηα νπνία αλήθνπλ ζηε ιίζηλε επνρή ηνπ Γηαδηθηχνπ θαη δε ρξεζηκνπνηνχληαη πιένλ, ην dark internet γηα έλαλ ππνινγηζηή ζπλήζσο πεξηιακβάλεη θαη πιεζψξα άιισλ θφκβσλ. Οη αηηίεο γηα ηηο νπνίεο νη θφκβνη απηνί δελ είλαη πξνζβάζηκνη, είλαη θαηά θχξην ιφγν πην δπζάξεζηνη. Όπσο γλσξίδνπκε, ην Γηαδίθηπν είλαη ρσξηζκέλν ζε επίπεδα, κε ην πςειφηεξν επίπεδν λα είλαη νη ππνινγηζηέο ησλ ρξεζηψλ θαη ην ρακειφηεξν νη θεληξηθνί δξνκνινγεηέο ησλ παγθνζκίνπ θιίκαθαο παξφρσλ πνπ αιιεινζπλδένληαη θαη απνηεινχλ ηε «ξαρνθνθαιηά» ηνπ Γηαδηθηχνπ. ε φζν ρακειφηεξν επίπεδν αλήθεη έλαο δξνκνινγεηήο, ηφζν πεξηζζφηεξε θίλεζε πεξλά κέζα απφ απηφλ εμππεξεηψληαο ην αλάινγν πιήζνο ππνινγηζηψλ/δηεπζχλζεσλ. Δίλαη αληηιεπηφ πσο έλαο ηέηνηνο δξνκνινγεηήο ιεηηνπξγεί σο πχιε γηα ηηο δηεπζχλζεηο πνπ εμππεξεηεί. Αλ ινηπφλ ν δξνκνινγεηήο είλαη θαθνξπζκηζκέλνο ζε ζρέζε κε είηε ηελ εηζεξρφκελε είηε ηελ εμεξρφκελε θίλεζε, απηφ ζα επεξεάζεη ην dark internet γηα έλαλ εμππεξεηνχκελν ππνινγηζηή, ή ζα ηνλ θάλεη κέξνο ηνπ dark internet ελφο άιινπ. Γπζηπρψο ππάξρνπλ ηέηνηνπ είδνπο αλσκαιίεο ζηηο ξπζκίζεηο πνιιψλ θεληξηθψλ δξνκνινγεηψλ ηνπ Γηαδηθηχνπ, πνπ θάλνπλ ην dark internet έλα ηδηαηηέξσο εθηεηακέλν θαη πνιχπινθν θαηλφκελν. Μηα έξεπλα ηεο Arbor Networks έδεημε πσο ζε απηφ αλήθνπλ 5% ησλ θφκβσλ ηνπ ηζηνχ, πνπ αλέξρνληαη πεξίπνπ ζηνπο 100 εθαηνκκχξηα δηαθνκηζηέο. Αλ εμαηξέζνπκε ην αλζξψπηλν ζθάικα, έλαο θχξηνο ιφγνο πνπ θεληξηθνί δξνκνινγεηέο έρνπλ ξπζκίζεηο πνπ πεξηνξίδνπλ ηελ πξνζβαζηκφηεηα είλαη ε κείσζε ηνπ θφξηνπ, κε πεξηθνπή ηνπ κεγέζνπο ησλ πηλάθσλ δξνκνιφγεζεο. Δπίζεο ππάξρνπλ φξνη ησλ ζπκβνιαίσλ κεηαμχ ησλ παξφρσλ (θπξίσο κεηαμχ παξφρσλ δηαθνξεηηθψλ επηπέδσλ) πνπ θαζνξίδνπλ ζε πνηα ηκήκαηα ηνπ δηθηχνπ ηνπ ελφο ζα έρνπλ πξφζβαζε νη πειάηεο ηνπ άιινπ, δεκηνπξγψληαο έηζη ζηνπο πξψηνπο πεξηνρέο ηνπ ηζηνχ πνπ ηνπο απαγνξεχεηαη ε πξφζβαζε. Έλα θαηλφκελν ζαλ ην dark internet δε ζα κπνξνχζε θπζηθά λα κε γίλεη αληηθείκελν εθκεηάιιεπζεο δηάθνξσλ θαθφβνπισλ επηηήδεησλ. Έξεπλεο έρνπλ δείμεη πσο ην dark internet είλαη έλα απφ ηα κέζα πνπ ρξεζηκνπνηνχληαη θαηεμνρήλ γηα παξάλνκεο ελέξγεηεο φπσο επηζέζεηο Denial of Service ή spamming. Πνιινί hackers εθκεηαιιεχνληαη ηηο θαθέο ξπζκίζεηο ησλ δξνκνινγεηψλ γηα λα δηεμάγνπλ επηζέζεηο απφ ππνινγηζηέο πνπ γηα ην ππφινηπν Γηαδίθηπν ζηελ νπζία δελ ππάξρνπλ, θαζψο δελ είλαη δπλαηή ε επηθνηλσλία καδί ηνπο θαη εκθαλίδνληαη θαζφινπ ή ειάρηζηα ζε πίλαθεο δξνκνιφγεζεο. πρλά γίλεηαη επίζεο αλαδξνκνιφγεζε παθέησλ θαθφβνπιεο θίλεζεο κέζα απφ δηεπζχλζεηο ηνπ dark internet γηα λα απνθεπρζεί ν εληνπηζκφο ηεο πεγήο ηνπο. Δπηπιένλ, hackers κπνξνχλ λα δεκηνπξγήζνπλ ηκήκαηα ηνπ dark internet θαηαιακβάλνληαο δξνκνινγεηέο θαη αιιάδνληαο νη ίδηνη ηηο ξπζκίζεηο ηνπο. Τπάξρνπλ πιένλ εξεπλεηηθά εξγαιεία πνπ απνθαινχληαη network telescopes, ηα νπνία παξαθνινπζνχλ ην δηαδηθηπαθφ darknet γηα λα εληνπίζνπλ θαη λα θαηαγξάςνπλ ηέηνηνπ είδνπο ελέξγεηεο. Τπάξρνπλ ζθέςεηο απφ κεγάιεο ακεξηθαληθέο εηαηξείεο ηειεπηθνηλσληψλ, πνπ πξφθεηηαη λα θαηαζηήζνπλ ηε κε πξνζβαζηκφηεηα θαζεζηψο, Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 11

13 ζέινληαο λα δεκηνπξγήζνπλ έλα Γηαδίθηπν δχν ηαρπηήησλ. πλδξνκεηέο πνπ πιεξψλνπλ γηα πξνεγκέλεο ππεξεζίεο ζα έρνπλ πξφζβαζε ζε πεξηζζφηεξα ηκήκαηα ηνπ Ιζηνχ απφ ηνπο απινχο ζπλδξνκεηέο. Δπηπρψο απηέο νη αιιαγέο δελ πξνβιέπνληαη ζην άκεζν κέιινλ, θαζψο ππάξρνπλ πνιινί, κεηαμχ ησλ νπνίσλ θαη νη δεκηνπξγνί ηνπ Web, πνπ ελαληηψλνληαη ζηελ θαηαζηξαηήγεζε ηνπ ειεχζεξνπ ραξαθηήξα ηνπ Γηαδηθηχνπ. Έρνληαο κηα γεληθή εηθφλα γηα ην dark internet, κπνξνχκε λα δηαπηζηψζνπκε φηη ην δηθφ καο ηνπηθφ darknet, αλ θαη παξφκνην ζηε θχζε ηνπ, είλαη αξθεηά δηαθνξεηηθφ φζνλ αθνξά ζην πεξηερφκελν. Καηαξράο γλσξίδνπκε πσο φινη νη ππνινγηζηέο ηνπ δηθηχνπ είλαη ηζφηηκνη ζεσξψληαο έηζη ην ίδην darknet. Δπηπιένλ, είκαζηε ζίγνπξνη πσο δελ ππάξρνπλ ππνινγηζηέο πνπ αληηζηνηρνχλ ζηηο δηεπζχλζεηο ηνπ, επνκέλσο δελ είλαη δπλαηφ λα πξνθιεζνχλ επηζέζεηο πξνεξρφκελεο απφ απηφ. Πνπ ρξεζηκεχεη ζπλεπψο ε παξαθνινχζεζε ηνπ; Αληί λα θνηηάμνπκε ην darknet απφ ηε κεξηά ηνπ επηηηζέκελνπ, φπσο ζην dark internet, πξέπεη λα ην εμεηάζνπκε απφ ηελ πιεπξά ηνπ ζχκαηνο. Οη δηεπζχλζεηο ηνπ darknet καο δελ είλαη θαηαρσξεκέλεο ζε αξρεία θαηαγξαθήο θίλεζεο, νχηε απνζηέιινπλ παθέηα πξνο ηνλ ηζηφ. Λνγηθά ινηπφλ ζπλεπάγεηαη πσο νπνηαδήπνηε θίλεζε παθέησλ πξνο (θαη απφ) δηεπζχλζεηο ηνπ darknet είλαη εληειψο απξφθιεηε θαη ρξήδεη εμέηαζεο, θαζψο είλαη πνιχ πηζαλφ λα πξφθεηηαη γηα ππνςήθηα επίζεζε. Απηφ, δειαδή ε θαηαγξαθή θαη επεμεξγαζία ησλ εηζεξρφκελσλ θαη εμεξρφκελσλ παθέησλ απφ δηεπζχλζεηο ηνπ darknet, είλαη θαη ν ζθνπφο ηνπ darknet server. 1.2 Darknet, dark address space, dark internet: εκαζηνινγία Όπσο θαη πνιιά απφ ηα ζέκαηα ζρεηηθά κε ηελ αζθάιεηα δηθηχσλ, έηζη θαη ην darknet, πξψηα εληνπίζηεθε απφ άηνκα πνπ αζρνινχληαη κε ηα δίθηπα, έπεηηα ζπδεηήζεθε απφ ηελ δηαδηθηπαθή θνηλφηεηα θαη πνιχ αξγφηεξα έγηλε αληηθείκελν επίζεκσλ εξγαζηψλ θαη κειεηψλ. Έηζη ππάξρεη κηα ζρεηηθή πνιπζεκία ζηνλ φξν αλ αλαδεηήζεη θαλείο αλαθνξέο ζηνλ Ιζηφ. Θα θάλνπκε εδψ κηα ζχληνκε επεμήγεζε ζε παξεκθεξείο φξνπο πνπ ζπρλά ζπγρένληαη. Όπσο αλαθέξακε θαη πξνεγνπκέλσο, darknet είλαη ην ζχλνιν ησλ κε πξνζβάζηκσλ γηα θάπνηνλ ππνινγηζηή δηεπζχλζεσλ ελφο δηθηχνπ ζην νπνίν αλήθεη. ηα ηνπηθά δίθηπα απηφ ζπλήζσο ηαπηίδεηαη κε ην dark address space, πνπ νξίδεηαη σο ην ζχλνιν ησλ κε θαηαλεκεκέλσλ δηεπζχλζεσλ ελφο δηθηχνπ. Σν θαηλφκελν ηνπ darknet φπσο εθαξκφδεηαη ζην Γηαδίθηπν, είλαη επξέσο γλσζηφ κε ηελ νλνκαζία dark internet. Απηφ δελ πξέπεη λα ζπγρέεηαη κε ην ιεγφκελν deep web ή deep internet, πνπ είλαη ζειίδεο ηνπ Γηαδηθηχνπ νη νπνίεο ιφγσ ηνπ δπλακηθνχ πεξηερφκελνπ ηνπο δελ εκθαλίδνληαη ζε κεραλέο αλαδήηεζεο. Δπίζεο ππάξρεη κηα πην ζπάληα ρξήζε ηνπ φξνπ darknet, πνπ πεξηγξάθεη έλα ζχλνιν ππνινγηζηψλ ελφο δηθηχνπ νη νπνίνη έρνπλ κπζηηθή κεηαμχ ηνπο επηθνηλσλία ρξεζηκνπνηψληαο εηδηθά πξσηφθνιια. ηε ζπλέρεηα ηεο εξγαζίαο, φπνπ γίλεηαη αλαθνξά ηνπ φξνπ darknet ζα ελλνείηαη ν νξηζκφο πνπ δφζεθε ζηελ αξρή ηεο παξαγξάθνπ Darknet Deployment Αθνχ εμεηάζακε ηε θχζε ηνπ darknet, πξέπεη λα αζρνιεζνχκε ην πψο κπνξνχκε λα ην ρξεζηκνπνηήζνπκε γηα ηε κειέηε καο. Γηα ηνπο ζθνπνχο ηεο εξγαζίαο έρνπκε ζηε δηάζεζή καο έλαλ ππνινγηζηή, ν νπνίνο πξέπεη λα έρεη κε θάπνηνλ ηξφπν πξφζβαζε ζε φιε ηελ θίλεζε ηνπ darknet θαη ιεηηνπξγεί σο εμππεξεηεηήο γηα εξγαιεία θαη ππεξεζίεο πνπ ρξεζηκεχνπλ ζηελ θαηαγξαθή θαη επεμεξγαζία ηεο θίλεζεο (βι. Κεθάιαην 2). Ο ππνινγηζηήο απηφο φκσο δελ αλήθεη ζην ρψξν δηεπζχλζεσλ ηνπ darknet, δηφηη είλαη ζπλδεδεκέλνο ζην παξαγσγηθφ δίθηπν ηνπ Σκήκαηνο, καδί κε άιινπο εμππεξεηεηέο. ην ζεκείν απηφ πξέπεη λα αλαινγηζηνχκε, πσο ε θίλεζε πνπ ζα έρνπκε ζηε δηάζεζή καο Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 12

14 γηα εμέηαζε αλήθεη ζηνλ ρψξν ηνπ Παλεπηζηεκίνπ, επνκέλσο ε πξφζβαζε δελ κπνξεί λα είλαη απζαίξεηε, παξφιν πνπ ζην dark address space δελ βξίζθνληαη ελεξγνί ππνινγηζηέο. Αλ θαη ην γεγνλφο απηφ ιήθζεθε ππφςε θαηά ηνλ ζρεδηαζκφ ηνπ ζπζηήκαηνο, παξνπζηάζηεθαλ θάπνηα ζέκαηα ζε ζρέζε κε ηελ νκαιή ιεηηνπξγία θαη ηελ αζθάιεηα ηνπ δηθηχνπ, ηα νπνία εμεηάδνληαη ζην Κεθάιαην 6. Έρνληαο ζην λνπ καο ηελ ηνπνινγία ηνπ δηθηχνπ (δειαδή ηελ αλεμαξηεζία παξαγσγηθνχ δηθηχνπ θαη darknet), θαζψο θαη ηα παξαπάλσ δεηήκαηα αζθαιείαο, εμνπιίζακε ηνλ ππνινγηζηή καο κε δχν πξνζαξκνγείο δηθηχνπ Ethernet, θαη ζπλδέζακε ηνλ ππνινγηζηή φπσο θαίλεηαη ζηελ παξαθάησ εηθφλα: Δηθόλα 1: Η ηνπνινγία ηνπ darknet server ζε έλα αθαηξεηηθό ζρήκα. Όπσο δείρλεη ην ζρήκα, θαη νη δχν NICs έρνπλ δηεπζχλζεηο IP πνπ αλήθνπλ ζην παξαγσγηθφ δίθηπν θαη έρνπλ δηαδηθηπαθή πξφζβαζε. Η ρξήζε δχν πξνζαξκνγέσλ πξνθχπηεη απφ ηηο δηαθνξεηηθέο ιεηηνπξγίεο γηα ηηο νπνίεο πξννξίδνληαη. Ο πξνζαξκνγέαο eth2 είλαη ην βαζηθφηεξν ζηνηρείν ηνπ εμνπιηζκνχ ηεο εξγαζίαο, θαζψο ζε απηφλ πξνσζνχληαη ηα παθέηα ηεο θίλεζεο ηνπ darknet. Ο θεληξηθφο δξνκνινγεηήο (Router) πνπ παξέρεη πξφζβαζε ζην Γηαδίθηπν, εθηξέπεη φια ηα παθέηα πξνο δηεπζχλζεηο ηνπ darknet (subnet B) ζηελ IP δηεχζπλζε ηνπ eth2. Γελ κεηαθέξνληαη κφλν νη θεθαιίδεο αιιά απηνχζην ην πεξηερφκελν ησλ παθέησλ. Με παξφκνην ηξφπν ν eth2 κπνξεί λα επηθνηλσλεί πξνο ην Γηαδίθηπν ρξεζηκνπνηψληαο σο πεγαία IP κία απφ ηηο δηεπζχλζεηο ηνπ dark address space. ηε ζπλεζηζκέλε πεξίπησζε ην darknet δε ρξεηάδεηαη λα έρεη εμεξρφκελε θίλεζε, αιιά σο κέξνο ηεο εξγαζίαο εγθαηαζηάζεθαλ ζηνλ εμππεξεηεηή εξγαιεία πνπ ηνπ επηηξέπνπλ λα πξνζνκνηψλεη εηθνληθνχο ππνινγηζηέο (honeypots) πνπ αλήθνπλ ζην subnet B. Απηνί νη ππνινγηζηέο ελδερνκέλσο ρξεηάδεηαη λα απνζηέιινπλ παθέηα ζε απηνχο πνπ επηρεηξνχλ λα ζπλδεζνχλ καδί ηνπο, ηα νπνία φκσο πξνέξρνληαη ζηελ πξαγκαηηθφηεηα απφ ηνλ eth2 (γηα πεξηζζφηεξα ζρεηηθά κε ηα honeypots βι. 1.2 θαη Κεθάιαην 3). Απφ ηελ άιιε κεξηά ν πξνζαξκνγέαο eth1 ρξεζηκεχεη σο δηεπαθή απνκαθξπζκέλεο δηαρείξηζεο ηνπ εμππεξεηεηή. Μέζσ απηνχ ζπλδεφκαζηε ζηνλ ππνινγηζηή κε ρξήζε ησλ ππεξεζηψλ πνπ θηινμελεί (π.ρ. ssh, mysql, apache) θαη δίλνπκε ηηο απαξαίηεηεο εληνιέο γηα εγθαηάζηαζε πξνγξακκάησλ, επηζθφπεζε θαηαγεγξακκέλσλ δεδνκέλσλ θ.α. Ο eth1 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 13

15 απνηειεί ην θχξην κέζν επηθνηλσλίαο ηνπ εμππεξεηεηή κε ην Γηαδίθηπν, ελψ ν eth2 ρξεζηκνπνηείηαη απνθιεηζηηθά γηα ηε ιήςε παθέησλ ηνπ darknet. Η δηαδηθηπαθή θίλεζε ηνπ eth1 αιιά θαη φισλ ησλ δηεπζχλζεσλ ηνπ παξαγσγηθνχ δηθηχνπ (subnet A) αλαπαξίζηαηαη ζηελ εηθφλα κέζσ ηνπ traffic B. Αλ θαη ηα πεξηερφκελά ηεο δελ καο απαζρνινχλ ζηα πιαίζηα ηεο εξγαζίαο, ε αλάιπζε ηεο θίλεζεο ηνπ subnet A είρε κεξηθά ελδηαθέξνληα απνηειέζκαηα πνπ πεξηγξάθνληαη ζην Κεθάιαην Honeypots Σα Honeypots ρσξίδνληαη ζε δχν κεγάιεο θαηεγνξίεο: α) high interaction θαη β) low interaction honeypots. ε θάζε πεξίπησζε ρξεζηκνπνηνχληαη πξνθεηκέλνπ λα ζπγθεληξψζεη έλαο αλαιπηήο πεξηζζφηεξα δεδνκέλα γηα ηηο απεηιέο πνπ εκθαλίδνληαη ζην δηαδίθηπν. Η θεληξηθή ηδέα είλαη ε ρξήζε ελφο ή πεξηζζνηέξσλ ππνινγηζηψλ πνπ πξνζνκνηψλνπλ βαζηθέο ππεξεζίεο (web, ftp, ssh, θ.α.) ή αθφκα θαη νιφθιεξα ιεηηνπξγηθά ζπζηήκαηα κε αληηθεηκεληθφ ζθνπφ ηελ πξνζέιθπζε θαθφβνπισλ ρξεζηψλ θαη ηελ θαηαγξαθή ηεο δξαζηεξηφηεηαο ηφζν απηψλ φζν θαη άιισλ θαθφβνπισλ πξνγξακκάησλ φπσο είλαη ηα worms θαη trojans, ηα νπνία απηελεξγνχλ θαη δελ απαηηνχλ απεπζείαο ρεηξηζκφ απφ θάπνηνλ άλζξσπν. Μία άιιε δηαθνξνπνίεζε πνπ κπνξεί λα γίλεη είλαη κεηαμχ θπζηθψλ θαη εηθνληθψλ honeypots. Σα θπζηθά honeypots είλαη πξαγκαηηθνί απηνηειείο ππνινγηζηέο πνπ ππάξρνπλ κέζα ζην δίθηπν θαη επνκέλσο έρνπλ ηελ δηθή ηνπο IP, ελψ ηα εηθνληθά είλαη πξνζνκνηψζεηο πνπ γίλνληαη απφ θάπνηνλ ππνινγηζηή, ν νπνίνο έηζη κπνξεί λα «θηινμελεί» πεξηζζφηεξα απφ έλα honeypots. ηα θπζηθά, νη αλαιπηέο είλαη αλαγθαζκέλνη λα εγθαηαζηήζνπλ ζην θάζε έλα μερσξηζηά απφ έλα ιεηηνπξγηθφ ζχζηεκα θαη δηάθνξα πξνγξάκκαηα ππεξεζίεο, ζηα νπνία ζέινπλ λα κειεηήζνπλ θαη λα θαηαγξάςνπλ ηα ηξσηά ζεκεία ηνπο. ηα εηθνληθά ε δνπιεηά ησλ αλαιπηψλ είλαη πην εχθνιε, θαζψο κπνξνχλ ζε έλα κφλν ππνινγηζηή λα νξίζνπλ ζρεηηθά γξήγνξα πνιιαπιά honeypots κε δηαθνξεηηθέο πξνζσπηθφηεηεο θαη ζπκπεξηθνξέο ζην θάζε έλα. Η ηερληθή απηή ρξεζηκνπνηείηαη ζπλήζσο επηπξφζζεηα κε ηε ιεηηνπξγία ελφο NIDS (Network Intrusion Detection System). Απηφ ζπκβαίλεη επεηδή έλα NIDS απφ κφλν ηνπ, δελ είλαη αξθεηφ γηα λα αλαγλσξίζεη νξηζκέλεο πην «έμππλεο» ηερληθέο επίζεζεο θαη λα δηαρσξίζεη ηα σθέιηκα alerts απφ απηά πνπ είλαη false positives High interaction Σα high interaction είλαη θαλνληθέο ππνινγηζηηθέο κεραλέο πνπ πξνζθέξνπλ πιήξε αιιειεπίδξαζε κε ηνπο επηηηζέκελνπο θαη γηα απηφ ππάξρεη πνιχ κεγάιε πηζαλφηεηα λα εθηεζνχλ, δειαδή λα κνιπλζνχλ απφ ηνχο ή worms θαη κε απηφλ ηνλ ηξφπν ν έιεγρνο ηνπ ππνινγηζηή honeypot λα πέζεη ζηα ρέξηα ηνπ επηηηζέκελνπ. Απηή θπζηθά είλαη κία δπζάξεζηε θαηάζηαζε πνπ πξέπεη λα απνθεπρζεί. Δηδηθά γηα απηφλ ηνλ ζθνπφ ν δηαρεηξηζηήο πξέπεη λα απνθαζίζεη θαη λα ειέγμεη ηνλ βαζκφ δηαδξαζηηθφηεηαο ησλ honeypots. Σν δεηνχκελν είλαη ε δηαδξαζηηθφηεηα λα κελ είλαη πνιχ ρακειή γηαηί έηζη ζα κεησζεί ε απνηειεζκαηηθφηεηα ηνπ honeypot, νχηε φκσο λα είλαη πνιχ πςειή γηαηί ηφηε ν ππνινγηζηήο θηλδπλεχεη λα εθηεζεί. Σα θπζηθά παξαπέκπνπλ πάληνηε ζε high interaction γηαηί πξφθεηηαη γηα νιφθιεξεο ππνινγηζηηθέο κεραλέο, ελψ δελ ηζρχεη ην αληίζηξνθν. Μπνξνχκε δειαδή λα έρνπκε high interaction πνπ είλαη εηθνληθά. Δξγαιεία κε ηα νπνία κπνξνχκε λα θαηαζθεπάζνπκε εηθνληθά high interaction honeypots είλαη ην πνιχ δεκνθηιέο VMware θαη ην User Mode Linux. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 14

16 To VMware είλαη έλα πνιχ ηζρπξφ ινγηζκηθφ ζηελ θαηεγνξία ησλ virtualization software, θαζψο επηηξέπεη ηελ πξνζνκνίσζε φισλ ησλ πφξσλ ελφο x86 ζπζηήκαηνο. ηελ πξαγκαηηθφηεηα, ην VMware θάλεη δηακνηξαζκφ φισλ ησλ πφξσλ πνπ είλαη δηαζέζηκνη (ζθιεξφ δίζθν, κλήκε RAM, επεμεξγαζηή, CD/DVD drive, θάξηα δηθηχνπ, θ.α.) κεηαμχ ηνπ ππνινγηζηή θαη ησλ εηθνληθψλ κεραλψλ πνπ θηινμελνχληαη απφ ηνλ ππνινγηζηή απηφλ. Με ην ινγηζκηθφ απηφ καο δίλεηαη ε δπλαηφηεηα ζε έλα κφλν κεράλεκα, λα πξνζνκνηψζνπκε πνιιέο κεραλέο νη νπνίεο είλαη κεηαμχ ηνπο αλεμάξηεηεο θαη κπνξνχλ λα ηξέρνπλ δηαθνξεηηθά πξνγξάκκαηα αθφκα θαη ιεηηνπξγηθά ζπζηήκαηα. Γηα θάζε εηθνληθή κεραλή πνπ ζέινπκε λα θηηάμνπκε εθηεινχκε κία θνξά ην VMware ζηνλ ίδην ππνινγηζηή. Όπσο είλαη θπζηθφ, ν ππνινγηζηήο ν νπνίνο ζα θηινμελεί κία ή πεξηζζφηεξεο εηθνληθέο κεραλέο ζα πξέπεη λα έρεη αξθεηά κεγάιε ππνινγηζηηθή ηζρχ, θπξίσο ζε κλήκε RAM θαη ζε επεμεξγαζηηθή ηζρχ, πξνθεηκέλνπ λα αληαπεμέιζεη ζηηο απμεκέλεο απαηηήζεηο πνπ ζέηεη θάζε κία απφ απηέο. Σν User-Mode Linux είλαη κία εθαξκνγή πνπ επηηξέπεη ζε έλαλ ππνινγηζηή κε ιεηηνπξγηθφ Linux λα «ηξέμεη» πνιιά εηθνληθά Linux ιεηηνπξγηθά ζπζηήκαηα. Κάζε εηθνληθφ ζχζηεκα είλαη κία λέα δηεξγαζία πνπ εθηειείηαη ζην user space θαη επεηδή είλαη αλεμάξηεην απφ ην πεξηβάιινλ εθηέιεζήο ηνπ παξέρεη πςειή αζθάιεηα ζην ζχζηεκα πνπ ην θηινμελεί. Σν κεηνλέθηεκά ηνπ είλαη φηη κπνξεί λα πξνζνκνηψζεη κφλν ζπζηήκαηα Linux, ελψ είλαη πηζαλφ έλαο αλαιπηήο λα επηζπκεί λα ρξεζηκνπνηήζεη honeypots κε ιεηηνπξγηθά δηαθνξεηηθά απφ Linux. Σα high interaction δελ απνηεινχλ αληηθείκελν κειέηεο απηήο ηεο εξγαζίαο. Γηα πεξηζζφηεξεο πιεξνθνξίεο κπνξείηε λα ζπκβνπιεπηείηε ην βηβιίν Virtual Honeypots: From Botnet Tracking to Intrusion Detection ηνπ Niels Provos θαη ηνπ Thorsten Holz ή λα αθνινπζήζεηε ηνπο παξαθάησ ζπλδέζκνπο: Low interaction Σν βαζηθφ ραξαθηεξηζηηθφ ησλ low interaction είλαη φηη παξέρνπλ ζηνλ επηηηζέκελν νξηζκέλε πξφζβαζε θαη γηα απηφ δελ κπνξεί ν ππνινγηζηήο πνπ ηα θηινμελεί λα εθηεζεί ζηνλ επηηηζέκελν. Απηφο είλαη θαη ν ιφγνο πνπ ηα low interaction δελ είλαη θαηάιιεια γηα ηνλ εληνπηζκφ ησλ zero-day exploits, δειαδή γηα λα αλαθαιχςνπλ έλα εληειψο θαηλνχξην ηξσηφ ζεκείν ζε κία ππεξεζία ή έλα ιεηηνπξγηθφ ζχζηεκα. Η θχξηα ρξεζηκφηεηά ηνπο είλαη γηα ηνλ εληνπηζκφ ήδε γλσζηψλ απεηιψλ θαη ηελ εμαγσγή ζηαηηζηηθψλ γχξσ απφ ηελ ζπρλφηεηα ησλ επηζέζεσλ. Σα low interaction είλαη πην δεκνθηιή έλαληη ησλ high interaction ιφγσ ηεο επθνιίαο ζηελ ρξήζε ηνπο θαη ηνπ ρακεινχ θφζηνπο φζνλ αθνξά ηελ ππνδνκή ζε ππνινγηζηηθέο κεραλέο. Η παξνχζα εξγαζία αζρνιείηαη κε ηε δεκηνπξγία low interaction honeypots, θάλνληαο ρξήζε ηνπ εξγαιείνπ honeyd. Σν honeyd είλαη ινγηζκηθφ αλνηθηνχ θψδηθα πνπ θπθινθνξεί κε άδεηα GPL. Γηα πεξηζζφηεξεο ιεπηνκέξεηεο αλαηξέμηε ζην θεθάιαην 3. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 15

17 ΚΔΦΑΛΑΙΟ 2 2. Πεξηγξαθή ησλ ινγηζκηθώλ πνπ ρξεζηκνπνηήζεθαλ ην θεθάιαην απηφ ζα αλαιπζνχλ φια ηα ινγηζκηθά πνπ ρξεζηκνπνηήζεθαλ γηα ηελ εθπφλεζε απηήο ηεο εξγαζίαο. Οη βαζηθνί άμνλεο πάλσ ζηνπο νπνίνπο ζηεξίρζεθε είλαη ηξεηο θαη πεξηγξάθνληαη θαηά ζεηξά εθηέιεζεο ζηε ζπλέρεηα. Αξρηθά, έγηλε εγθαηάζηαζε ηνπ Snort IDS, ην νπνίν καο δίλεη ηελ δπλαηφηεηα λα θηιηξάξνπκε φια ηα παθέηα πνπ θηάλνπλ ζε έλα ζπγθεθξηκέλν interface θαη έηζη λα δηαρσξίζνπκε θπξίσο κε βάζε ην payload, απηά πνπ αληηζηνηρνχλ ζε θαθφβνπιεο ζπλδέζεηο tcp, udp ή icmp θαη εθείλα ζε απηέο πνπ είλαη θπζηνινγηθέο ή αλακελφκελεο. ηε ζπλέρεηα, ήηαλ απαξαίηεην λα εγθαηαζηήζνπκε έλα εξγαιείν πνπ ζα αλαπαξηζηνχζε κέζσ ελφο web interface φια ηα ζπκβάληα πνπ πξνέθππηαλ απφ ην Snort, πξνθεηκέλνπ λα παξαθνινπζνχκε εχθνια θαη αλά πάζα ζηηγκή φιεο ηηο πιεξνθνξίεο πνπ καο δίλεη ην IDS. Γηα ηε δνπιεηά απηή, ρξεζηκνπνηήζακε ην πην επξέσο γλσζηφ ινγηζκηθφ, ην BASE (Basic Analysis Security Engine). ηελ επφκελε θαη ηειεπηαία θάζε, ζθνπφο καο ήηαλ λα πξνζειθχζνπκε ηε δξάζε θαθφβνπισλ πξνγξακκάησλ θαη λα ηα θαηαγξάςνπκε. Αλαπηχμακε ινηπφλ κεξηθά low interaction honeypots πνπ ζα καο βνεζνχζαλ ζηελ επίηεπμε ηνπ παξαπάλσ ζηφρνπ. Σν ινγηζκηθφ πνπ ρξεζηκνπνηήζακε απηήλ ηε θνξά νλνκάδεηαη honeyd θαη είλαη έλα πξφγξακκα daemon πνπ ζεκαίλεη φηη κπνξεί λα εθηειείηαη ζην παξαζθήλην. ηα ππνθεθάιαηα πνπ αθνινπζνχλ, πεξηγξάθνληαη έλα πξνο έλα ηα εξγαιεία πνπ αλαθέξζεθαλ παξαπάλσ καδί κε νξηζκέλα βνεζεηηθά πξνγξάκκαηα θαη ππεξεζίεο πνπ ήηαλ απαξαίηεηα. Όιεο νη νδεγίεο εγθαηάζηαζεο αθνξνχλ πάληα ζχζηεκα Debian Linux Snort IDS/IPS To Snort αλήθεη ζηελ θαηεγνξία ζπζηεκάησλ IDS/IPS ή αιιηψο IDPS, ζπλδπάδνληαο ραξαθηεξηζηηθά ηφζν απφ IDS (Intrusion Detection System) φζν θαη απφ IPS (Intrusion Prevention System). Σα IPS απνηεινχλ κία επέθηαζε ησλ IDS, επεηδή επηπιένλ απφ ηελ αλάιπζε ηεο θίλεζεο ζε επίπεδν δηθηχνπ ή ζπζηήκαηνο, κπνξνχλ λα εκπνδίζνπλ ή λα ζηακαηήζνπλ κία εηζβνιή φηαλ απηή εληνπηζηεί, απνξξίπηνληαο ηα επηθίλδπλα παθέηα, θάλνληαο reset κία ζχλδεζε ή απνθιείνληαο φιεο ηηο ζπλδέζεηο απφ θάπνηα ζπγθεθξηκέλε IP. Σν ραξαθηεξηζηηθφ απηφ είλαη δηαζέζηκν κέζσ ηεο ιεηηνπξγίαο Inline ε νπνία ππνζηεξίδεηαη θαη απφ ην Snort. Σν Snort αλήθεη επίζεο ζηελ εηδηθή θαηεγνξία ησλ Network IDS, θαζψο έρεη ηελ δπλαηφηεηα λα παξαθνινπζεί ηελ θίλεζε πνιιψλ ππνινγηζηψλ πνπ αλήθνπλ ζε θάπνην δίθηπν αλ ηνπνζεηεζεί θνληά ζε κία δηθηπαθή ζπζθεπή φπσο έλα hub ή έλα switch. Αθξηβψο παξαπάλσ έγηλε αλαθνξά ζε δχν απφ ηηο ηέζζεξηο ιεηηνπξγίεο ηνπ Snort, ηελ Inline ιεηηνπξγία θαη ηελ Network Intrusion Detection System. Δθηφο απφ απηέο ππνζηεξίδεη ηηο ιεηηνπξγίεο Sniffer θαη Packet Logger. ε Sniffer mode, ην πξφγξακκα δηαβάδεη φια ηα παθέηα πνπ πεξλάλε απφ ηε NIC ζηελ νπνία <<αθνχεη>> θαη ηππψλεη ζηελ νζφλε ηηο επηθεθαιίδεο ηνπο ή ηα δεδνκέλα ηνπο ή θαη ηα δχν καδί. ε Packet Logger mode, ην πξφγξακκα έρεη ηε δπλαηφηεηα λα απνζεθεχεη ζην δίζθν ηα παθέηα πνπ δηαβάδεη, έηζη ψζηε λα κπνξεί λα γίλεη αλάιπζε απηψλ νπνηαδήπνηε ζηηγκή ζην κέιινλ. Σν αξρείν θαηαγξαθήο πνπ δεκηνπξγεί ην Snort κπνξεί λα απνζεθεπηεί είηε ζε κνξθή θεηκέλνπ ASCII είηε ζε δπαδηθή κνξθή. ε δπαδηθή κνξθή, ην αξρείν έρεη Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 16

18 κηθξφηεξν κέγεζνο θαη κπνξεί λα δηαβαζηεί ηφζν απφ ην ίδην ην Snort φζν θαη απφ άιια πξνγξάκκαηα πνπ ππνζηεξίδνπλ ηε κνξθή απηή, φπσο ην tcpdump θαη ην ethereal. ηελ εξγαζία καο ρξεζηκνπνηήζακε ην Snort ζε ιεηηνπξγία Network Intrusion Detection System. Γηα πεξηζζφηεξεο πιεξνθνξίεο γχξσ απφ ηηο ππφινηπεο δπλαηφηεηεο ηνπ πξνγξάκκαηνο ζπκβνπιεπηείηε ην εγρεηξίδην ηνπ Snort Δγθαηάζηαζε Snort κε ππνζηήξημε MySQL Όπσο πεξηγξάθεθε ζην θεθάιαην 2.1, ην Snort έρεη ηε δπλαηφηεηα λα απνζεθεχεη ηα ζπκβάληα ζε δπαδηθφ αξρείν. Όηαλ φκσο ν φγθνο ησλ δεδνκέλσλ είλαη πνιχ κεγάινο είλαη ζρεδφλ επηηαθηηθή ε αλάγθε γηα νξγάλσζε ηνπο, θάλνληαο ρξήζε κίαο βάζεο δεδνκέλσλ πνπ ζα ηα πεξηέρεη. Γηα απηφλ ηνλ ζθνπφ ην Snort ππνζηεξίδεη ηελ απεπζείαο εγγξαθή ηνπ ξεχκαηνο εμφδνπ ζε mysql βάζε δεδνκέλσλ. Πξηλ μεθηλήζνπκε ηελ εγθαηάζηαζε ηνπ πξνγξάκκαηνο είλαη απαξαίηεην λα εγθαηαζηήζνπκε νξηζκέλα παθέηα ινγηζκηθνχ : apt-get install libpcap0.8-dev libpcre3-dev flex bison Αλ επηζπκνχκε λα ρξεζηκνπνηήζνπκε κία mysql βάζε δεδνκέλσλ, εγθαζηζηνχκε επηπξφζζεηα ηνλ mysql server θαη client : apt-get install mysql-client-5.0 mysql-server-5.0 libmysqlclient15-dev ηε ζπλέρεηα, κπνξνχκε λα θαηεβάζνπκε απφ ην Γηαδίθηπν ηνλ θψδηθα ηνπ Snort, λα ηνλ απνζεθεχζνπκε ηνπηθά ζηνλ ππνινγηζηή πνπ ζα ην ηνπνζεηήζνπκε θαη έπεηηα λα ην εγθαηαζηήζνπκε. Απφ ηε δηεχζπλζε θαηεβάδνπκε ηνλ πεγαίν θψδηθα ηεο ηξέρνπζαο έθδνζεο snort tar.gz. θαη απνζπκπηέδνπκε ην αξρείν ζηνλ θαηάινγν /usr/src κε ηελ εληνιή : tar zxvf snort tar.gz C /usr/src Δλ ζπλερεία, κεηαβαίλνπκε ζηνλ θαηάινγν /usr/src φπνπ βξίζθνληαη πιένλ ηα αξρεία θψδηθα ηνπ Snort θαη εληνπίδνπκε ην εθηειέζηκν αξρείν configure. Γηα ηελ πιήξε ιίζηα ησλ νξηζκάησλ ηνπ κπνξείηε λα εθηειέζεηε ηελ εληνιή./configure h. Γηα ηηο αλάγθεο ηεο δηθήο καο εγθαηάζηαζεο ε εθηέιεζε ηνπ configure έρεη σο εμήο:./configure --enable-dynamicplugin --with-mysql Σέινο, κέλεη λα θάλνπκε ηελ κεηαγιψηηηζε ηνπ θψδηθα : make install Γηα ηελ ελεξγνπνίεζε ηεο Inline ιεηηνπξγίαο ηνπ Snort ζα πξέπεη λα πξνζζέζνπκε έλα αθφκα φξηζκα ζην configure θαη λα εγθαηαζηήζνπκε, αλ δελ ην έρνπκε θάλεη ήδε, ηελ εθαξκνγή iptables πνπ επηηξέπεη ζην ρξήζηε λα δηαρεηξηζηεί ηνπο πίλαθεο πνπ παξέρνληαη απφ ην Linux kernel firewall. Γηα ηελ εγθαηάζηαζε ηνπ iptables, θαηεβάδνπκε ηνλ πεγαίν θψδηθα απφ ηε δηεχζπλζε Download-185.html θαη ην απνζπκπηέδνπκε ζηνλ θαηάινγν /usr/src/: tar xjvf iptables tar.bz2 -C /usr/src Μεηαβαίλνπκε ζηνλ θαηάινγν πνπ απνζεθεχζακε ηα αξρεία πεγαίνπ θψδηθα θαη εθηεινχκε ηηο δχν παξαθάησ εληνιέο :./configure --enable-libipq make && make install Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 17

19 Μέλεη λα δνχκε πνηα αιιαγή επηθέξεη ην iptables ζηελ εγθαηάζηαζε ηνπ Snort. Σψξα ε εθηέιεζε ηνπ configure αιιάδεη θαη γίλεηαη σο εμήο :./configure --enable-dynamicplugin --with-mysql --enable-inline Έρεη πξνζηεζεί δειαδή ε παξάκεηξνο --enable-inline. Φπζηθά, κεηά γίλεηαη κεηαγιψηηηζε ηνπ Snort, κε ηνλ ίδην ηξφπν φπσο θαη πξνεγνπκέλσο. Αθνχ εθηειέζακε κε επηηπρία φια ηα πξνεγνχκελα βήκαηα, απνκέλεη λα θάλνπκε νξηζκέλεο ξπζκίζεηο. Γεκηνπξγνχκε δχν θαηαιφγνπο κε ηελ εληνιή : mkdir /etc/snort /var/log/snort ηνλ /etc/snort αληηγξάθνπκε ην πεξηερφκελν ηνπ θαηαιφγνπ /usr/src/snort /etc: cd /usr/src/snort /etc cp * /etc/snort/ Ο δεχηεξνο θαηάινγνο /var/log/snort είλαη ν πξνεπηιεγκέλνο θαηάινγνο ζηνλ νπνίν απνζεθεχεη ηα αξρεία εμφδνπ ην Snort. Η πξνεπηινγή απηή δελ κπνξεί λα αιιάμεη. Αλ ζέινπκε νπσζδήπνηε λα απνζεθεχζνπκε ην αξρείν εμφδνπ ζε άιιν θαηάινγν πξέπεη λα ηνλ νξίζνπκε ζηελ γξακκή εληνιψλ θαηά ηελ εθηέιεζε ηνπ πξνγξάκκαηνο, γηα παξάδεηγκα πξνζζέηνπκε ηελ επηινγή: -l./logdir. Γηα ηε ιεηηνπξγία Network Intrusion Detection System, πνιχ ζεκαληηθφ ξφιν παίδεη ην αξρείν πνπ πεξηέρεη ηνπο θαλφλεο κε ηνπο νπνίνπο ε κεραλή ηνπ Snort απνθαζίδεη πνηα παθέηα είλαη χπνπηα θαη πνηα φρη. Σνπο επίζεκνπο θαλφλεο απφ ηελ Sourcefire Vulnerability Research Team, κπνξνχκε λα ηνπο θαηεβάζνπκε θάλνληαο κία δσξεάλ εγγξαθή ζηνλ ηζηνρψξν ηνπ Snort. Γηα λα έρεη θάπνηνο απεπζείαο πξφζβαζε ζηνπο θαλφλεο θαη λα κελ πεξηκέλεη ηξηάληα εκέξεο απφ ηελ πξψηε δεκνζίεπζή ηνπο, ζα πξέπεη λα εγγξαθεί πιεξψλνληαο έλα ρξεκαηηθφ πνζφ εηεζίσο. Αθνχ θαηεβάζνπκε ην αξρείν snortrules-snapshot-current.tar.gz πνπ πεξηέρεη ηνπο ελεκεξσκέλνπο θαλφλεο, ην απνζπκπηέδνπκε θαη απνζεθεχνπκε ηα πεξηερφκελά ηνπ ζηνλ θαηάινγν /etc/snort/. Αλ έρνπκε ζθνπφ λα ρξεζηκνπνηήζνπκε κία mysql βάζε δεδνκέλσλ ηφηε πξέπεη λα θαηαζθεπάζνπκε ην ζρήκα ηεο βάζεο θαη έλαλ ρξήζηε κε ηα θαηάιιεια δηθαηψκαηα πξφζβαζεο ζε απηήλ. πλδεφκαζηε αξρηθά ζηνλ mysql server: mysql -u root pmysqlpassword, φπνπ root o δηαρεηξηζηήο πνπ δηαζέηεη φια ηα δηθαηψκαηα θαη mysqlpassword ν θσδηθφο ηνπ. Γεκηνπξγνχκε ινηπφλ, κία βάζε κε φλνκα snort θαη έλαλ ρξήζηε πνπ ζα ηε δηαρεηξίδεηαη κε φλνκα snort_user θαη ηνπ παξαρσξνχκε πιήξε δηθαηψκαηα γηα ηε βάζε απηή: mysql> create database snort; mysql> grant all privileges on snort.* to identified by 'snortpass';, φπνπ snortpass ν θσδηθφο ηνπ ρξήζηε snort_user. mysql> exit; Έπεηηα, θαηαζθεπάδνπκε ην ζρήκα ηεο βάζεο έηζη φπσο απηφ ππάξρεη ζηνλ θαηάινγν φπνπ απνζπκπηέζακε ηα αξρεία ηνπ Snort: mysql -D snort -u snort_user -psnortpass < /usr/src/snort /schemas/create_mysql Σέινο, απνκέλεη λα ηξνπνπνηήζνπκε θαηάιιεια ην αξρείν ξπζκίζεσλ ηνπ Snort /etc/snort/snort.conf : Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 18

20 Πξψηα, βξίζθνπκε ηελ γξακκή ζηελ νπνία δειψλεηαη ην home network: var HOME_NET any θαη ηελ αιιάδνπκε ψζηε ζηε ζέζε ηνπ any λα ππάξρεη ε IP δηεχζπλζε ηνπ ηνπηθνχ δηθηχνπ ζε κνξθή CIDR, γηα παξάδεηγκα: "var HOME_NET /24". ηε ζπλέρεηα, βξίζθνπκε ηε γξακκή φπνπ νξίδεηαη ην κνλνπάηη ησλ θαλφλσλ: var RULE_PATH../rules" θαη ηελ αιιάδνπκε ψζηε λα γξάθεη: "var RULE_PATH./rules. Αλ ζέινπκε λα απνζεθεχνπκε ζην δίζθν ηα παθέηα πνπ δηαβάδεη ην Snort, κπνξνχκε λα ρξεζηκνπνηήζνπκε ζηε γξακκή εληνιψλ ηελ επηινγή - b φηαλ εθηεινχκε ην πξφγξακκα ή λα πξνζζέζνπκε ζην αξρείν ηελ γξακκή output log_tcpdump: snort.log. Σν snort.log ζα είλαη ην πξφζεκα ηνπ νλφκαηνο ηνπ αξρείνπ πνπ ζα δεκηνπξγεζεί. Η θαηάιεμή ηνπ ζα είλαη ην Unix timestamp ζε δεπηεξφιεπηα. Αλ ρξεζηκνπνηνχκε κία βάζε δεδνκέλσλ ηφηε πξνζζέηνπκε κία γξακκή ζην αξρείν ξπζκίζεσλ, αλεμάξηεηα απφ ηελ πξνεγνχκελε πεξίπησζε, πνπ πεξηέρεη ηηο πιεξνθνξίεο γηα ηε βάζε απηή: output database: log, mysql, user=snort_user password=snortpass dbname=snort host=localhost. Έλα παξάδεηγκα εθηέιεζεο ηνπ Snort ζε ιεηηνπξγία Network Intrusion Detection System αθνινπζεί παξαθάησ: snort -c /etc/snort/snort/conf -i eth2, ην πξψην φξηζκα είλαη ην κνλνπάηη φπνπ βξίζθεηαη ην αξρείν ξπζκίζεσλ θαη ην δεχηεξν ην interface απφ φπνπ ην πξφγξακκα ζα βιέπεη ηελ θίλεζε ηνπ δηθηχνπ. ηε δηθή καο πεξίπησζε απηφ ην interface ήηαλ ην eth Βειηίσζε ηεο απόδνζεο ηνπ Snort κε barnyard2 Παξάιιεια κε ηελ δηαδηθαζία αλάιπζεο ηεο δηθηπαθήο θίλεζεο, ίζσο πεξηζζνηέξσλ ηνπ ελφο ππνινγηζηή, ην Snort είλαη επηθνξηηζκέλν θαη κε ηελ εγγξαθή ηεο εμφδνπ ρξεζηκνπνηψληαο έλαλ αξγφ ηξφπν απνζήθεπζεο φπσο είλαη κία βάζε δεδνκέλσλ. ε απηφ ην θεθάιαην ζα πεξηγξάςνπκε έλαλ ηξφπν κε ηνλ νπνίνλ κπνξνχκε λα κεηψζνπκε ην θφξην εξγαζίαο ηνπ Snort φζνλ αθνξά ηε δηαδηθαζία απνζήθεπζεο, έηζη ψζηε ην πξφγξακκα λα μνδεχεη φζν ην δπλαηφλ πεξηζζφηεξνπο πφξνπο γηα επεμεξγαζία ησλ παθέησλ, πνπ είλαη ην δεηνχκελν. Πξέπεη λα μεθαζαξίζνπκε φηη ζα εμαθνινπζνχκε λα ρξεζηκνπνηνχκε θάπνηα βάζε δεδνκέλσλ, αιιά δε ζα είλαη ην Snort απηφ πνπ ζα αλαιάβεη ηελ εγγξαθή ησλ απνηειεζκάησλ ζε απηήλ. Γηα λα βειηηζηνπνηήζνπκε φζν γίλεηαη πεξηζζφηεξν ηε δηαδηθαζία απνζήθεπζεο, νξίδνπκε ην Snort λα δεκηνπξγεί αξρεία εμφδνπ ζηε δπαδηθή κνξθή unified2. ε unified2 κπνξνχκε λα απνζεθεχζνπκε ηελ πιεξνθνξία πνπ πεξηέρεη θάζε παθέην ή ηηο εηδνπνηήζεηο πνπ παξάγεη ην Snort ή θαη ηα δχν καδί. Δκείο ζα ρξεζηκνπνηήζνπκε ηελ ηξίηε επηινγή. Βεβαησλφκαζηε φηη ζην αξρείν ξπζκίζεσλ ηνπ Snort /etc/snort/snort.conf δελ ππάξρεη θακία γξακκή πνπ λα πξνζδηνξίδεη ηελ έμνδν γηα ην πξφγξακκα απηφ θαη ηφηε κπνξνχκε λα πξνζζέζνπκε ην εμήο: output unified2: filename data.log, limit 128 ηελ παξαπάλσ δήισζε ην data.log είλαη ην πξφζεκα ηνπ αξρείνπ πνπ παξάγεηαη θαη ε θαηάιεμή ηνπ ζα είλαη ην Unix timestamp. Σν limit 128 νξίδεη ην κέγηζην κέγεζνο πνπ κπνξεί λα έρεη ην αξρείν θαη ην νπνίν είλαη 128 MB. Μφιηο μεπεξαζηεί απηφ ην φξην, ην πξφγξακκα ζα δεκηνπξγήζεη έλα λέν αξρείν, πνπ ζα δηαθέξεη κφλν ζην timestamp, γηα λα ζπλερίζεη ζε απηφ ηελ απνζήθεπζε ησλ δεδνκέλσλ. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 19

21 Δθφζνλ δε ζα ρξεζηκνπνηήζνπκε ην plugin ηνπ Snort γηα ηε δηαρείξηζε κίαο βάζεο δεδνκέλσλ, ζα κπνξνχζακε λα αθαηξέζνπκε ηελ επηινγή --with-mysql απφ ηελ εθηέιεζε ηνπ αξρείνπ configure ζηελ εγθαηάζηαζε ηνπ Snort αλ θαη απηφ δελ επεξεάδεη ην ηειηθφ απνηέιεζκα. Ξεθηλάκε ηελ εγθαηάζηαζε ηνπ ινγηζκηθνχ barnyard2 πνπ ζα αλαιάβεη ηελ αλάγλσζε ησλ αξρείσλ ηχπνπ unified2 ηνπ Snort θαη ηελ εγγξαθή ησλ πεξηερνκέλσλ ηνπο ζε κία mysql βάζε. Καηεβάδνπκε ηνλ πεγαίν θψδηθα απφ ηε δηεχζπλζε θαη απνζπκπηέδνπκε ην αξρείν ζηνλ θαηάινγν /usr/src. Μεηαβαίλνπκε ζηνλ θαηάινγν κε ηα αξρεία ηνπ πξνγξάκκαηνο θαη εθηεινχκε ηηο παξαθάησ εληνιέο: configure --with-mysql make && make install ηε ζπλέρεηα, αληηγξάθνπκε ην αξρείν ξπζκίζεσλ ζηνλ θαηάινγν /etc/snort: cp etc/barnyard2.conf /etc/snort Απνκέλνπλ ιίγεο ηξνπνπνηήζεηο ζην αξρείν ξπζκίζεσλ /etc/snort/ barnyard2.conf. Βξίζθνπκε ηε γξακκή κε ηε θξάζε config hostname: thor θαη αληηθαζηζηνχκε ηε ιέμε thor κε ηε ιέμε localhost. ηελ ακέζσο επφκελε γξακκή ειέγρνπκε ην interface λα είλαη ην ίδην κε απηφ ζην νπνίν <<αθνχεη>> ην Snort. Δπίζεο, ζηγνπξεπφκαζηε φηη νη δχν γξακκέο πνπ αιιάμακε πξνεγνπκέλσο είλαη έμσ απφ ζρφιηα. Καηφπηλ, πξνζζέηνπκε κία γξακκή πνπ πεξηέρεη ηηο πιεξνθνξίεο γηα ηε βάζε δεδνκέλσλ ζηελ νπνία ζα γξάθεη ην barnyard2: output database: log, mysql, user=snort_user password=snortpass dbname=snort host=localhost Όιεο νη απαξαίηεηεο ξπζκίζεηο έρνπλ ηψξα νινθιεξσζεί. Αθνινπζεί έλα παξάδεηγκα εθηέιεζεο ηνπ barnyard2 κε ηα απαξαίηεηα νξίζκαηα γξακκήο εληνιψλ: barnyard2 c /etc/snort/barnyard2.conf d /var/log/snort f snort.log Η πξψηε παξάκεηξνο c /etc/snort/barnyard2.conf δείρλεη ζην αξρείν ξπζκίζεσλ ηνπ πξνγξάκκαηνο, ε δεχηεξε d /var/log/snort ζηνλ θαηάινγν φπνπ βξίζθνληαη ηα αξρεία εμφδνπ ηνπ Snort θαη ε ηξίηε f snort.log δειψλεη φηη ηα αξρεία απηά μεθηλνχλ κε ην πξφζεκα snort.log. Δίλαη αξθεηά ζχλεζεο ζηνλ θαηάινγν /var/log/snort λα ππάξρνπλ πεξηζζφηεξα απφ έλα αξρεία, αλ γηα παξάδεηγκα έρνπκε εθηειέζεη ην Snort πεξηζζφηεξεο απφ κία θνξέο. Αλ ηξέμνπκε ινηπφλ ην barnyard2 κε ηνλ παξαπάλσ ηξφπν, ηφηε ζα μεθηλήζεη λα δηαβάδεη έλα έλα φια ηα αξρεία θαη λα ηα γξάθεη ζηε βάζε. Αλ δε ζέινπκε λα ζπκβεί απηφ, κπνξνχκε είηε λα κεηαθηλήζνπκε ηα αλεπηζχκεηα αξρεία ζε έλαλ δηαθνξεηηθφ θαηάινγν είηε λα δειψζνπκε ζε έλα αξρείν κε φλνκα barnyard.waldo ην ζπγθεθξηκέλν αξρείν ην νπνίν ζέινπκε λα δηαβάζεη ην barnyard2. To barnyard.waldo είλαη έλα απιφ αξρείν θεηκέλνπ κε αθξηβψο ηέζζεξηο γξακκέο φπσο θαίλεηαη παξαθάησ: /var/log/snort snort.log <ν δεθαςήθηνο αξηζκφο πνπ απνηειεί ην timestamp ηνπ αξρείνπ> 0 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 20

22 Η πξψηε γξακκή πεξηέρεη ηνλ θαηάινγν κε ηα αξρεία ηνπ Snort, ε δεχηεξε ην πξφζεκα ηνπ αξρείνπ, ε ηξίηε ηελ θαηάιεμε πνπ είλαη θαη ην αλαγλσξηζηηθφ ηνπ θαη ε ηειεπηαία ηνλ αξηζκφ κεδέλ. Σψξα, θαηά ηελ εθηέιεζε ηνπ barnyard2 πξέπεη λα πξνζδηνξίζνπκε ζηελ γξακκή εληνιψλ ην κνλνπάηη φπνπ βξίζθεηαη ην αξρείν barnyard.waldo. Αο ππνζέζνπκε φηη ην κνλνπάηη απηφ είλαη ην /var/log/snort/barnyard.waldo. Αθνινπζεί παξάδεηγκα εθηέιεζεο: barnyard2 c /etc/snort/barnyard2.conf d /var/log/snort f snort.log w /var/log/snort/barnyard.waldo Σν ζρήκα ηεο βάζεο δεδνκέλσλ γηα ην Snort Μέζα ζηνπο θαηαιφγνπο ηεο εγθαηάζηαζεο ηνπ Snort ππάξρεη θαη ην βαζηθφ ζρήκα γηα ηε βάζε δεδνκέλσλ πνπ ρξεζηκνπνηεί. Οιφθιεξν ην ζρήκα θαίλεηαη ζηελ παξαθάησ εηθφλα: Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 21

23 Δηθόλα 2: Οιόθιεξν ην ζρήκα γηα ηε βάζε δεδνκέλσλ ηνπ Snort. Οη ιεπθνί πίλαθεο απνηεινχλ ην βαζηθφ ζρήκα ελψ νη εθείλνη κε θίηξηλν ρξψκα είλαη επηπιένλ θαη δελ πεξηιακβάλνληαη ζην sql script γηα ηε δεκηνπξγία ηεο βάζεο. Γηα ηε ιεηηνπξγία άιισλ πξνγξακκάησλ ζπκπιεξσκαηηθψλ ηνπ Snort φπσο ην BASE αξθνχλ κφλν νη βαζηθνί πίλαθεο. ε επφκελν θεθάιαην φπνπ ζα πεξηγξαθνχλ ζπγθεθξηκέλα mysql queries πάλσ ζηε βάζε, γίλεηαη ρξήζε ηνπ επηπιένλ πίλαθα protocols. Η επηπιένλ ζπζρέηηζε ηνπ πίλαθα iphdr κε ηνλ protocols πξνζθέξεη εχθνιε αληηζηνίρηζε ηνπ θάζε alert πνπ εκθαλίδεηαη, κε ην πξσηφθνιιν επηπέδνπ 3 θαη 4 TCP, UDP ή ICMP. Υσξίο απηήλ ζα απαηηνχληαλ ε ζπζρέηηζε ηνπ iphdr κε θάζε έλαλ απφ ηνπο tcphdr, udphdr, icmphdr. Μπνξνχκε λα θαηαζθεπάζνπκε ηνλ πίλαθα protocols είηε κεηά απφ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 22

24 ηελ θαηαζθεπή ηνπ βαζηθνχ ζρήκαηνο είηε πξνζζέηνληαο ζην αξρηθφ sql script ηνπ ζρήκαηνο ηνλ παξαθάησ sql θψδηθα: CREATE TABLE protocols ( protocol INT UNSIGNED NOT NULL,proto_name VARCHAR(60) NOT NULL,PRIMARY KEY (protocol)); INSERT INTO protocols (protocol,proto_name) VALUES (1,'ICMP'),(6,'TCP'),(17,'UDP'),(255,'RAW IP'); χκθσλα κε ηνλ θψδηθα, αθνχ δεκηνπξγήζνπκε ηνλ πίλαθα πξνζζέηνπκε ζε απηφλ ηέζζεξηο πιεηάδεο. Κάζε πιεηάδα πεξηέρεη ην φλνκα ην πξσηνθφιινπ θαη ηνλ αλαγλσξηζηηθφ αξηζκφ πνπ αληηζηνηρεί ζε απηφ ζχκθσλα κε ηνλ αληίζηνηρν πίλαθα ηνπ νξγαληζκνχ IANA: 2.2 BASE Μέρξη απηφ ην ζεκείν, έρνπκε εγθαηαζηήζεη θαη εθηειέζεη ην ινγηζκηθφ Snort θαζψο θαη κία mysql βάζε δεδνκέλσλ γηα πην εχθνιε πξνζπέιαζε ησλ απνηειεζκάησλ ηνπ Snort. Κάζε θνξά πνπ ζα ζειήζνπκε λα δνχκε ηα δεδνκέλα πνπ έρνπλ ζπγθεληξσζεί ζηε βάζε, κπνξνχκε πνιχ απιά λα ζπλδεζνχκε κε ηνλ mysqlclient ζηε βάζε snort πνπ δεκηνπξγήζακε θαη εθηειψληαο θαηάιιειεο επεξσηήζεηο λα εμάγνπκε ηηο πιεξνθνξίεο πνπ επηζπκνχκε. Απηή ε πξνζέγγηζε, έρεη ην ζεκαληηθφ πιενλέθηεκα φηη κπνξεί ν θάζε αλαιπηήο λα εμάγεη αλά πάζα ζηηγκή ηα ζπκπεξάζκαηα πνπ απηφο επηζπκεί, φζν πνιχπινθα θη αλ είλαη απηά. Δπηπιένλ φκσο απφ απηφ, ζα ζέιακε λα βιέπνπκε ζε πξαγκαηηθφ ρξφλν κε ηε κνξθή απιψλ δηαγξακκάησλ, νξηζκέλεο απφ ηηο πην ρξήζηκεο θαη ελδηαθέξνπζεο πιεξνθνξίεο ρσξίο λα απαηηείηαη λα εθηεινχκε ζχλζεηεο επεξσηήζεηο, ηα απνηειέζκαηα ησλ νπνίσλ ζα ηππψλνληαλ ζηε κνξθή ιίζηαο ζηελ νζφλε ηνπ ππνινγηζηή. Γηα απηφλ ηνλ ζθνπφ, ζηε ζπλέρεηα ηνπ θεθαιαίνπ ζα εγθαηαζηήζνπκε θαη ζα εθηειέζνπκε ην ινγηζκηθφ Basic Analysis Security Engine (BASE) πνπ παξέρεη κία απινπνηεκέλε δηεπαθή. Η αξρηθή ζειίδα ηνπ BASE, φπσο θαίλεηαη ζηελ εηθφλα 1, παξέρεη γξήγνξε πξφζβαζε ζε πνιιέο δηαθνξεηηθέο θαη ελδηαθέξνπζεο πιεξνθνξίεο γχξσ απφ ηα δεδνκέλα πνπ απνζεθεχεη ην Snort ζηε βάζε δεδνκέλσλ. Κάησ δεμηά ηεο ζειίδαο, παξνπζηάδεηαη πνην πνζνζηφ απφ ην ζχλνιν ησλ ιεθζέλησλ παθέησλ αλήθεη ζε θάζε έλα απφ ηα ηξία πξσηφθνιια TCP, UDP, ICMP. Δηδηθή θαηεγνξία απνηειεί ην Portscan Traffic, φπνπ εθεί δίλεηαη ην πνζνζηφ ησλ παθέησλ πνπ αλεμαξηήησο πξσηνθφιινπ απνηεινχζαλ απφπεηξα ζάξσζεο πνιιψλ ζπξψλ ελφο κεραλήκαηνο. Πάλσ αξηζηεξά, ππάξρνπλ ζχλδεζκνη γηα ηηο ιίζηεο θαηαγξαθήο ησλ παθέησλ πνπ ειήθζεζαλ ηηο ηειεπηαίεο είθνζη ηέζζεξηο ή εβδνκήληα δχν ψξεο, ηηο πην ζπρλέο δηεπζχλζεηο IP πξνέιεπζεο ή πξννξηζκνχ πνπ έρνπλ εκθαληζηεί, γηα ηα πέληε πην ζπρλά είδε εηδνπνηήζεσλ, ηηο πην ζπρλέο ζχξεο πξννξηζκνχ ή πξνέιεπζεο θαη γηα πνιιέο αθφκα θαηεγνξηνπνηήζεηο ησλ παξαπάλσ ζηνηρείσλ. Κάησ αξηζηεξά, δίλνληαη ν αξηζκφο ησλ εηδνπνηήζεσλ, ησλ IP πξνέιεπζεο θαη πξννξηζκνχ, ησλ ζπξψλ πξνέιεπζεο θαη πξννξηζκνχ θαζψο θαη ζχλδεζκνη γηα ηελ απεπζείαο πξνζπέιαζε απηψλ ησλ δεδνκέλσλ. Ο ζχλδεζκνο Graph Alert Data πάλσ θαη δεμηά ζηελ εηθφλα 3, νδεγεί ζε κία άιιε δηεπαθή ηνπ BASE (εηθφλα 4) απφ ηελ νπνία ν ρξήζηεο κπνξεί λα εμάγεη εχθνια Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 23

25 ζπγθξηηηθά δηαγξάκκαηα απφ ζπγθεθξηκέλεο ρξνληθέο πεξηφδνπο. Δλδεηθηηθά, κεξηθά απφ ηα δπλαηά δηαγξάκκαηα είλαη ε θαηαλνκή ηνπ αξηζκνχ ησλ εηδνπνηήζεσλ αλά ψξα, εκέξα ή κήλα, ν αξηζκφο εηδνπνηήζεσλ γηα θάζε κία δηεχζπλζε IP πξνέιεπζεο ή πξννξηζκνχ θαη ν αξηζκφο εηδνπνηήζεσλ γηα θάζε ρψξα πξνέιεπζεο ή πξννξηζκνχ ζε παγθφζκην ράξηε θαη ζε απιφ δηάγξακκα κε κπάξεο. Αμηνζεκείσηε είλαη θαη ε δπλαηφηεηα επηινγήο ηεο ρξνληθήο πεξηφδνπ απφ ηελ νπνία ζα εμαρζνχλ ηα γξαθήκαηα. Δηθόλα 3: Η αξρηθή ζειίδα ηνπ BASE. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 24

26 Δηθόλα 4: Η δηεπαθή ηνπ BASE γηα ηελ δεκηνπξγία δηαγξακκάησλ από ηα δεδνκέλα ηεο βάζεο ή θάπνηνπ alert group Δγθαηάζηαζε apache2 κε php5 Σν BASE είλαη κία εθαξκνγή ηζηνχ γξακκέλε ζε γιψζζα php. Απηφ ζεκαίλεη φηη ζα ρξεηαζηνχκε επηπιένλ θαη έλαλ web server κε ππνζηήξημε php γηα λα ηξέρεη ηελ εθαξκνγή. Δπηιέμακε λα εγθαηαζηήζνπκε ινηπφλ, ηνλ server αλνηρηνχ θψδηθα apache2 http. Ο πξψηνο ηξφπνο ζα ήηαλ λα θαηεβάζνπκε ηνλ θψδηθα ηνπ απφ ηελ δηεχζπλζε θαη λα ηνλ κεηαγισηηίζνπκε ηνπηθά ζχκθσλα κε ηηο νδεγίεο πνπ παξέρνληαη. Δλαιιαθηηθά, ζα δείμνπκε πσο κπνξεί λα εγθαηαζηαζεί πνιχ εχθνια κε ηνλ δηαρεηξηζηή παθέησλ APT ελφο debian ζπζηήκαηνο. Δθηεινχκε ηηο δχν παξαθάησ εληνιέο: apt-get install apache2 libapache2-mod-php5 apt-get install php5-gd php5-mysql php-pear Σψξα, παξαηεξνχκε φηη έρεη δεκηνπξγεζεί έλαο λένο θαηάινγνο ζηε ζέζε /var/www. Δθεί πεξηέρεηαη ε αξρηθή ζειίδα ηνπ apache2 θαη εθεί πξέπεη λα ηνπνζεηεζνχλ ηα αξρεία νπνηαζδήπνηε εθαξκνγήο ηζηνχ ζέινπκε λα εθηειέζνπκε. Δπίζεο, φια ηα αξρεία ξπζκίζεσλ γηα ηνλ apache2 βξίζθνληαη ζηνλ θαηάινγν /etc/apache2/. Γηα ηελ δηαρείξηζε ηνπ server ρξεζηκνπνηνχκε ην shell script /etc/init.d/apache2. Γηα ηελ εθθίλεζε, ην ζηακάηεκα θαη ηελ επαλεθθίλεζε εθηεινχκε αληίζηνηρα ηηο παξαθάησ εληνιέο: /etc/init.d/apache2 start /etc/init.d/apache2 stop /etc/init.d/apache2 restart πλήζσο, κεηά ηελ εγθαηάζηαζε ν apache2 ζα εθηειείηαη κεηά απφ θάζε επαλεθθίλεζε ηνπ ππνινγηζηή. Αλ ζέινπκε λα ηνλ αθαηξέζνπκε εθηεινχκε: update rc.d f apache2 remove ην update rc.d δηαρεηξίδεηαη ηα runlevels ησλ πξνγξακκάησλ. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 25

27 Γηα ηε ζπκβαηφηεηα ηεο php κε ηε mysql θαη ηε βηβιηνζήθε γξαθηθψλ gd, πξνζζέηνπκε ζην αξρείν ξπζκίζεσλ /etc/php5/apache2/php.ini ηηο δχν επφκελεο γξακκέο ζην ηέινο ηνπ ηκήκαηνο πνπ νλνκάδεηαη Dynamic extensions : extension=mysql.so extension=gd.so Σειεηψλνληαο κε ηνλ apache2, αλνίγνπκε ην αξρείν /etc/apache2/apache2.conf θαη πξνζζέηνπκε ζην ηέινο ηνπ ηελ γξακκή servername localhost. Καηφπηλ επαλεθθηλνχκε ηνλ apache2 κε ηνλ ηξφπν πνπ αλαθέξζεθε πξνεγνπκέλσο Δγθαηάζηαζε BASE Σν επφκελν βήκα είλαη λα θαηεβάζνπκε ηνλ θψδηθα ηνπ BASE απφ ηε δηεχζπλζε Απνζπκπηέδνπκε ην αξρείν base tar.gz, πνπ είλαη ε ηειεπηαία έθδνζε, ζηνλ θαηάινγν /var/www κε ηελ εληνιή: tar zxvf base tar.gz C /var/www Γηα ηελ ππνζηήξημε νξηζκέλσλ ιεηηνπξγηψλ ηεο δηεπαθήο ηνπ, ρξεηάδεηαη λα εγθαηαζηήζνπκε θάπνηεο βηβιηνζήθεο ηεο php. Απιά εθηεινχκε ηηο παξαθάησ εληνιέο: pear upgrade Mail pear upgrade Mail_Mime pear upgrade pear pear install Image_Canvas pear install Numbers_Roman pear install Numbers_Words pear install Image_Graph Ο θψδηθαο ηνπ BASE θάλεη ρξήζε κίαο δηαζχλδεζεο ηεο php πνπ νλνκάδεηαη adodb γηα ηελ επηθνηλσλία κε ηε βάζε δεδνκέλσλ. Σνλ θψδηθά ηεο ηνλ βξίζθνπκε ζηελ δηεχζπλζε Όπσο θαη πξηλ, απνζπκπηέδνπκε ην adodb511.zip ζηνλ θαηάινγν /var/www: unzip adodb511.zip d /var/www/ Απνκέλνπλ ιίγεο αθφκα ξπζκίζεηο νη νπνίεο ζα γίλνπλ κέζσ ηεο δηεπαθήο ηνπ BASE. ηγνπξεπφκαζηε φηη ν apache2 είλαη ζε ιεηηνπξγία θαη πξνζπειαχλνπκε ηελ ππεξεζία γξάθνληαο ζε έλαλ θπιινκεηξεηή ηε δηεχζπλζε ηελ πξψηε νζφλε, γίλεηαη έιεγρνο γηα ηα δηθαηψκαηα πξνζπέιαζεο ηνπ θαηαιφγνπ /var/www/base Αλ ππάξρνπλ δηθαηψκαηα εγγξαθήο ηφηε απηφκαηα ζην ηέινο ηεο εγθαηάζηαζεο ζα δεκηνπξγεζεί έλα αξρείν ξπζκίζεσλ. Αλ δελ ππάξρνπλ, κπνξνχκε είηε λα αιιάμνπκε ηα δηθαηψκαηα θαη λα ζπλερίζνπκε ηελ εγθαηάζηαζε, είηε λα δεκηνπξγήζνπκε εκείο κε ην ρέξη ην αξρείν ζην ηέινο. ηε δεχηεξε νζφλε, επηιέγνπκε ηε γιψζζα πξνηίκεζεο θαη γξάθνπκε ζην δεχηεξν πεδίν ην κνλνπάηη φπνπ βξίζθνληαη ηα αξρεία ηνπ adodb θαη ην νπνίν είλαη /var/www/adodb. ηελ ηξίηε νζφλε, δίλνπκε ηηο ξπζκίζεηο γηα ηε βάζε δεδνκέλσλ πνπ ζα ρξεζηκνπνηήζνπκε. Δπηιέγνπκε ζην πξψην πεδίν ηνλ ηχπν MySQL. ηα επφκελα πεδία ζπκπιεξψλνπκε δηαδνρηθά ηα ζηνηρεία ηεο βάζεο, φπσο αθξηβψο ηε δεκηνπξγήζακε ζην θεθάιαην 2.1.1: Database Name=snort Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 26

28 Database Host=localhost Database User=snort_user Database Password=snortpass Σν πεδίν Database Port ην αθήλνπκε θελφ ψζηε λα ρξεζηκνπνηεζεί ε πξνεπηιεγκέλε ηηκή. Αλ ζέινπκε λα ρξεζηκνπνηήζνπκε κία δεχηεξε βάζε δεδνκέλσλ ζηελ νπνία ζα θάλνπκε ζπρλά back up ηεο πξψηεο, ηφηε επηιέγνπκε ην checkbox Use archive database θαη ζηα πεδία παξαθάησ ζπκπιεξψλνπκε αληίζηνηρεο πιεξνθνξίεο ηεο δεχηεξεο βάζεο. ηελ ηέηαξηε νζφλε, επηιέγνπκε ην checkbox User Authentication System αλ ζέινπκε λα δεκηνπξγήζνπκε έλαλ δηαρεηξηζηή γηα ηελ εθαξκνγή θαη λα απαηηήζνπκε ν θάζε ρξήζηεο πνπ ζα ηελ ρξεζηκνπνηεί λα ζπλδέεηαη κε έλα username θαη έλα θσδηθφ. Αλ ζέινπκε λα είλαη ειεχζεξε ε πξφζβαζε, απιά αθήλνπκε θελά ηα πεδία θαη πξνρσξάκε ζην επφκελν βήκα. ηελ πέκπηε νζφλε, ρξεηάδεηαη κφλν λα παηήζνπκε ην θνπκπί ηεο θφξκαο Create Base AG πξνθεηκέλνπ λα δεκηνπξγεζνχλ κέζα ζηε βάζε δεδνκέλσλ νξηζκέλνη βνεζεηηθνί πίλαθεο επηπιένλ απφ απηνχο πνπ πεξηέρεη ην ζρήκα ηνπ Snort. Η έθηε θαη ηειεπηαία νζφλε ζα εκθαληζηεί κφλν αλ δελ είρακε νξίζεη δηθαηψκαηα εγγξαθήο ζην θαηάινγν /var/www/base Σν θείκελν πνπ καο δίλεηαη ζηελ νζφλε πξέπεη λα ην αληηγξάςνπκε ζε έλα αξρείν θεηκέλνπ κε φλνκα base_conf.php, ην νπνίν ζα ην ηνπνζεηήζνπκε ζηνλ θαηάινγν /var/www/base ε απηφ ην ζεκείν ε εγθαηάζηαζε νινθιεξψζεθε θαη κπνξνχκε ηψξα λα ρξεζηκνπνηήζνπκε ηελ εθαξκνγή γξάθνληαο ζηνλ θπιινκεηξεηή μαλά ηε δηεχζπλζε εκεηψλνπκε φηη κέζα απφ ην αξρείν base_conf.php κπνξνχκε λα ηξνπνπνηήζνπκε ζρεδφλ νηηδήπνηε αθνξά ζηελ εγθαηάζηαζε πνπ θάλακε. Γηα παξάδεηγκα ε είζνδνο ζην ζχζηεκα, ζηελ ηέηαξηε νζφλε, εμαξηάηαη απφ ηε κεηαβιεηή $Use_Auth_System πνπ βξίζθεηαη ζηελ αξρή ηνπ base_conf.php. Βάδνπκε ζε απηήλ ηηκή «0» αλ δε ζέινπκε πηζηνπνίεζε ρξεζηψλ, δηαθνξεηηθά ζέηνπκε ηηκή «1». Δπίζεο κπνξνχλ λα ηξνπνπνηεζνχλ ηα ζηνηρεία γηα ηε βάζε δεδνκέλσλ ή αθφκα λα ην ξπζκίζνπκε λα καο ζηέιλεη αλαθνξέο κέζσ κελπκάησλ ειεθηξνληθνχ ηαρπδξνκείνπ. Σν BASE παξέρεη επίζεο ηε δπλαηφηεηα πξνβνιήο γξαθεκάησλ πνπ ζπζρεηίδνπλ ηηο ρψξεο πξνέιεπζεο ή πξννξηζκνχ ησλ εηδνπνηήζεσλ κε ην πιήζνο ηνπο. Δπίζεο είλαη δηαζέζηκε ε απεηθφληζε ησλ ρσξψλ ζηνλ παγθφζκην ράξηε κε πξνβνιή ηνπ πνζνζηνχ επί ησλ ζπλνιηθψλ εηδνπνηήζεσλ πνπ δέρηεθαλ ή πξνθάιεζαλ. Απηέο νη ιεηηνπξγίεο δελ είλαη άκεζα δηαζέζηκεο κε ηε βαζηθή εγθαηάζηαζε ηνπ BASE θαη απαηηνχλ νξηζκέλεο επηπιένλ ελέξγεηεο, θπξίσο γηα ηελ θάιπςε εμαξηήζεσλ. Μία απφ απηέο είλαη ε εγθαηάζηαζε ησλ βηβιηνζεθψλ PEAR ηεο php Image_Graph θαη Image_Canvas πνπ είδακε παξαπάλσ. Σν επφκελν βήκα είλαη ε πξνζζήθε ησλ ραξηψλ ζηνλ θαηάινγν ησλ πξναλαθεξζέλησλ βηβιηνζεθψλ. Οη ράξηεο βξίζθνληαη ζηνλ θαηάινγν εγθαηάζηαζεο ηνπ BASE, θαη πξέπεη λα ηνπο κεηαθέξνπκε κε ηελ εληνιή: cp /var/www/base-1.4.4/world_map.* /usr/share/php/image/graph/images/maps/ ηε ζπλέρεηα πξέπεη λα εγθαηαζηήζνπκε ην πξφγξακκα GeoIP, ην νπνίν ρξεζηκνπνηεί ην BASE γηα λα αληηζηνηρίζεη κηα δεδνκέλε IP ζηελ ρψξα πνπ αλήθεη. Σν GeoIP είλαη αξθεηά ρξήζηκν γηαηί κπνξεί λα εθηειεζηεί θαη εθηφο ηνπ BASE γηα ηνλ ίδην ζθνπφ, αλ ζέιεη θαλείο λα κάζεη ηελ πξνέιεπζε κηαο IP. Αξρηθά θαηεβάδνπκε ηνλ ζπκπηεζκέλν θψδηθα ηνπ πξνγξάκκαηνο απφ ηε δηεχζπλζε: θαη έπεηηα απνζπκπηέδνπκε θαη εγθαζηζηνχκε: tar xjvf GeoIP.tar.gz /usr/src cd /usr/src/geoip Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 27

29 ./configure make make check make install Μεηά πξέπεη λα εγθαηαζηήζνπκε ηελ Perl δηεπαθή ηνπ GeoIP ηελ νπνία θαηεβάδνπκε απφ ην: ελψ αθνινπζεί ε θιαζζηθή δηαδηθαζία εγθαηάζηαζεο: tar xjvf Geo-IP-1.33.tar.gz /usr/src cd /usr/src/geo-ip-1.33 perl Makefile.PL make make test make install Καηφπηλ πξέπεη λα θνξησζνχλ νξηζκέλα modules πνπ απαηηνχληαη γηα ηε ζσζηή ιεηηνπξγία ηνπ GeoIP θαζψο θαη λα εγθαηαζηαζoχλ ηα πξνγξάκκαηα Awstats θαη GeoIPfree. Αξρηθά ζα βξνχκε ην αξρείν GeoIP.dat πνπ δεκηνπξγεί ην GeoIP θαηά ηελ εγθαηάζηαζή ηνπ: find / -name GeoIP.dat Η παξαπάλσ εληνιή ζα καο επηζηξέςεη ηε δηαδξνκή ηνπ αξρείνπ (έζησ φηη είλαη /usr/local/share/geoip φπσο ζηα πεξηζζφηεξα ζπζηήκαηα). Υξεηαδφκαζηε ηε δηαδξνκή γηα λα θνξηψζνπκε/αλαλεψζνπκε θάπνηα plug-ins κέζσ ησλ εληνιψλ: LoadPlugin="geoip GEOIP_STANDARD /usr/local/share/geoip/geoip.dat" LoadPlugin="geoip_city_maxmind GEOIP_STANDARD /usr/local/share/geoip/geolitecity.dat" LoadPlugin="geoip_org_maxmind GEOIP_STANDARD /usr/local/share/geoip/geoipasnum.dat" Αθνινπζεί ε εγθαηάζηαζε ηνπ GeoIPfree. Μπνξνχκε λα ην θαηεβάζνπκε απφ ην: ελψ ζηε ζπλέρεηα ην εγθαζηζηνχκε θαη ην θνξηψλνπκε: tar xjvf Geo-IPfree-0.2.tar.gz /usr/src cd /usr/src/geo-ipfree-0.2 perl Makefile.PL make make test make install LoadPlugin="geoipfree" ηε ζπλέρεηα εγθαζηζηνχκε ην Awstats. Ο θψδηθάο ηνπ είλαη δηαζέζηκνο ζηε δηεχζπλζε: Σν Awstats πξέπεη λα εγθαηαζηαζεί ζην θάθειν /usr/local/awstats, δηαθνξεηηθά ζα εκθαληζηεί κήλπκα θαηά ηελ εγθαηάζηαζε πνπ πξνεηδνπνηεί γηα ηπρφλ αιιαγέο πνπ κπνξεί λα ρξεηαζηνχλ ζε Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 28

30 εμαξηψκελα πξνγξάκκαηα. Δκείο ζα αθνινπζήζνπκε ηνλ ελδεδεηγκέλν ηξφπν εγθαηάζηαζεο κεηνλνκάδνληαο ηνλ θάθειν εμαγσγήο ζε awstats: tar xjvf awstats-6.7.tar.gz /usr/local mv /usr/local/awstats-6.7 awstats cd /usr/local/awstats/tools perl awstats_configure.pl ην κήλπκα πνπ ζα εκθαληζηεί γηα δεκηνπξγία λένπ πξνθίι πξέπεη λα εηζάγνπκε ηελ επηινγή «y» (yes), θαηφπηλ λα νλνκάζνπκε ην λέν πξνθίι (π.ρ. base-1.4.4) θαη λα δψζνπκε σο δηαδξνκή ην: /etc/awstats. Θα ρξεηαζηεί λα παηήζνπκε ην πιήθηξν ENTER φπνπ δεηείηαη γηα λα νινθιεξσζεί ε εγθαηάζηαζε. Αθνινχζσο κπνξεί λα ρξεηαζηεί λα θάλνπκε νξηζκέλεο αιιαγέο ζην αξρείν ξπζκίζεσλ ηνπ λένπ καο πξνθίι (έζησ awstats.base conf) πνπ βξίζθεηαη ζηε δηαδξνκή πνπ δψζακε πξνεγνπκέλσο, δειαδή /etc/awstats/. Οη αιιαγέο πνπ θάλακε ζην δηθφ καο ζχζηεκα πεξηιακβάλνπλ ηελ πξνζζήθε ηεο ηηκήο «base-1.4.4» ζηηο κεηαβιεηέο SiteDomain θαη HostAliases. Δπίζεο ζέζακε ηελ ηηκή ηεο κεηαβιεηήο DirData ζε /usr/local/awstats/data. Έπεηηα πξέπεη λα αιιάμνπκε ηα δηθαηψκαηα ρξήζεο ηνπ θαθέινπ εγθαηάζηαζεο γηα λα είλαη πξνζβάζηκνο απφ ηνλ apache: chmod 775 /usr/local/awstats ηε ζπλέρεηα πξέπεη λα δεκηνπξγήζνπκε έλα λέν θάθειν γηα ηα αξρεία θαηαγξαθήο: mkdir /usr/local/awstats/data Σψξα ζα δεκηνπξγήζνπκε ηε βάζε δεδνκέλσλ ησλ ρσξψλ ζε κνξθή ASCII: cd /usr/local/share/perl/5.10.0/geo perl ipct2txt.pl ipscountry.dat /var/www/html/ips-ascii.txt Οη νδεγίεο ηνπ BASE ηελ εγθαηάζηαζε ησλ πξνγξακκάησλ έρνπλ ηελ ηειεπηαία εληνιή σο: perl ipct2txt.pl./ipscountry.dat /var/www/html/ips-ascii.txt αιιά κάιινλ πξφθεηηαη γηα ηππνγξαθηθφ ιάζνο, θαζψο είλαη πνιχ πηζαλφ λα δεκηνπξγήζεη έλα θελφ αξρείν αληί γηα ηε βάζε πνπ ρξεηαδφκαζηε. Αθνινχζσο ίζσο ρξεηαζηεί λα θάλνπκε νξηζκέλεο αιιαγέο ζην αξρείν var/www/base /base-conf.php ζε φζεο επηινγέο αθνξνχλ ην GeoIP. ην δηθφ καο αξρείν απνζρνιηάζακε ηελ κεηαβιεηή Geo_IPfree_file_ascii θαη ηεο δψζακε ηελ ηηκή «/var/www/base-1.4.4/ips-ascii.txt». Δπεηδή ε ζσζηή ιεηηνπξγία ηνπ ράξηε θαη ηνπ εληνπηζκνχ ησλ ρσξψλ πξνυπνζέηεη ηε ζσζηή αιιεινζχλδεζε κεηαμχ δηαθνξεηηθψλ πξνγξακκάησλ θαη βηβιηνζεθψλ θαη ηελ θάιπςε αξθεηψλ εμαξηήζεσλ, ν παξαπάλσ νδεγφο κπνξεί λα κελ είλαη αθξηβήο γηα νξηζκέλα ζπζηήκαηα (π.ρ. ιφγσ δηαθνξεηηθψλ δηαδξνκψλ ησλ αξρείσλ εγθαηάζηαζεο) ή λα ρξεηάδνληαη πεξηζζφηεξα βήκαηα. Όπσο θαίλεηαη φκσο θαη απφ ηα απνηειέζκαηα πνπ παξνπζηάδνληαη ζην Κεθάιαην 4, ζην ζχζηεκά καο νη ξπζκίζεηο απηέο ήηαλ νη απαηηνχκελεο. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 29

31 2.3 Honeyd Ο ηξφπνο ρξήζεο θαη νη δπλαηφηεηεο πνπ πξνζθέξεη ην ινγηζκηθφ απηφ ζα παξνπζηαζηνχλ εθηελψο ζην επφκελν θεθάιαην. ε απηήλ ηελ ελφηεηα, ζα δνχκε πσο εγθαζίζηαηαη ζε έλα ζχζηεκα Linux θαη πσο κπνξνχκε λα πξνζζέζνπκε ππνζηήξημε κε κία βάζε δεδνκέλσλ Δγθαηάζηαζε honeyd κε honeycomb plugin Έλα ελδηαθέξνλ plugin πνπ ζα εγθαηαζηήζνπκε καδί κε ην honeyd, είλαη ην honeycomb. Απηφ είλαη έλα ζχζηεκα ην νπνίν παξάγεη απηφκαηα signatures γηα network intrusion detection systems, αλαιχνληαο πξσηφθνιια θαη εληνπίδνληαο patterns ζηελ δηθηπαθή θίλεζε πνπ ζπγθεληξψλνπλ ηα honeypots. Αξρηθά ινηπφλ, δεκηνπξγνχκε έλαλ θαηάινγν ζηνλ νπνίνλ ζα ηνπνζεηήζνπκε ηνλ πεγαίν θψδηθα ησλ πξνγξακκάησλ: mkdir Honeyd Σψξα, κεηαβαίλνπκε ζηνλ θαηάινγν απηφλ θαη θαηεβάδνπκε εθεί ηνλ πεγαίν θψδηθα ησλ honeyd, honeycomb θαη libstree: wget wget wget Καηφπηλ, εγθαζηζηνχκε νξηζκέλα δεπηεξεχνληα παθέηα ινγηζκηθνχ: apt-get install libpcap0.8-dev libdumbnet-dev libevent-dev apt-get install libedit-dev zlib1g-dev Απνζπκπηέδνπκε θαη ηα ηξία αξρεία ζηνλ ίδην θαηάινγν Honeyd φπνπ βξίζθνληαη: tar xvzf honeyd-1.5c.tar.gz tar xvzf honeycomb-0.7.tar.gz tar xvzf libstree tar.gz ηε ζπλέρεηα, εγθαζηζηνχκε έλα-έλα ηα πξνγξάκκαηα μεθηλψληαο απφ ην libstree: cd libstree /configure make && make install Γηα ην honeycomb: cd honeycomb-0.7./configure make && make install Γηα ην honeyd: cd honeyd-1.5c./configure --with-plugins=honeycomb make && make install Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 30

32 Πξνζζέηνπκε δχν symbolic links σο εμήο: ln -s /usr/local/lib/libhoneycomb.so /usr/lib/libhoneycomb.so ln -s /usr/local/lib/libstree.so.0 /usr/lib/libstree.so.0 Σέινο, απνκέλεη λα θαηαζθεπάζνπκε έλα αξρείν ξπζκίζεσλ γηα ην honeyd πνπ ζα νξίδεη ηε ιεηηνπξγία ηνπ θαη ηε ρξήζε ηνπ honeycomb plugin. Γεκηνπξγνχκε ινηπφλ, ην παξαθάησ αξρείν: touch /usr/local/share/honeyd/honeyd.conf, ην /usr/local/share/honeyd/ είλαη ν θαηάινγνο κε ηα αξρεία ηνπ πξνγξάκκαηνο. ηελ πην απιή κνξθή ηνπ, ην αξρείν κπνξεί λα είλαη φπσο παξαθάησ. Γηα πεξηζζφηεξεο ιεπηνκέξεηεο γχξσ απφ ην πεξηερφκελφ ηνπ ζπκβνπιεπηείηε ην θεθάιαην 3. # Example of a simple host template and its binding create template set template personality "Microsoft Windows XP Professional SP1" set template uptime add template tcp port 80 "scripts/iis5.net/main.pl" add template tcp port 22 "sh scripts/test.sh $ipsrc $dport" set template default tcp action reset create default set default default tcp action block set default default udp action block set default default icmp action block bind template # End of honeyd configurations ην ηέινο ηνπ παξαπάλσ αξρείνπ πξέπεη λα πξνζζέζνπκε ηηο ξπζκίζεηο γηα ην honeycomb. Δλψ εμαθνινπζνχκε λα βξηζθφκαζηε ζηνλ θαηάινγν Honeyd πνπ είρακε δεκηνπξγήζεη, εθηεινχκε ηελ αθφινπζε εληνιή: cat honeycomb-0.7/honeyd.cnf >> /usr/local/share/honeyd/honeyd.conf Η εγθαηάζηαζε ηειείσζε εδψ θαη κπνξνχκε λα εθηειέζνπκε ην honeyd. Παξάδεηγκα εθηέιεζεο αθνινπζεί ζην θεθάιαην 3, φπνπ γίλεηαη εθηελέζηεξε πεξηγξαθή γηα ηε ρξήζε ηνπ εξγαιείνπ απηνχ Η βάζε δεδνκέλσλ γηα ην honeyd To honeyd θαηαγξάθεη ηελ θίλεζε πνπ αλαιχεη ζε έλα αξρείν θεηκέλνπ πνπ πξνζδηνξίδεηαη απφ ην ρξήζηε ζηε γξακκή εληνιψλ. ην αξρείν απηφ απνζεθεχνληαη ζε ζσξφ φιεο νη πιεξνθνξίεο ζρεηηθά κε ην ρξφλν εκθάληζεο κίαο tcp, udp ή icmp ζχλδεζεο, κε ηηο IP πξνέιεπζεο θαη πξννξηζκνχ, ηελ ζχξα πξννξηζκνχ θαζψο θαη ηνλ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 31

33 αξηζκφ ησλ bytes πνπ αληαιιάρηεθαλ. ε απηή ηε κνξθή φκσο είλαη πνιχ δχζθνιν γηα έλαλ αλαιπηή λα ζπζρεηίζεη ηα ζπκβάληα θαη λα εμάγεη ζπκπεξάζκαηα ή ζηαηηζηηθά ζηνηρεία. Η κία ιχζε πνπ έρεη είλαη λα θαηαζθεπάζεη shell scripts ή python scripts ηα νπνία ζα επεμεξγάδνληαη ηηο γξακκέο ηνπ αξρείνπ θαηαγξαθήο θαη ζα παξνπζηάδνπλ ηα απνηειέζκαηα. Απηή φκσο είλαη άβνιε πξνζέγγηζε, αθνχ ζα πξέπεη γηα νπνηαδήπνηε εξψηεζε λα θαηαζθεπάδεη έλα script, πνπ ζε νξηζκέλεο πεξηπηψζεηο ζα είλαη πνιχπινθν, θαη λα ειέγρεη γηα ηελ νξζφηεηα ηνπ. Η δεχηεξε πην ηθαλνπνηεηηθή ιχζε είλαη λα κεηαθέξεη ηα δεδνκέλα απφ ην αξρείν ζε κία βάζε δεδνκέλσλ, απφ φπνπ ζα κπνξεί θάλνληαο sql επεξσηήζεηο λα ιάβεη γξήγνξεο απαληήζεηο. Δπηιέμακε λα ρξεζηκνπνηήζνπκε ηελ ηειεπηαία ιχζε γηα ηελ άζθεζή καο θαη ζα δείμνπκε ζηε ζπλέρεηα πσο αθξηβψο επηηπγράλεηαη απηή. Έλα απφ ηα πνιιά εξγαιεία πνπ ζπλδπάδνληαη κε ην honeyd είλαη θαη ην honeyview. Σν ινγηζκηθφ απηφ παξέρεη αθελφο έλα web interface γηα ηελ γξαθηθή απεηθφληζε ησλ δεδνκέλσλ, αθεηέξνπ νξηζκέλα php scripts ηα νπνία κεηαθέξνπλ ηα δεδνκέλα απφ ην αξρείν θαηαγξαθήο ηνπ honeyd ζε κία βάζε δεδνκέλσλ. Θα θάλνπκε ρξήζε κφλν απηψλ ησλ scripts γηαηί καο ελδηαθέξεη θαηά θχξην ιφγν ε βάζε δεδνκέλσλ θαη φρη ε δηεπαθή ηνπ. Γηα λα εθηεινχληαη ηα scripts πνπ αλαθέξζεθαλ παξαπάλσ, πξέπεη λα εγθαηαζηήζνπκε ηελ php-cli κε mysql ππνζηήξημε. Μπνξνχκε λα θαηεβάζνπκε ηνλ θψδηθα ηεο php απφ ηε δηεχζπλζε λα απνζπκπηέζνπκε ην αξρείν θαη λα εθηειέζνπκε ην αξρείν configure σο εμήο: configure --enable-cli \ --disable-safe-mode \ --enable-sigchild \ --with-zlib \ --with-gd \ --with-mysql \ Δλαιιαθηηθά, απφ ηνλ δηαρεηξηζηή παθέησλ ηνπ debian εθηεινχκε: apt-get install php5 php5-cli php5-mysql Πξνρσξάκε ζηελ θαηαζθεπή ηεο βάζεο δεδνκέλσλ. Αλ έρεηε νινθιεξψζεη ηηο ξπζκίζεηο ηνπ θεθαιαίνπ 2.1.1, ηφηε ζα έρεη εγθαηαζηαζεί ζσζηά ν mysql server. Αλ φρη εγθαηαζηήζηε ηνλ κε ηνλ αθφινπζν ηξφπν: apt-get install mysql-client-5.0 mysql-server-5.0 libmysqlclient15-dev Καηεβάδνπκε ηνλ θψδηθα ηνπ honeyview απφ ηε δηεχζπλζε θαη απνζπκπηέδνπκε ην αξρείν. Μεηαβαίλνπκε ζηνλ θαηάινγν bin/ φπνπ βξίζθνληαη φια ηα scripts πνπ ρξεηαδφκαζηε. πκπιεξψλνπκε ην αξρείν dbaccess.conf φπσο παξαθάησ: DB_HOST="localhost" DB_USER="root" DB_PASS="root_password" Η πξψηε γξακκή δειψλεη ηελ ηνπνζεζία ηνπ mysql server, ε δεχηεξε θαη ηξίηε αθνξνχλ ηα ζηνηρεία ελφο εμνπζηνδνηεκέλνπ ρξήζηε ηεο mysql κε δηθαηψκαηα Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 32

34 δεκηνπξγίαο βάζεο δεδνκέλσλ. Μέλεη λα εθηειέζνπκε ην script init.db πνπ βξίζθεηαη ζηνλ ίδην θαηάινγν σο εμήο: "./init.db master_hlog, φπνπ master_hlog ην φλνκα ηεο βάζεο δεδνκέλσλ. Αλ εθηειέζηεθε επηηπρψο, ζα πξέπεη λα δνχκε κία βάζε master_hlog κε ηξεηο πίλαθεο. ηε ζπλέρεηα, ζηνλ θαηάινγν conf ζπκπιεξψλνπκε ην master.cf φπσο παξαθάησ: <? $hq_base="path-to-honeyview/honeyview-1.0"; $db_host="localhost"; $db_port="3306"; $db_name="master_hlog"; $db_user="snort_user"; $db_pass="snort_pass";?> Σα δχν εθηειέζηκα scripts είλαη ηα rdlog, mkfqh ζηνλ θαηάινγν bin/. Αιιάδνπκε ηελ πξψηε γξακκή ηνπο πνπ γξάθεη ην κνλνπάηη ηεο php-cli θαη ην νπνίν ζπλήζσο είλαη: #!/usr/local/bin/php Γηα λα βεβαησζείηε φηη είλαη ζσζηφ, ειέγμηε ην εθηειψληαο: whereis php Αιιάδνπκε ηα δηθαηψκαηα ησλ δχν παξαπάλσ αξρείσλ, ψζηε λα γίλνπλ εθηειέζηκα: chmod 755 rdlog mkfqh Σν rdlog πξαγκαηνπνηεί ηε κεηαθνξά ησλ δεδνκέλσλ απφ ην αξρείν ηνπ honeyd ζηε βάζε, ελψ ην mkfqh βξίζθεη ην φλνκα ηνπ host γηα θάζε δηαθνξεηηθή IP. Η ιεηηνπξγία ηνπ mkfqh παίξλεη αξθεηή ψξα θαη ίζσο ζειήζεηε λα ηελ απνθχγεηε. Μπνξείηε λα εθηειέζεηε κφλν ην rdlog πνπ θάλεη ηε δνπιεηά πνπ ρξεηαδφκαζηε. Σα εθηειέζηκα απηά ζαξψλνπλ κία θνξά ην αξρείν θαηαγξαθήο ηνπ honeyd θαη απνζεθεχνπλ ηα δεδνκέλα. Όκσο, ην honeyd ζπλερίδεη λα γξάθεη ζην ίδην αξρείν. Απηφ ζεκαίλεη φηη αλ εθηειέζνπκε πάιη ηα παξαπάλσ scripts ζην ίδην αξρείν δεχηεξε θνξά, ηα δεδνκέλα πνπ ζαξψζεθαλ ηελ πξψηε θνξά ζα μαλακπνχλ ζηε βάζε δεδνκέλσλ θαη έηζη ζα ππάξρεη επαλαιακβαλφκελε πιεξνθνξία. Γηα απηφ κεηά απφ θάζε κεηαθνξά ζηε βάζε, πξέπεη λα ζηακαηάκε ην honeyd, λα ζαξψλνπκε ην αξρείν, λα δεκηνπξγνχκε backup θαη λα μαλαεθηεινχκε ην honeyd. Παξαθάησ, δίλεηαη έλα shell script πνπ αλαιακβάλεη λα θάλεη φια ηα πξνεγνχκελα: Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 33

35 #!/bin/bash #Terminate honeyd pid=`ps -A grep honeyd awk '{print $1}'` kill -9 "$pid" #Change to your honeyview installation path cd /home/pavlos/honeyview-1.0/bin/ #Update database./rdlog /tmp/honeyd_log master_hlog #./mkfqh master_hlog #Create backup to folder /tmp/honeydlog let NoFile=`ls /tmp/honeydlog awk 'END {print NR}'` #Compress honeyd log file with gzip gzip /tmp/honeyd_log mv /tmp/honeyd_log.gz "/tmp/honeydlog/honeyd_log${nofile}.gz" #Execute honeyd again honeyd -l /tmp/honeyd_log -f /usr/local/share/honeyd/honeyd.conf -p /usr/local/share/honeyd/nmap.prints \ -x /usr/local/share/honeyd/xprobe2.conf -a /usr/local/share/honeyd/nmap.assoc -i eth /24 #End of script Θεσξνχκε φηη ην honeyd δεκηνπξγεί αξρείν θαηαγξαθήο κε φλνκα /tmp/honeyd_log θαη φηη θξαηάκε backup κε φια ηα αξρεία ζηνλ θαηάινγν /tmp/honeydlog/ πνπ πξέπεη πξνεγνπκέλσο λα έρνπκε δεκηνπξγήζεη. Βεβαησζείηε φηη έρεηε εγθαηεζηεκέλα ηα πξνγξάκκαηα gzip θαη awk. Σν script απηφ κπνξνχκε λα ην εθηειέζνπκε νπνηαδήπνηε ζηηγκή ζέινπκε λα ελεκεξψζνπκε ηε βάζε. Μπνξνχκε φκσο λα νξίζνπκε λα γίλεηαη ε δνπιεηά απηή απηφκαηα, ξπζκίδνληαο θαηάιιεια ηνλ cron-job scheduler. ηνλ θαηάινγν /etc/ βξίζθνπκε ηνπο εμήο θαηαιφγνπο: cron.hourly, cron.daily, cron.weekly θαη cron.monthly. Σνπνζεηψληαο ην script ζε έλαλ απφ απηνχο ηνπο θαηαιφγνπο, νξίδνπκε λα εθηειείηαη κία θνξά θάζε ψξα, εκέξα, εβδνκάδα ή κήλα αλάινγα κε ην φλνκα ηνπ θαηαιφγνπ. Αλ ζέινπκε πην ζπγθεθξηκέλε ψξα εθηέιεζεο, πξνζζέηνπκε κία θαηαρψξηζε ζην αξρείν crontab, εθηειψληαο crontab e. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 34

36 ΚΔΦΑΛΑΙΟ 3 3. Υξήζε ηνπ ινγηζκηθνύ Honeyd Σν honeyd είλαη έλα πξφγξακκα daemon κε ην νπνίν κπνξνχκε λα δεκηνπξγήζνπκε εηθνληθνχο ππνινγηζηέο κε δηάθνξεο ππεξεζίεο αληηζηνηρίδνληάο ηνλ θάζε έλα απφ απηνχο ζε κία δηαθνξεηηθή IP. Μπνξεί λα δεκηνπξγήζεη νιφθιεξεο ηνπνινγίεο απνηεινχκελεο απφ δεθάδεο δίθηπα πνπ απαξηίδνληαη απφ δεθάδεο ή εθαηνληάδεο virtual hosts, ζε έλαλ κφλν ππνινγηζηή. Απηνί νη virtual hosts αλήθνπλ ζηελ θαηεγνξία ησλ low-interaction honeypots επεηδή ζπκπεξηθέξνληαη φκνηα κε αληίζηνηρνπο πξαγκαηηθνχο ππνινγηζηέο αιιά έρνπλ ρακειή δηαδξαζηηθφηεηα. Απηφ ζπκβαίλεη γηαηί ην honeyd πξνζνκνηψλεη ιεηηνπξγηθά ζπζηήκαηα κφλν ζηε ζπκπεξηθνξά πνπ παξνπζηάδνπλ ζην επίπεδν ηεο TCP/IP stack, ελψ νη πηζαλέο ππεξεζίεο πνπ ηξέρνπλ πξνζνκνηψλνληαη ζπλήζσο απφ shell scripts. ηε ζπλέρεηα ηνπ θεθαιαίνπ ζα πεξηγξάςνπκε πσο πινπνηνχληαη ηα παξαπάλσ ραξαθηεξηζηηθά θαη πσο ρξεζηκνπνηήζεθε ην honeyd ζηελ εξγαζία καο. Πξηλ αζρνιεζνχκε, φκσο, κε ηηο ξπζκίζεηο ηνπ εξγαιείνπ απηνχ, ζα εμεηάζνπκε ηνλ ηξφπν κε ηνλ νπνίν δεζκεχεηαη έλαο ρψξνο δηεπζχλζεσλ IP γηα ηελ αληηζηνίρηζε ησλ honeypots. 3.1 Ο ρώξνο δηεπζύλζεσλ IP γηα ηα honeypots Σν honeyd φηαλ εθηειείηαη ιακβάλεη κία παξάκεηξν ζηε γξακκή εληνιψλ πνπ ππνδεηθλχεη ηελ θάξηα δηθηχνπ ηνπ ππνινγηζηή ζηελ νπνία ζα «αθνχεη» ηα εηζεξρφκελα παθέηα. Απφ ηε ζηηγκή πνπ ηα παθέηα δξνκνινγνχληαη ζε απηήλ ηε δηεπαθή, ην honeyd είλαη έηνηκν λα απαληάεη ζε απηά ρσξίο επηπξφζζεηεο ξπζκίζεηο. Δπνκέλσο, ην πξφβιεκα πνπ καο απαζρνιεί είλαη κε πνηνλ ηξφπν ζα γίλεηαη ε δξνκνιφγεζε ηεο δηθηπαθήο θίλεζεο ζηε θάξηα δηθηχνπ πνπ καο ελδηαθέξεη. Οη δπλαηέο ιχζεηο είλαη δχν. ηελ πξψηε, ηνπνζεηνχκε ηνλ honeyd server ζε έλα παξαγσγηθφ ππνδίθηπν θαη δεζκεχνπκε δηεπζχλζεηο κέζα απφ απηφ. Παξαγσγηθφ, ζεκαίλεη φηη ζην ππνδίθηπν απηφ ππάξρνπλ ήδε κεξηθνί ππνινγηζηέο ή άιιεο δηθηπαθέο ζπζθεπέο πνπ ρξεζηκνπνηνχληαη απφ έλα πιήζνο ρξεζηψλ. Μέζα ζε απηφ ζα αλαπηπρζνχλ ηα honeypots ηα νπνία ζα ζπλππάξρνπλ κε ηνπο ππφινηπνπο ππνινγηζηέο (εηθφλα 5). ε απηφ ην ζεκείν ρξεηαδφκαζηε έλα ηξφπν γηα λα δεζκεχζνπκε έλα ππνζχλνιν δηεπζχλζεσλ πξνθεηκέλνπ λα ρξεζηκνπνηεζεί απηφ απφ ην honeyd. Σν εξγαιείν πνπ επηηπγράλεη ηελ αληηζηνίρηζε δηεπζχλζεσλ IP κε ηελ MAC address ηνπ honeyd server νλνκάδεηαη arpd. Σν φλνκα ηνπ είλαη ζχλζεζε ηεο ιέμεο ARP πνπ είλαη έλα πξσηφθνιιν επηπέδνπ δχν θαη ηνπ γξάκκαηνο d πνπ αληηπξνζσπεχεη έλα πξφγξακκα daemon. Πξηλ δνχκε ηε ιεηηνπξγία ηνπ arpd πην επηζηακέλα, κία γξήγνξε καηηά ζην πξσηφθνιιν ARP ζα βνεζήζεη λα ηελ θαηαλνήζνπκε θαιχηεξα. ην πιαίζην ελφο ηνπηθνχ δηθηχνπ Ethernet, ε επηθνηλσλία κεηαμχ ησλ θφκβσλ ππνινγηζηψλ γίλεηαη κε ηηο hardware δηεπζχλζεηο πνπ νλνκάδνληαη MAC addresses. Κάζε θάξηα δηθηχνπ έρεη πάλσ ηεο, δνζκέλε απφ ηνλ θαηαζθεπαζηή ηεο, κία κνλαδηθή MAC address. Κάζε θφκβνο ηνπ δηθηχνπ έρεη ηνπιάρηζηνλ κία ηέηνηα θάξηα πξνθεηκέλνπ λα ζπλδεζεί ζε απηφ. Έλαο θφκβνο πνπ επηζπκεί λα επηθνηλσλήζεη κε έλα δεχηεξν, είλαη απαξαίηεην λα γλσξίδεη ηε MAC ηνπ άιινπ θφκβνπ. Όηαλ φκσο, ε επηθνηλσλία απηή γίλεηαη γηα πξψηε θνξά θαη ην κφλν πνπ γλσξίδεη γηα ηνλ δεχηεξν θφκβν είλαη ε IP δηεχζπλζή ηνπ, ν Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 35

37 πξψηνο θφκβνο πξέπεη λα αλαθαιχςεη ηε MAC address ηνπ δεχηεξνπ απφ ηελ IP ηνπ. Απηή ε δηαδηθαζία γίλεηαη απφ ην πξσηφθνιιν ARP (Address Resolution Protocol). Ο πξψηνο θφκβνο ινηπφλ, ζηέιλεη έλα ARP request πξνο φινπο ηνπο θφκβνπο ηνπ δηθηχνπ δεηψληαο λα κάζεη ηε MAC address ηνπ θφκβνπ πνπ έρεη κία ζπγθεθξηκέλε IP. Κάζε θφκβνο πνπ ιακβάλεη ην request ειέγρεη αλ αλαθέξεηαη ζε εθείλνλ θνηηάδνληαο ηελ IP δηεχζπλζε πνπ αλαγξάθεηαη. Οη θφκβνη πνπ δελ έρνπλ ηε ζπγθεθξηκέλε IP παξακέλνπλ «ζησπεινί», ελψ εθείλνο πνπ ηελ θαηέρεη απαληάεη κε έλα ARP reply ηνπνζεηψληαο ζε απηφ ηε δηθή ηνπ MAC address. ην ηέινο απηήο ηεο ζχληνκεο επηθνηλσλίαο, θαη νη δχν θφκβνη γλσξίδνπλ πιένλ ν θαζέλαο ηε MAC ηνπ άιινπ θαη κπνξνχλ ζην εμήο λα αληαιιάμνπλ δεδνκέλα. Δηθόλα 5: Έλα παξαγσγηθό ππνδίθηπν, όπνπ ηα honeypots κνηξάδνληαη κε ηνπο θαλνληθνύο ππνινγηζηέο ηνλ ίδην ρώξν δηεπζύλζεσλ. Σν πξφγξακκα arpd ινηπφλ, φηαλ εθηειείηαη ζε έλαλ ππνινγηζηή απαληάεη ζε κελχκαηα ARP request πνπ θαλνληθά δελ έρνπλ παξαιήπηε θαη δίλεη ζηνλ απνζηνιέα κε έλα ARP reply ηε MAC address ηεο θάξηαο δηθηχνπ πνπ έρεη πξνζδηνξίζεη ν ρξήζηεο. Παξάδεηγκα εθηέιεζεο θαη ρξήζεο ηνπ arpd ζα δνζεί ζην ππνθεθάιαην πνπ αθνινπζεί. Η δεχηεξε ιχζε γηα ηε δξνκνιφγεζε παθέησλ ζηνλ honeyd server είλαη θαη απηή πνπ επηιέρηεθε απφ εκάο γηα ηελ εθπφλεζε ηεο εξγαζίαο καο. Γηα λα πεηχρνπκε ηε δξνκνιφγεζε ρξεζηκνπνηνχκε έλαλ θεληξηθφ δξνκνινγεηή ν νπνίνο ξπζκίδεηαη έηζη ψζηε ηα παθέηα πνπ απεπζχλνληαη ζε έλα «θελφ» ππνδίθηπν λα θηάλνπλ ζε κία απφ ηηο δχν θάξηεο δηθηχνπ (εηθφλα 2). Παξά ην φηη ν honeyd server βξίζθεηαη κέζα ζε έλα παξαγσγηθφ δίθηπν, δε αλαπηχζζνληαη εληφο απηνχ ηα honeypots. Με ηε βνήζεηα ηνπ θεληξηθνχ δξνκνινγεηή ν honeyd server έρεη «νξαηφηεηα» ζε έλα ππνδίθηπν πνπ βξίζθεηαη καθξηά απφ απηφ φπνπ αλήθεη ν server. Η δηαθνξά κε ηελ πξψηε ιχζε είλαη ε Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 36

38 απεπζείαο δξνκνιφγεζε ησλ παθέησλ απφ έλαλ δξνκνινγεηή θαη φρη απφ έλα ινγηζκηθφ πνπ δεζκεχεη δηεπζχλζεηο IP, κε ζεκαληηθφ πιενλέθηεκα φηη δελ ππάξρεη θαζφινπ ε θαζπζηέξεζε πνπ πξνζζέηεη ην arpd κέρξη λα απαληήζεη ζηα ARP requests Γέζκεπζε δηεπζύλζεσλ IP κε ην Arpd Ξεθηλψληαο κε ηελ εγθαηάζηαζε ηνπ εξγαιείνπ θαη εθφζνλ ην ζχζηεκα πνπ ρξεζηκνπνηνχκε ζηελ εξγαζία καο είλαη debian, ζα εγθαηαζηήζνπκε ην πξφγξακκα farpd, πνπ απνηειεί κία έθδνζε ηνπ θαλνληθνχ arpd γηα debian ζπζηήκαηα. Απφ ηελ γξακκή εληνιψλ εθηεινχκε κε δηθαηψκαηα ππεξρξήζηε ηελ εληνιή: apt-get install farpd Αο ζεσξήζνπκε μαλά φηη ε εηθφλα 3 είλαη ην παξαγσγηθφ ππνδίθηπν κε IP /24 απφ φπνπ ζα δεζκεχζνπκε IP δηεπζχλζεηο κε ην farpd. O honeyd server ζεσξνχκε φηη θαηέρεη ηελ IP θαη κία θάξηα δηθηχνπ κε MAC 00:14:0b:36:c5. Απφ ην ζχλνιν ησλ IP κπνξνχκε λα έρνπκε ζηε δηάζεζε καο κφλν έλα ππνζχλνιν απηψλ. Αο ππνζέζνπκε ινηπφλ φηη κφλν νη IP ζα είλαη δηαζέζηκεο γηα ηα honeypots θαη νη ππφινηπεο ζα ρξεζηκνπνηνχληαη γηα ηνπο παξαγσγηθνχο ππνινγηζηέο. Δθηεινχκε ζηνλ honeyd server ην farpd κε ηα εμήο νξίζκαηα ζηε γξακκή εληνιψλ: farpd d i eth Η επηινγή -d αλαγθάδεη ην πξφγξακκα λα εκθαλίδεη ζην standard output ηελ έμνδν ηνπ, αθνχ είλαη πξφγξακκα daemon πνπ ζεκαίλεη φηη δνπιεχεη ζην παξαζθήλην θαη δελ ηππψλεη ηίπνηα ζηελ νζφλε απφ πξνεπηινγή. Σν -i eth0 δειψλεη φηη ζα ρξεζηκνπνηείηαη ε MAC address ηνπ interface eth0 απφ ην πξφγξακκα θαη ηέινο δειψλνληαη νη IP πνπ ζέινπκε λα δεζκεχζνπκε ζε κνξθή δηαζηήκαηνο: Η πξψηε γξακκή πνπ ηππψλεη ην πξφγξακκα ζηελ νζφλε είλαη επηβεβαίσζε ησλ νξηζκάησλ κε ηα νπνία ην θαιέζακε θαη είλαη ε εμήο: arpd[6277]: listening on eth0: arp and (dst net /31 or dst net /30) and not ether src 00:14:0b:36:c5, εκεηψλνπκε φηη ην 6277 είλαη έλα ηπραίν λνχκεξν πνπ αλαπαξηζηά ην process id ηνπ farpd θαη ε ζπκβνινζεηξά 00:14:0b:36:c5 είλαη ε ππνζεηηθή MAC address πνπ αληηζηνηρεί ζηε δηεπαθή eth0. Απφ απηφ ην ζεκείν, ην πξφγξακκα είλαη ζε αλακνλή κέρξη λα ιάβεη θάπνην ARP request πνπ απεπζχλεηαη ζε κία απφ ηηο ελδηαθεξφκελεο IP. Έζησ φηη δνθηκάδνπκε απφ έλαλ άιινλ ππνινγηζηή πνπ είλαη ζην ίδην ππνδίθηπν λα ειέγμνπκε αλ ππάξρεη θάπνηνο θφκβνο κε IP Δθηεινχκε ινηπφλ απφ ηνλ άιινλ ππνινγηζηή: ping Η παξαπάλσ εληνιή έρεη σο απνηέιεζκα, εζσηεξηθά ζην ππνδίθηπν καο λα γίλεη έλα ARP request γηα ηελ IP Όπσο είλαη θπζηθφ, δελ ππάξρεη θφκβνο κε απηήλ ηελ IP γηα λα απαληήζεη θαη έηζη ην farpd είλαη εθείλν πνπ ζα απαληήζεη κε ηνλ αθφινπζν ηξφπν: arpd[6277]: arpd_lookup: no entry for arpd[6277]: arpd_send: who-has tell arpd[6277]: arpd_send: who-has tell arpd[6277]: arp reply is-at 00:14:0b:36:c5 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 37

39 Η πξψηε γξακκή δειψλεη φηη ε IP δελ έρεη αληηζηνηρεζεί κε θάπνηνλ ππνινγηζηή πνπ λα γλσξίδεη ην πξφγξακκα. ηε ζπλέρεηα, γηα λα βεβαησζεί φηη απηή ε IP δελ είλαη δεζκεπκέλε απφ θαλέλαλ ζηέιλεη δχν ζπλερφκελα ARP requests πεξηκέλνληαο απάληεζε γηα ιίγα δεπηεξφιεπηα. Αλ δελ ππάξμεη θακία απάληεζε, θαηαιαβαίλεη πσο είλαη κία ειεχζεξε IP θαη απαληάεη κε έλα ARP reply δειψλνληαο ζε απηφ ηε MAC address 00:14:0b:36:c5 ηνπ interface eth0, φπσο απνδεηθλχεηαη θαη απφ ηελ ηειεπηαία γξακκή. Με ηνλ ίδην ηξφπν ζπκπεξηθέξεηαη ην farpd γηα θάζε ARP request πνπ απεπζχλεηαη ζε κία απφ ηηο IP πνπ ηνπ δφζεθαλ. Άιιν έλα παξάδεηγκα πνπ ζα καο πείζεη. Γνθηκάδνπκε ηελ IP : ping Σν farpd απνθξίλεηαη ζηελ νζφλε κε παξφκνην ηξφπν: arpd[6277]: arpd_lookup: no entry for arpd[6277]: arpd_send: who-has tell arpd[6277]: arpd_send: who-has tell arpd[6277]: arp reply is-at 00:14:0b:36:c5 Αλ επηρεηξήζνπκε λα εθηειέζνπκε ping γηα ηελ IP πνπ δελ αλήθεη ζην δηάζηεκα ησλ IP πνπ νξίζακε ζην farpd, ηφηε ην πξφγξακκα δελ ζα έρεη θακία απφθξηζε. Αμίδεη λα ζεκεηψζνπκε φηη κεηά απφ κία αδξαλή ρξνληθή πεξίνδν πεξίπνπ πέληε ιεπηψλ θαηά ηε δηάξθεηα ηεο νπνίαο κία IP πνπ δεζκεχηεθε απφ ην πξφγξακκα δελ έρεη αλαθεξζεί μαλά, απνδεζκεχεηαη θαη γίλεηαη δηαζέζηκε γηα θάπνηα άιιε ίζσο ρξήζε. Γηα ηνπ ιφγνπ ην αιεζέο, ην κήλπκα πνπ εκθαλίδεη ην farpd φηαλ ιήμεη απηή ε πεξίνδνο γηα ηελ είλαη ην παξαθάησ: arpd[6277]: arpd_timeout: expiring Αλ κεηά ηελ απνδέζκεπζε γίλεη κία λέα αλαθνξά ζηελ , ηφηε επαλαιακβάλεηαη απφ ηελ αξρή ε δηαδηθαζία δέζκεπζεο φπσο αλαθέξζεθε παξαπάλσ. Απφ ηελ πιεπξά ηνπ ππνινγηζηή πνπ έθαλε ην ping, δελ πεξηκέλνπκε λα ιάβνπκε θακία απάληεζε αθφκα θαη αλ ην farpd έρεη απαληήζεη ζηα ARP requests πνπ ζηάιζεθαλ γηα θάπνηα IP. Σελ απφθξηζε απηή ηελ αλαιακβάλεη νπζηαζηηθά ην honeyd, αλ έρνπκε θπζηθά νξίζεη θάπνην honeypot ζε απηήλ ηελ IP. 3.2 Θέηνληαο personalities κε ην honeyd Σν personality ελφο virtual host ην ζπλζέηνπλ ην ιεηηνπξγηθφ ζχζηεκα θαη ηα service scripts πνπ πξνζηίζεληαη γηα ηελ πξνζνκνίσζε ππεξεζηψλ. Ο ζπλδπαζκφο θαη ησλ δχν καο δίλεη ρηιηάδεο δηαθνξεηηθά personalities. Έρνπκε ηε δπλαηφηεηα λα επηιέμνπκε κεηαμχ πνιιψλ εθαηνληάδσλ δηαθνξεηηθψλ ιεηηνπξγηθψλ ζπζηεκάησλ θαη service scripts πνπ είλαη δηαζέζηκα ή λα θαηαζθεπάζνπκε λέα scripts πνπ ζα αληαπνθξίλνληαη ζε δηθέο καο αλάγθεο. Σν fingerprint γηα θάζε έλα ιεηηνπξγηθφ ζχζηεκα ππάξρεη κέζα ζην αξρείν nmap-prints πνπ βξίζθεηαη ζηελ εγθαηάζηαζε ηνπ honeyd. Η επηινγή ηνπ ιεηηνπξγηθνχ πξέπεη λα γίλεηαη απζηεξά κφλν κέζα απφ ηε ιίζηα πνπ ππάξρεη ζην Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 38

40 αξρείν απηφ. Δθηφο απφ ηα γλσζηά ιεηηνπξγηθά ζπζηήκαηα φπσο νη δηάθνξεο εθδφζεηο ησλ Windows θαη νη δηαλνκέο Linux, είλαη δηαζέζηκα θαη fingerprints δηθηπαθψλ ζπζθεπψλ φπσο δξνκνινγεηέο θαη switches ηεο 3COM, ηεο CISCO θαη ηεο Juniper. ην honeyd ηα personalities φισλ ησλ εηθνληθψλ ππνινγηζηψλ δειψλνληαη ζην ίδην αξρείν ξπζκίζεσλ ην νπνίν δηαβάδεη ην πξφγξακκα θαηά ηελ εθθίλεζή ηνπ. Αλ πξνθχςνπλ αιιαγέο ζην αξρείν απηφ ελφζσ ην πξφγξακκα εθηειείηαη, ζηέιλνληαο έλα ζήκα SIGHUP ε εθαξκνγή ζα δηαβάζεη εθ λένπ ην αξρείν ρσξίο λα ρξεηάδεηαη επαλεθθίλεζε. Αο δνχκε πσο γίλεηαη κία ηέηνηα δήισζε. Έζησ φηη ζέινπκε λα νξίζνπκε έλαλ εηθνληθφ ππνινγηζηή κε ιεηηνπξγηθφ Windows XP Professional SP1. ην αξρείν ξπζκίζεσλ ηνπ honeyd γξάθνπκε ην εμήο: create WinXP_Pro_SP1 set WinXP_Pro_SP1 personality Microsoft Windows XP Professional SP1 set WinXP_Pro_SP1 default tcp action reset ηελ πξψηε γξακκή δειψλεηαη έλα φλνκα γηα ην πξφηππν πνπ ζα πεξηιακβάλεη ηα ραξαθηεξηζηηθά ηεο πξνζσπηθφηεηαο πνπ θηηάρλνπκε θαη ζηελ πξνθεηκέλε πεξίπησζε ην φλνκα απηφ είλαη WinXP_Pro_SP1. ηε δεχηεξε γξακκή θαζνξίδεηαη ην ιεηηνπξγηθφ πνπ επηιέμακε λα θνξηψζνπκε θαη ν πξνζδηνξηζκφο ηνπ νπνίνπ γίλεηαη κε ηε ιέμε personality θαη ηελ απζηεξή νλνκαζία πνπ αθνινπζεί Microsoft Windows XP Professional SP1, ηελ νπνία ηελ βξίζθνπκε κέζα ζην αξρείν nmap-prints. Κάλνληαο αλαδήηεζε απηνχ ηνπ νλφκαηνο ζην αξρείν βξίζθνπκε κία θαηαρψξεζε φπσο ε παξαθάησ, πνπ απνηειεί ην fingerprint ηνπ ιεηηνπξγηθνχ: Fingerprint Microsoft Windows XP Professional SP1 Class Microsoft Windows NT/2K/XP general purpose TSeq(Class=RI%gcd=<6%SI=<14686&>1A0%IPID=I) T1(DF=Y%W=FAF0%ACK=S++%Flags=AS%Ops=MNWNNT) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=N%W=0%ACK=O%Flags=AR%Ops=) T4(DF=N%W=0%ACK=O%Flags=R%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=R%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E% ULEN=134%DAT=E) ηελ ηξίηε γξακκή ηνπ πην πάλσ νξηζκνχ πξνηχπνπ, νξίδεηαη φιεο νη tcp ζπλδέζεηο λα γίλνληαη reset απηφκαηα. Φπζηθά, απηφ κπνξεί λα αιιάμεη ζέηνληαο ζπγθεθξηκέλεο ζχξεο λα δέρνληαη ηφζν tcp φζν θαη udp ζπλδέζεηο, κεξηθέο άιιεο λα είλαη θιεηζηέο θαη ζε θάπνηεο άιιεο λα ηξέρνπλ δηάθνξεο ππεξεζίεο. Παξάδεηγκα, κπνξνχκε λα βάινπκε ζην πξνεγνχκελν παξάδεηγκα ηηο ζχξεο 135,137,139 λα δέρνληαη ζπλδέζεηο, φιεο ηηο ππφινηπεο λα είλαη κπινθαξηζκέλεο θαη ζηελ 80 λα πξνζνκνηψλεηαη έλαο apache server κε αληίζηνηρν script: Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 39

41 add WinXP_Pro_SP1 tcp port 80 bash./apache.sh add WinXP_Pro_SP1 tcp port 135 open add WinXP_Pro_SP1 tcp port 137 open add WinXP_Pro_SP1 tcp port 139 open set WinXP_Pro_SP1 default tcp action block Αθνχ απνθαζίζνπκε ηειηθά ηη ζα πεξηέρεη ην πξφηππν, απνκέλεη λα ην αληηζηνηρίζνπκε κε κία ip δηεχζπλζε. Απηφ δειψλεηαη εμίζνπ εχθνια ζην αξρείν ξπζκίζεσλ ηνπ honeyd κεηά ην ηέινο ησλ δειψζεσλ ησλ πξνηχπσλ σο εμήο: bind WinXP_Pro_SP1 Πεξηζζφηεξα γηα ηελ απφδνζε IP δηεπζχλζεσλ ζα δνχκε ζηε ζπλέρεηα. Δπηπιένλ απφ απηά, ην honeyd δίλεη πνιιέο αθφκα δπλαηφηεηεο παξακεηξνπνίεζεο ησλ πξνηχπσλ. Τπάξρνπλ δχν αθφκα είδε πξνηχπσλ, ην default θαη ην dynamic. Σν πξψην δειψλεηαη σο create default θαη αλαζέηεηαη απηφκαηα ζε φινπο ηνπο εηθνληθνχο ππνινγηζηέο πνπ δελ έρνπλ δηθφ ηνπο personality. Σν δεχηεξν δειψλεηαη σο dynamic template-name θαη δίλεη ηε δπλαηφηεηα ην πξφηππν απηφ λα παξνπζηάδεη δηαθνξεηηθή ζπκπεξηθνξά θάησ απφ δηαθνξεηηθέο ζπλζήθεο. Παξάδεηγκα: dynamic vhost add vhost use linux if source ip = /24 add vhost use invisible if time between 6:00am - 9:00am add vhost otherwise use default Aλ ε IP πξνέιεπζεο αλήθεη ζην /24, ν vhost παξνπζηάδεηαη κε ιεηηνπξγηθφ linux. ηελ ηξίηε γξακκή νξίδνληαη νη ψξεο ηηο νπνίεο ην κεράλεκα ζα είλαη θαηλνκεληθά θιεηζηφ, δίλνληαο ζηνλ παξαηεξεηή ηελ εληχπσζε ελφο κεραλήκαηνο πνπ αλνίγεη θαη θιείλεη ζπγθεθξηκέλεο ψξεο ηεο εκέξαο. Η ηειεπηαία γξακκή δειψλεη λα ρξεζηκνπνηεζεί ην default πξφηππν αλ δελ ηθαλνπνηνχληαη θακία απφ ηηο ζπλζήθεο. Δλαιιαθηηθά κε ην dynamic πξφηππν κπνξεί λα ρξεζηκνπνηεζεί ε παξαθάησ δήισζε: bind source ip = / vhost1 bind source ip = / vhost2 Με ην παξαπάλσ επηηπγράλνπκε ηελ αιιαγή ηνπ personality ηνπ ππνινγηζηή πνπ αληηζηνηρίδεηαη ζηελ IP , αλάινγα κε ηελ IP πξνέιεπζεο ηεο ζχλδεζεο πνπ δέρεηαη. Καηά ηνλ νξηζκφ ελφο πξνηχπνπ, κπνξνχκε λα πξνζζέζνπκε ξεαιηζηηθφηεηα δειψλνληαο ζηνηρεία φπσο ην uptime, πνπ είλαη ν αξηζκφο ησλ δεπηεξνιέπησλ πνπ είλαη ην ζχζηεκα ζε ιεηηνπξγία μεθηλψληαο απφ ηελ ηειεπηαία θνξά πνπ έθαλε επαλεθθίλεζε θαη ην droprate in πνπ πξνζδηνξίδεη ην πνζνζηφ ησλ απεζηαικέλσλ απφ ην honeyd παθέησλ πνπ ζα απνξξίπηνληαη, κε ζθνπφ λα πξνζνκνησζεί κία θαζπζηέξεζε ζηε ζχλδεζε. Έλα παξάδεηγκα ησλ παξαπάλσ θαίλεηαη ζηε ζπλέρεηα: set vhost1 uptime set vhost1 droprate in Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 40

42 Αξθεηά ρξήζηκε κπνξεί λα θαλεί ε δπλαηφηεηα ηνπ honeyd πνπ αθνχεη ζην φλνκα proxying θαη κε απηήλ κπνξεί λα γίλεη αλαθαηεχζπλζε ηεο εηζεξρφκελεο θίλεζεο ζε θάπνηνλ πξαγκαηηθφ server, καθξηά απφ ην low-interaction honeypot, ν νπνίνο ζα κπνξεί λα παξέρεη ζηνλ επηηηζέκελν κε αζθάιεηα ηελ ππεξεζία. πλήζσο κία ππεξεζία φπσο έλαο DNS ή MySQL server είλαη δχζθνιν λα πξνζνκνησζεί κε θάπνην script θαη γηα απηφ ρξεηαδφκαζηε απηήλ ηε δπλαηφηεηα ηνπ honeyd. Γειψλνπκε απιά: add vhost1 udp port 53 proxy nameserver:53, φπνπ 53 ε ζχξα πνπ γίλεηαη αλαθαηεχζπλζε. 3.3 Virtual network topology ε απηήλ ηελ ελφηεηα ζα παξνπζηαζηεί κία εηθνληθή ηνπνινγία απφ honeypots πνπ θαηαζθεπάζηεθε κε ην honeyd θαη ιεηηνχξγεζε ζηα πιαίζηα ηεο εξγαζίαο καο γηα αξθεηνχο κήλεο. Ο ρψξνο δηεπζχλζεσλ πνπ είρακε ζηε δηάζεζή καο γηα ηελ αλάπηπμε ησλ honeypots είλαη ν /24 πνπ είλαη έλα θελφ ππνδίθηπν, κε ηελ έλλνηα φηη ζε απηφ δελ ππάξρεη θαλέλαο παξαγσγηθφο ππνινγηζηήο νχηε αθφκα θάπνηα gateway ζηελ δηεχζπλζε Η εηθφλα 4 πνπ αθνινπζεί δείρλεη ζπλνιηθά απηήλ ηελ ηνπνινγία. Σξεηο ππνινγηζηέο κε ιεηηνπξγηθφ Windows, νη δχν κε Windows XP Professional SP1 θαη ν έλαο Windows 2000 server SP2, απαξηίδνπλ ην πξψην ππνδίθηπν κέζα ζην /24 θαη δχν κε ιεηηνπξγηθφ Linux κε έθδνζε kernel θαη απνηεινχλ ην δεχηεξν ππνδίθηπν. Γηα ηε δηάξζξσζε ηεο ηεξαξρίαο ηεο ηνπνινγίαο φπσο θαίλεηαη ζηελ εηθφλα 6, ρξεζηκνπνηήζεθαλ αθφκα δχν honeypots πνπ αληηζηνηρνχλ ζε έλα Cisco router 7206 running IOS 11.1, ζηελ θνξπθή ηεο ηεξαξρίαο, θαη έλα Cisco Catalyst 5500/5600 πνπ αληηπξνζσπεχεη φια ηα honeypots ζην /29. Κάησ απφ θάζε κεράλεκα αλαγξάθνληαη νη ππεξεζίεο πνπ εθηεινχληαη ζε απηφ θαη νη ζχξεο πνπ είλαη αλνηθηέο θαη δέρνληαη ζπλδέζεηο. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 41

43 Δηθόλα 6: Δηθνληθή ηνπνινγία από honeypots θαηαζθεπαζκέλε κε ην honeyd. Έλαο εχθνινο ηξφπνο αλίρλεπζεο ηεο ηεξαξρίαο είλαη ε εθηέιεζε ελφο πξνγξάκκαηνο φπσο είλαη ην traceroute πνπ δείρλεη φια ηα hops πνπ γίλνληαη κέρξη λα θηάζεη έλα παθέην ζηνλ πξννξηζκφ ηνπ. Δθηεινχκε ζηνλ honeyd server ηελ παξαθάησ εληνιή, αλ θαη κπνξεί λα γίλεη ην ίδην απφ νπνηνλδήπνηε άιιν ππνινγηζηή: traceroute Απφ ηελ εθηέιεζε παίξλνπκε ην απνηέιεζκα: traceroute to ( ), 30 hops max, 40 byte packets ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms Σν πξψην hop ζηνλ ππνινγηζηή είλαη ε gateway ηνπ honeyd server θαη απφ ην δεχηεξν θαη κεηά κπαίλνπκε ζην ρψξν ησλ honeypots. ηελ πξνζπάζεηά καο λα θηάζνπκε ηνλ ππνινγηζηή , βιέπνπκε φηη γίλνληαη πξψηα δχν hops. ηνλ πνπ είλαη ν πξψηνο δξνκνινγεηήο θαη ζηνλ πνπ είλαη ν δεχηεξνο. ηα δεμηά ηνπο θαίλεηαη ν ρξφλνο απφθξηζεο ηνπ θάζε honeypot. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 42

44 Δθηέιεζε ηνπ honeyd: Η εθηέιεζε ηνπ honeyd γηα ηε ιεηηνπξγία ηεο παξαπάλσ θαηαζθεπήο είλαη φπσο θαίλεηαη παξαθάησ: honeyd -f /usr/local/share/honeyd/honeyd.conf -p /usr/local/share/honeyd/nmap.prints -x /usr/local/share/honeyd/xprobe2.conf -a /usr/local/share/honeyd/nmap.assoc -i eth /24 Με -f νξίδεηαη ην αξρείν ξπζκίζεσλ πνπ ζα δηαβάζεη ην πξφγξακκα γηα λα θαηαζθεπάζεη ηνπο virtual hosts. Με -p νξίδεηαη ην αξρείν πνπ πεξηέρεη ηα fingerprints ησλ δηαθφξσλ ζπζηεκάησλ. Με -x νξίδεηαη ην αξρείν πνπ θαζνξίδεη ηελ απφθξηζε ηνπ honeyd ζε ICMP requests. Με -a νξίδεηαη ην αξρείν πνπ ζπζρεηίδεη ηελ απφθξηζε ζηα ICMP requests κε απηήλ ηνπ nmap. Με -i νξίδεηαη ε NIC πνπ ιακβάλεη ηελ θίλεζε ε eth1 ρξεζηκνπνηνχηαλ κφλν γηα ηε δηαρείξηζε ηνπ ππνινγηζηή θαη ε eth2 έπαηξλε ηα παθέηα απφ ην dark address space. Σέινο, νξίδεηαη ν ρψξνο δηεπζχλζεσλ ζηνλ νπνίνλ ηξέρεη ην πξφγξακκα θαη απηφο είλαη ν /24. Σν αξρείν ξπζκίζεσλ: Αο δνχκε ηψξα ην αξρείν ξπζκίζεσλ ηνπ honeyd πνπ πινπνηεί φιε απηήλ ηελ ηνπνινγία: create WinXPpro_1 set WinXPpro_1 personality "Microsoft Windows XP Professional SP1" add WinXPpro_1 tcp port 22 "bash /usr/local/share/honeyd/scripts/ssh.sh $ipsrc $dport WinXPpro_1:Win_XP_Pro_SP1" add WinXPpro_1 tcp port 21 "bash /usr/local/share/honeyd/scripts/ftp.sh $ipsrc $dport" add WinXPpro_1 tcp port 5554 "perl /usr/local/share/honeyd/scripts/cmdexe-1.06/cmdexe.pl -p winxp -l /tmp/honeyd/cmdexe" add WinXPpro_1 tcp port 135 open add WinXPpro_1 tcp port 137 open add WinXPpro_1 tcp port 139 open set WinXPpro_1 default tcp action reset create WinXPpro_2 set WinXPpro_2 personality "Microsoft Windows XP Professional SP1" add WinXPpro_2 tcp port 80 "bash /usr/local/share/honeyd/scripts/webapache.sh $ipsrc $dport" add WinXPpro_2 tcp port 4444 "perl /usr/local/share/honeyd/scripts/cmdexe-1.06/cmdexe.pl -p winxp -l /tmp/honeyd/cmdexe" add WinXPpro_2 tcp port 5554 "perl /usr/local/share/honeyd/scripts/cmdexe-1.06/cmdexe.pl -p winxp -l Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 43

45 /tmp/honeyd/cmdexe" add WinXPpro_2 tcp port 1433 open add WinXPpro_2 tcp port 135 open add WinXPpro_2 tcp port 137 open add WinXPpro_2 tcp port 139 open set WinXPpro_2 default tcp action reset create Win2000 set Win2000 personality "Microsoft Windows 2000 Server SP2" add Win2000 tcp port 1080 "perl /usr/local/share/honeyd/scripts/mydoom- 0.6/mydoom.pl -l /tmp/honeyd/mydoom" set Win2000 default tcp action reset create Linux_1 set Linux_1 personality "Linux (Υ86)" add Linux_1 tcp port 80 "bash /usr/local/share/honeyd/scripts/apache.sh" add Linux_1 tcp port 22 "bash /usr/local/share/honeyd/scripts/ssh.sh $ipsrc $dport Linux_1:Linux " set Linux_1 default tcp action reset create Linux_2 set Linux_2 personality "Linux " add Linux_2 tcp port 22 "bash /usr/local/share/honeyd/scripts/ssh.sh $ipsrc $dport Linux_2:Linux " add Linux_2 tcp port 25 "bash /usr/local/share/honeyd/scripts/smtp.sh $ipsrc $dport" set Linux_2 default tcp action reset create Cisco_Router_1 set Cisco_Router_1 personality "Cisco 7206 running IOS 11.1(24)" set Cisco_Router_1 default tcp action reset set Cisco_Router_1 default udp action reset create Cisco_Router_2 set Cisco_Router_2 personality "Cisco Catalyst 5500/6500 or Alcatel Omni Switch/Router" add Cisco_Router_2 tcp port 23 "bash /usr/local/share/honeyd/scripts/telnet.sh $ipsrc $dport" set Cisco_Router_2 default tcp action reset set Cisco_Router_2 default udp action reset create default set default default tcp action block Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 44

46 set default default udp action block set default default icmp action block bind Cisco_Router_1 route entry network /24 route link /24 bind Cisco_Router_2 route add net / route link /29 bind Linux_1 bind Linux_2 bind WinXPpro_1 bind WinXPpro_2 bind Win2000 Πεξηζζφηεξεο ιεπηνκέξεηεο γηα ηηο ππεξεζίεο πνπ ηξέρνπλ ζηα honeypots ζα δνζνχλ ζε επφκελε ελφηεηα. Σψξα ζα πεξηγξαθνχλ ηα ραξαθηεξηζηηθά ηνπο θαη νη δειψζεηο πνπ θαηαζθεπάδνπλ ηελ ηνπνινγία. Σν πξψην honeypot πνπ νξίδνπκε έρεη φλνκα WinXPpro_1. ε απηφ πξνζηέζεθε ιεηηνπξγηθφ Windows XP Professional SP1. Οη ζχξεο 21, 22, 5554 ηξέρνπλ αληίζηνηρα έλα bash script γηα ftp, ssh θαη cmd. Απφ ην ηειεπηαίν ηκήκα δειψζεσλ θαίλεηαη πσο ζην κεράλεκα απηφ απνδφζεθε ε IP Σν δεχηεξν κε φλνκα WinXPpro_2 έρεη επίζεο ιεηηνπξγηθφ Windows XP Professional SP1, αιιά δηαθνξεηηθέο ππεξεζίεο. ηελ ζχξα 80 ππάξρεη script πνπ εκθαλίδεη ηελ αξρηθή ζειίδα ελφο apache web server, ζηηο 4444 θαη 5554 είλαη ην script γηα πξνζνκνίσζε ελφο command prompt θαη νη 1433, 135, 137, 139 είλαη αλνηθηέο πεξηκέλνληαο ζπλδέζεηο. ε απηφ απνδφζεθε ε IP Σν ηξίην κε φλνκα Win2000 έρεη Windows 2000 Server SP2 θαη έλα κφλν perl script πνπ πξνζνκνηψλεη ην backdoor πνπ αθήλεη ν ηφο mydoom ζηε ζχξα H IP ηνπ είλαη ε Σν ηέηαξην κε φλνκα Linux_1 έρεη ιεηηνπξγηθφ Linux θαη ηξέρεη ζηηο ζχξεο 80 θαη 22 ηηο αληίζηνηρεο ππεξεζίεο. H IP ηνπ είλαη Σν πέκπην κε φλνκα Linux_2 έρεη ην ίδην ιεηηνπξγηθφ κε ην πξνεγνχκελν θαη ηξέρεη ζηηο ζχξεο 22, 25 ssh θαη smtp αληίζηνηρα. H IP ηνπ είλαη Σν έθην κε φλνκα Cisco_Router_1 είλαη δξνκνινγεηήο Cisco 7206 running IOS 11.1(24) κε θακία αλνηρηή ζχξα θαη ελεξγή ππεξεζία θαη IP To ηειεπηαίν κε φλνκα Cisco_Router_2 είλαη επίζεο έλαο δξνκνινγεηήο Cisco Catalyst 5500/6500 or Alcatel Omni Switch/Router πνπ εθηειεί ππεξεζία telnet ζηε ζχξα 23 θαη έρεη IP Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 45

47 Ρύζκηζε ησλ virtual routers: ηε παξαπάλσ ηνπνινγία έρνπλ πξνζηεζεί δχν δξνκνινγεηέο. Ο έλαο απνηειεί έλα entry point γηα φιν ην ππφινηπν δίθηπν θαη ν δεχηεξνο είλαη κία gateway γηα έλαο ππνζχλνιν ππνινγηζηψλ κέζα ζην αξρηθφ. Σν ηκήκα ησλ δειψζεσλ ζην παξαπάλσ αξρείν πνπ επηηπγράλνπλ απηήλ ηελ θαηάζηαζε είλαη νη ηέζζεξηο δειψζεηο πνπ αξρίδνπλ κε ηε ιέμε route : bind Cisco_Router_1 route entry network /24 route link /24 bind Cisco_Router_2 route add net / route link /29 ην πξψην ηκήκα, ρξεζηκνπνηνχκε ην route entry γηα δεκηνπξγήζνπκε έλα entry point ηνπ δηθηχνπ /24 ζηνλ δξνκνινγεηή Cisco 7206 κε IP ηελ ακέζσο επφκελε γξακκή, κε ηε δήισζε route link πξνζδηνξίδνπκε φηη νη θφκβνη ηνπ ππνδηθηχνπ /24 ζα είλαη απεπζείαο πξνζπειάζηκνη απφ ηνλ δξνκνινγεηή ρσξίο επηπιένλ hops. ην δεχηεξν ηκήκα, πξέπεη λα νξίζνπκε ηνλ δξνκνινγεηή Cisco Catalyst 6500 σο κία gateway γηα ην ηκήκα ηνπ ππνδηθηχνπ κε IP /29. Με ην route add net ινηπφλ, δειψλνπκε φηη ν δξνκνινγεηήο ζα έρεη πξφζβαζε ζην ππνδίθηπν /29 κέζσ ηνπ δξνκνινγεηή κε IP Σέινο, πξνζδηνξίδνπκε κε ην route link θαη γηα ηνλ δεχηεξν δξνκνινγεηή φηη ζα έρεη απεπζείαο πξφζβαζε ζην /29. Σν κε subnet mask , παξέρεη κέρξη έμη δηαθνξεηηθέο IP απφ Δπηπξφζζεηα κε ηηο ξπζκίζεηο απηέο ην honeyd δίλεη ηε δπλαηφηεηα λα νξηζηνχλ πάλσ ζηηο δεχμεηο νξηζκέλα κεγέζε φπσο bandwidth, latency, loss. ε πξαγκαηηθά δίθηπα ππνινγηζηψλ, ππάξρεη θαζπζηέξεζε ζε θάζε έλα hop ηεο ηάμεσο ιίγσλ milliseconds. Η δεζκεπκέλε ιέμε latency νξίδεη αθξηβψο ην κέγεζνο απηφ. Δπίζεο, ε απψιεηα παθέησλ πνπ κπνξεί λα εκθαλίδεηαη νξηζκέλεο θνξέο πξνζνκνηψλεηαη απφ ην honeyd κε ηε ιέμε loss πνπ πξνζδηνξίδεη ηελ απψιεηα κε πνζνζηηαία ηηκή. Σέινο, ην εχξνο δψλεο πνπ είλαη έλα αθφκα ραξαθηεξηζηηθφ κίαο δεχμεο θαη εθθξάδεη ηνλ ξπζκφ κεηάδνζεο ησλ bits πάλσ ζε απηήλ δειψλεηαη κε ηε ιέμε bandwidth. Γηα παξάδεηγκα, ε δήισζε ε νπνία πξνζζέηεη ζηε δεχμε ηνπ δεχηεξνπ δξνκνινγεηή θαζπζηέξεζε 15ms, απψιεηα ηεο ηάμεο 0.01% θαη εχξνο δψλεο 100Mbps είλαη ε εμήο: route add net / latency 15ms loss 0.01 bandwidth 100Mbps 3.4 Host discovery κε Nmap 4.53 Μπνξνχκε γηα ιίγν λα πεξάζνπκε ζηελ αληίπαιε πιεπξά ψζηε λα ειέγμνπκε ηελ νξζφηεηα ηεο θαηαζθεπήο καο. Σν ινγηζκηθφ πνπ ζα ρξεζηκνπνηήζνπκε είλαη ην δεκνθηιέο Nmap. Σν πξψην βήκα ζηελ αλαγλψξηζε ελφο δηθηχνπ ππνινγηζηψλ είλαη λα βξεζνχλ κφλν εθείλνη πνπ είλαη ελεξγνί θαη φπσο ζπκβαίλεη ηηο πεξηζζφηεξεο θνξέο κφλν έλα κηθξφ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 46

48 πιήζνο επί ηνπ ζπλφινπ είλαη ελεξγνί ηαπηφρξνλα. Πξνθεηκέλνπ λα κελ μνδεχνπκε ινηπφλ ρξφλν θάλνληαο port scanning ή os detection ζε θάζε IP, ειέγρνπκε πξσηίζησο πνηεο IP είλαη ελεξγέο. Σν Nmap παξέρεη πνιιέο ηερληθέο γηα απηφλ ηνλ ζθνπφ αλάινγα κε ηηο αλάγθεο ηνπ θάζε αλαιπηή. Απηή πνπ είλαη αξθεηή γηα ηελ αλαγλψξηζε ησλ IP ησλ honeypots φπσο παξνπζηάζηεθαλ πξνεγνπκέλσο είλαη ην Ping scan. ε απηήλ ηε κέζνδν ην Nmap θάλεη απιψο έλα ping ζε θάζε κία IP ηνπ δηθηχνπ πνπ ηνπ νξίδεη ν ρξήζηεο πεξηκέλνληαο λα ιάβεη απάληεζε. Αθνινπζεί ην παξάδεηγκα: />nmap -sp /24 Starting Nmap 4.53 ( ) at :33 EEST Host appears to be up. Host appears to be up. Host appears to be up. Host appears to be up. Host appears to be up. Host appears to be up. Host appears to be up. Nmap done: 256 IP addresses (7 hosts up) scanned in seconds ην απνηέιεζκα, ην πξφγξακκα ζαξψλεη 256 IPs θαη βξίζθεη ελεξγέο κφλν ηηο επηά απφ απηέο φζα είλαη θαη ηα honeypots. Αθνχ βξήθακε ινηπφλ ηηο IPs ζηφρνπο, κπνξνχκε λα ηηο επηιέμνπκε κία πξνο κία γηα λα θάλνπκε πην ελδειερή έιεγρν γηα ην κεράλεκα πνπ βξίζθεηαη πίζσ απφ απηήλ. Δλδεηθηηθά κφλν, επηιέμακε ηελ γηα λα εθηειέζνπκε port scanning θαη operating system detection: />nmap ss v O Starting Nmap 4.53 ( ) at :08 EEST Initiating Ping Scan at 01:08 Scanning [2 ports] Completed Ping Scan at 01:08, 0.03s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 01:08 Completed Parallel DNS resolution of 1 host. at 01:08, 0.21s elapsed Initiating SYN Stealth Scan at 01:08 Scanning [981 ports] Discovered open port 22/tcp on Discovered open port 80/tcp on Completed SYN Stealth Scan at 01:08, 4.20s elapsed (981 total ports) Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 47

49 Initiating OS detection (try #1) against Retrying OS detection (try #2) against Host appears to be up... good. Interesting ports on : Not shown: 967 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 53/tcp filtered domain 80/tcp open http 111/tcp filtered rpcbind 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap Device type: general purpose WAP server appliance printer Running (JUST GUESSING) : Linux 2.6.X 2.4.X (92%), FON Linux 2.4.X (88%), Toshiba Linux 2.4.X (88%) Aggressive OS guesses: Linux (Debian, x86) (92%), Linux (92%), Linux (91%), Linux (x86) (90%), FON La Fonera WAP (OpenWrt, Linux ) (88%), Toshiba Magnia SG10 server appliance (88%), FON La Fonera WAP running OpenWrt w/linux kernel (87%), Lexmark X644e printer (87%), Linux generic (Ubuntu, x86, SMP) (86%), Linux (Red Hat ES4) (85%) No exact OS matches for host (test conditions non-ideal). Network Distance: 7 hops Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 48

50 TCP Sequence Prediction: Difficulty=210 (Good luck!) IP ID Sequence Generation: All zeros Read data files from: /usr/share/nmap OS detection performed. Please report any incorrect results at Nmap done: 1 IP address (1 host up) scanned in seconds Raw packets sent: 1095 (49.876KB) Rcvd: 1034 (48.652KB) Σα απνηειέζκαηα ηαηξηάδνπλ αθξηβψο κε ηα ραξαθηεξηζηηθά ηνπ ππνινγηζηή ζηελ IP Βξέζεθαλ κφλν δχν ζχξεο αλνηθηέο ε 22 θαη ε 80, ελψ ζε κεγάιν βαζκφ ηαηξηάδεη θαη ην απνηέιεζκα γηα ην ιεηηνπξγηθφ ζχζηεκα πνπ δίλεη ην Linux 2.6.X 2.4.X κε ην πξαγκαηηθφ λα είλαη Linux εκεηψλνπκε φηη ε απφθιηζε πνπ παξνπζηάδεηαη ζε απηφ θαζψο θαη ε εκθάληζε αξθεηψλ αθφκα πηζαλψλ ιεηηνπξγηθψλ ζπζηεκάησλ νθείιεηαη ζηηο δηαθνξεηηθέο εθδφζεηο κεηαμχ ηνπ nmap.prints ηνπ honeyd θαη ηνπ nmap-os-db ηνπ Νmap πνπ πεξηέρνπλ ηα fingerprints ησλ ιεηηνπξγηθψλ. ε κία δηαθνξεηηθή πην απηνκαηνπνηεκέλε πξνζέγγηζε, ρσξίο λα γλσξίδνπκε πξνεγνπκέλσο ηηο ελεξγέο IP δνθηκάδνπκε λα εθηειέζνπκε port scanning ζε φιν ην /24. εκεηψλνπκε πσο θαη ζε απηήλ ηε ζάξσζε ζα γίλεη ping scan, αιιά απηή ηε θνξά απηφκαηα απφ ην Nmap ρσξίο λα ην δειψζνπκε ξεηά. Σν παξάδεηγκα: /> nmap -ss /24 Starting Nmap 4.53 ( ) at :48 EEST All 1714 scanned ports on are filtered Interesting ports on : Not shown: 1698 closed ports PORT STATE SERVICE 21/tcp open 22/tcp open ftp ssh 25/tcp filtered smtp 53/tcp filtered domain 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp open netbios-ns 139/tcp filtered netbios-ssn Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 49

51 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap 1434/tcp filtered ms-sql-m Interesting ports on : Not shown: 1697 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 53/tcp filtered domain 80/tcp open http 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp open netbios-ns 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap 1433/tcp open ms-sql-s 1434/tcp filtered ms-sql-m 4444/tcp open krb524 Interesting ports on : Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 50

52 Not shown: 1713 filtered ports PORT STATE SERVICE 1080/tcp open socks Interesting ports on : Not shown: 1700 closed ports PORT STATE SERVICE 23/tcp open telnet 25/tcp filtered smtp 53/tcp filtered domain 111/tcp filtered rpcbind 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap 1434/tcp filtered ms-sql-m Interesting ports on : Not shown: 1699 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 53/tcp filtered domain 80/tcp open http 111/tcp filtered rpcbind 135/tcp filtered msrpc Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 51

53 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap 1434/tcp filtered ms-sql-m Interesting ports on : Not shown: 1700 closed ports PORT STATE SERVICE 22/tcp open 25/tcp open ssh smtp 53/tcp filtered domain 111/tcp filtered rpcbind 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 512/tcp filtered exec 513/tcp filtered login 514/tcp filtered shell 515/tcp filtered printer 540/tcp filtered uucp 593/tcp filtered http-rpc-epmap 1434/tcp filtered ms-sql-m Nmap done: 256 IP addresses (7 hosts up) scanned in seconds Σα απνηειέζκαηα ηεο ζάξσζεο, πνπ αθνξά ηελ πην γξήγνξε TCP SYN ζάξσζε ζηηο πην ζπλήζεηο ζχξεο, επηβεβαηψλνπλ ηελ θαηαζθεπή πνπ θηηάμακε ζην θεθάιαην 3.3. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 52

54 3.5 Honeyd services Έλα απφ ηα θξηζηκφηεξα ζεκεία ζηελ αλάπηπμε ησλ honeypots είλαη νη ππεξεζίεο πνπ πξνζνκνηψλνληαη απφ απηά. Οη ππνινγηζηέο πνπ απνηεινχλ ζηφρν είλαη ζπλήζσο κεραλήκαηα πνπ ηξέρνπλ δηάθνξεο ππεξεζίεο φπσο είλαη έλαο web server, ftp server ή mysql server. Απηφ είλαη έλα μερσξηζηφ θνκκάηη πνπ δελ έρεη άκεζε ζρέζε κε ην πξφγξακκα honeyd. πλήζσο, έλαο αλαιπηήο θαηαζθεπάδεη έλα script γηα ηελ ππεξεζία πνπ ηνλ ελδηαθέξεη θαη ζηε ζπλέρεηα ην εθηειεί κέζσ ηνπ honeyd πεηπραίλνληαο έηζη αιιειεπίδξαζε κε ηνλ επηηηζέκελν. ε απηήλ ηελ ελφηεηα ζα παξνπζηαζηνχλ νη ππεξεζίεο πνπ εθηεινχληαλ ζηα honeypots ηεο εηθφλαο 4. πλνιηθά έηξεραλ πέληε δηαθνξεηηθέο ππεξεζίεο (ssh, ftp, web, telnet, smtp), έλα script πνπ πξνζνκνηψλεη ην backdoor πνπ αθήλεη ν ηφο mydoom ζε Windows θαη έλα πνπ πξνζνκνηψλεη έλα command prompt γηα Windows. Όια ηα παξαπάλσ είλαη είηε shell είηε perl scripts θαη βξίζθνληαη ζηε δηεχζπλζε Δθηέιεζε ησλ ππεξεζηώλ: Η εθηέιεζε ησλ δηαθφξσλ scripts γίλεηαη πνιχ εχθνια κέζσ ηνπ αξρείνπ ξπζκίζεσλ ηνπ honeyd φπσο θαηαγξάθεθε ζηελ πξνεγνχκελε ελφηεηα. Δλδεηθηηθά ζα αλαθέξνπκε ην παξάδεηγκα γηα ην script web-apache.sh θαη mydoom.pl: add WinXPpro_2 tcp port 80 "bash /usr/local/share/honeyd/scripts/webapache.sh $ipsrc $dport" add Win2000 tcp port 1080 "perl /usr/local/share/honeyd/scripts/mydoom- 0.6/mydoom.pl -l /tmp/honeyd/mydoom" ηελ πξψηε πεξίπησζε πνπ αλαθέξεηαη ζηνλ ππνινγηζηή κε Windows XP, έρνπκε πξνζζέζεη ην bash script script web-apache.sh. Γειψλνπκε πξψηα ηε ζχξα ( 80 ) ζηελ νπνία ζα ηξέρεη ε ππεξεζία θαη ζηε ζπλέρεηα κέζα ζε εηζαγσγηθά γξάθνπκε ηελ εληνιή θειχθνπο ("bash /usr/local/share/honeyd/scripts/web-apache.sh $ipsrc $dport" ) πνπ ζα εθηειεζηεί γηα λα ηξέμεη ζσζηά ην script. Καιφ ζα ήηαλ λα πξνζδηνξίζνπκε φιν ην κνλνπάηη φπνπ βξίζθεηαη απνζεθεπκέλν. Τπάξρεη θαη ε δπλαηφηεηα λα πξνζδηνξίζνπκε ηηο παξακέηξνπο γηα ην script, φπσο είλαη ζε απηφ ην παξάδεηγκα νη $ipsrc $dport. ηε δεχηεξε πεξίπησζε γηα ηνλ ππνινγηζηή κε Windows 2000, ηξέρνπκε ην perl script mydooom.pl ζηε ζχξα 1080 κε κνλαδηθφ φξηζκα ηνλ θαηάινγν ( -l /tmp/honeyd/mydoom ) γηα ην logging ηνπ mydoom. Δθηφο απφ ηηο ζηαηηθέο παξακέηξνπο πνπ κπνξνχλ λα πάξνπλ ηα scripts, ην honeyd δηαζέηεη νξηζκέλεο κεηαβιεηέο πνπ κπνξνχλ θαη απηέο λα πεξαζηνχλ σο παξάκεηξνη. Απηέο νη κεηαβιεηέο είλαη νη $ipsrc, $ipdst, $sport and $dport πνπ αληηζηνηρνχλ ζηελ IP πξνέιεπζεο, πξννξηζκνχ θαη ζηε ζχξα πξνέιεπζεο θαη πξννξηζκνχ. Σν θάζε script εθηειείηαη κέζσ κίαο λέα δηεξγαζίαο πνπ πξνθχπηεη απφ απηή ηνπ honeyd. Γηα λα εθηειεζηεί ρσξίο λα πξνθχςεη λέα, ρξεζηκνπνηείηαη ε δήισζε internal. Παξάδεηγκα: add WinXPpro_2 tcp port 80 internal "bash /usr/local/share/honeyd/scripts/webapache.sh $ipsrc $dport" Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 53

55 Γεκηνπξγία: Η δεκηνπξγία θάπνηνπ script πνπ ζα πξνζνκνηψλεη κία ππεξεζία απνηειεί κία δχζθνιε δηαδηθαζία ιφγσ ηεο πνιχπινθεο θχζεο πνπ παξνπζηάδεη ζπλήζσο έλα πξσηφθνιιν. Γηα παξάδεηγκα ζηελ πεξίπησζε ηνπ ssh, server θαη client αληαιιάζζνπλ πιεξνθνξίεο γηα ηελ έθδνζε ηνπ ssh πξνγξάκκαηνο πνπ εθηειεί ν θαζέλαο, ζπκθσλνχλ ζην πξσηφθνιιν αζθαιείαο πνπ ζα ρξεζηκνπνηήζνπλ γηα ηελ αληαιιαγή θιεηδηψλ θαη ηέινο εθαξκφδεηαη ε θξππηνγξαθεκέλε επηθνηλσλία. Απηά θαζηζηνχλ αξθεηά δχζθνιε ηελ αληηγξαθή φιεο ηεο επηθνηλσλίαο. Φπζηθά, ππάξρνπλ θαη πην απιά ζηελ θαηαζθεπή ηνπο πξσηφθνιια φπσο είλαη ην ftp. ε απηφ δελ ρξεηάδεηαη θακία θξππηνγξάθεζε ελψ ε επηθνηλσλία κεηαμχ ησλ δχν πιεπξψλ επηηπγράλεηαη κε νξηζκέλεο πην απιέο εζσηεξηθέο εληνιέο. Παξαθάησ ζα αλαιπζεί ε θαηαζθεπή ελφο script γηα ην ftp. Αο ξίμνπκε φκσο πξψηα κία καηηά ζηελ επηθνηλσλία κεηαμχ ftp client θαη server ψζηε λα γλσξίδνπκε πνηεο απαηηήζεηο πξέπεη λα ηθαλνπνηήζνπκε φηαλ θαηαζθεπάζνπκε ην script. Θεσξνχκε φηη ε ππεξεζία δελ απαηηεί θσδηθφ πξφζβαζεο αξθεί ν ρξήζηεο λα δψζεη σο φλνκα ρξήζηε ηε ιέμε anonymous ή λα εθηειέζεη ηνλ ftp client κε ηελ αληίζηνηρε επηινγή ( π.ρ. ftp A <ftp-server>, γηα Windows). Θα εθηειέζνπκε ηξία βήκαηα. Αξηζηεξά εκθαλίδεηαη ε εληνιή ηνπ ftp client θαη δεμηά νη εζσηεξηθέο εληνιέο πνπ θηάλνπλ ζηνλ ftp server. 1. χλδεζε κε ηνλ πνπ ηξέρεη ην ftp script απφ Windows ftp client: />ftp -A USER anonymous PASS xxxxxxxxx 2. Μεηά ηε ζχλδεζε, βιέπνπκε ηα πεξηερφκελα ηνπ θαηαιφγνπ: ftp> ls PORT 84,38,12,21,4,43 NLST εκείσζε: κε ηελ εληνιή PORT απνζηέιιεηαη ε IP θαη ε ζχξα κε ηελ νπνία P ζα δεκηνπξγεζεί κία λέα ζχλδεζε γηα κεηαθνξά δεδνκέλσλ. ηελ θαηαζθεπή ηνπ A script κπνξνχκε λα αγλνήζνπκε απηά ηα ζηνηρεία. S S 3. Αιιαγή ηνπ working directory. Θεσξνχκε φηη ππάξρεη ν θαηάινγνο ftp/ θαη αιιάδνπκε ζε απηφλ: x x CWD ftp ftp> cd ftp x x P x A Αθνινπζεί ην shell script γηα ηελ ππεξεζία ftp: x S x S #!/bin/sh x # x # FTP (WU-FTPD) Honeypot-Script intended for use with # Honeyd DATE=`date` log=/tmp/honeyd/ftp.log Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 54 AUTH="ANONYMOUS" S S x x x x xp x x A x x x A S S x x x x x x x x x S S x x x x x P P A

56 PASS="no" Dir="default" echo "$DATE: FTP started from $1 Port $2" >> $log echo "220 Di FTP server (Version 2.6.0(5) $DATE) ready." echo -e "Using binary mode to transfer files.\r" while read incmd parm1 parm2 parm3 parm4 parm5 do # remove control-characters incmd=`echo $incmd sed s/[[:cntrl:]]//g` parm1=`echo $parm1 sed s/[[:cntrl:]]//g` parm2=`echo $parm2 sed s/[[:cntrl:]]//g` parm3=`echo $parm3 sed s/[[:cntrl:]]//g` parm4=`echo $parm4 sed s/[[:cntrl:]]//g` parm5=`echo $parm5 sed s/[[:cntrl:]]//g` # convert to upper-case incmd_nocase=`echo $incmd gawk '{print toupper($0);}'` #echo $incmd_nocase $parm1 $parm2 case $incmd_nocase in QUIT* ) exit 0;; SYST* ) ;; HELP* ) echo -e "221 Goodbye.\r" echo -e "215 UNIX Type: L8\r" echo -e "214-The following commands are recognized (* =>'s unimplemented).\r" echo -e "USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" echo -e "PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" echo -e "ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" echo -e "SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" echo -e "REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" echo -e "QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" echo -e "214 Direct comments to Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 55

57 ;; USER* ) parm1_nocase=`echo $parm1 gawk '{print toupper($0);}'` if [ "$parm1_nocase" = "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete address as a password.\r" else fi ;; PASS* ) AUTH="ANONYMOUS" echo -e "331 Password required for $parm1\r" PASS=$parm1 AUTH=$parm1 if [ "$AUTH" = "ANONYMOUS" ] then else fi ;; CWD ) echo -e "230-Hello User at $1,\r" echo -e "230-Local time is: $DATE\r" echo -e "230 Guest login ok, access restrictions apply.\r" echo "530 Login incorrect.\r" if test "$Dir" = "ftp" && test "$parm1"!= ".." && test "$param1"!= "../" then fi echo -e "550 Failed to change directory.\r" if test "$Dir" = "default" && test "$parm1"!= ftp fi then echo -e "550 Failed to change directory.\r" if test "$Dir" = "default" && test "$parm1" = ftp then echo -e "250 Directory successfully changed.\r" Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 56

58 OK\r" fi Dir=ftp if test "$Dir" = "ftp" && test "$parm1" = ".." ;; then fi PWD ) echo -e "250 Directory successfully changed.\r" Dir=default echo -e "257 \"/anonymous\"\r" ;; XPWD ) echo -e "257 \"/anonymous\"\r" ;; XMKD* ) echo -e "550 Create directory operation failed.\r" ;; PORT ) echo -e "250\r" if test "$Dir" = "default" then else echo -e "drwxr-xr-x Feb 28 14:22 ftp\n226 Directory send echo -e "-rw-r--r Dec 17 16:31 ftp_conf.text\n226 Directory send OK\r" fi ;; NLST ) ;; NOOP* ) echo -e "226\r" echo -e "200 NOOP command successful.\r" ;; PASV* ) echo -e "227 Entering Passive Mode (134,76,11,100,165,53)\r" Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 57

59 ;; ACCT* ) echo -e "502 $incmd command not implemented.\r" ;; esac echo -e "$incmd $parm1 $parm2 $parm3 $parm4 $parm5" >> $log done # #End of script Πεξηγξάθνληαο ην παξαπάλσ, εληνπίδνπκε έλα while loop πνπ πεξηέρεη κία δνκή case. Μέζσ ηνπ while loop, ην script δηαβάδεη ηηο εζσηεξηθέο εληνιέο πνπ αληηζηνηρνχλ ζε θάζε κία εληνιή πνπ ζηέιλεη ν client. ην case βξίζθνληαη φιεο νη εληνιέο πνπ ζέινπκε λα ππνζηεξίδεη ην script πνπ θηηάρλνπκε. Γηα παξάδεηγκα ζηελ αξρή πνπ γίλεηαη ζχλδεζε σο anonymous, ην while read απνζεθεχεη ζηελ $incmd ηελ ηηκή USER θαη ζηελ $parm1 ηελ ηηκή anonymous. Μέζσ ηνπ case ν έιεγρνο κεηαβαίλεη ζην αληίζηνηρν κπινθ εληνιψλ, φπνπ γίλεηαη έιεγρνο γηα ην αλ δφζεθε σο username ην anonymous νπφηε θαη ζα επηηξέςεη ηε ζχλδεζε εκθαλίδνληαο ην αληίζηνηρν κήλπκα, αιιηψο ζα εκθαληζηεί ην κήλπκα "530 Login incorrect". ηελ πεξίπησζε ηεο ls, νπφηε ιακβάλνληαη δηαδνρηθά νη PORT θαη NLST κφλν ζηε κία απφ απηέο ρξεηάδεηαη λα βάινπκε θάπνην κπινθ εληνιψλ πνπ ζα εθηειεζηνχλ σο απάληεζε. ην κπινθ ηεο PORT εκθαλίδεηαη ν ππνηηζέκελνο θαηάινγνο ftp, ελψ ζην κπινθ ηεο NLST εκθαλίδεηαη κφλν ν θσδηθφο ηεο πξάμεο. Όηαλ ν client εθηειεί cd ftp, ην κπινθ ηεο CWD ειέγρεη αλ ν client είλαη ζηνλ αξρηθφ θαηάινγν νπφηε κπνξεί λα κεηαβεί ζηνλ ftp ή αλ έρεη ήδε αιιάμεη θαη ηφηε εκθαλίδεηαη ην κήλπκα "550 Failed to change directory.". Μέζα ζηνλ ftp εκθαλίδεηαη λα ππάξρεη θαη έλα αξρείν κε φλνκα ftp_conf.text γηα ηελ πεξίπησζε πνπ εθηειεζηεί ls ζηνλ ftp. Να ζεκεηψζνπκε πσο φηαλ ζέινπκε λα δψζνπκε νπνηνδήπνηε κήλπκα σο απάληεζε ζηνλ client ρξεζηκνπνηνχκε ηελ εληνιή θειχθνπο echo θαη πσο πξέπεη ζηελ αξρή θάζε κελχκαηνο λα εκθαλίδεηαη ν αληίζηνηρνο θσδηθφο ηεο πξάμεο φπσο γίλεηαη θαη ζηελ πξαγκαηηθφηεηα. ην παξαπάλσ script είλαη πινπνηεκέλεο κφλν νη πην ζπρλέο εληνιέο. Δθηέιεζε αιεζηλώλ ππεξεζηώλ ή πξνγξακκάησλ: Λφγσ ηεο δπζθνιίαο πνπ έρνπλ ηα scripts ππεξεζηψλ ζηελ θαηαζθεπή ηνπο θαη ηεο ρακειήο δηαδξαζηηθφηεηαο πνπ ηειηθά επηηπγράλνπλ, κπνξεί λα απνδεηρηεί πνιχηηκε ε δπλαηφηεηα ηνπ honeyd λα εθηειεί αιεζηλά πξνγξάκκαηα. Απηή ε δπλαηφηεηα νλνκάδεηαη subsystem virtualization. Αλ γηα παξάδεηγκα ζέιακε λα εθηειέζνπκε ηελ ππεξεζία ssh ζε έλα απφ ηα honeypots, ζην αξρείν ξπζκίζεσλ ηνπ honeyd ζα πξνζζέηακε ηελ παξαθάησ δήισζε: add <template name> subsystem /usr/sbin/sshd. Έηζη, φηαλ γίλεη κία ζχλδεζε ζηε ζχξα 22 απηφκαηα ζα εθηειεζηεί ην πξφγξακκα πνπ πξνζδηνξίζηεθε ζηε δήισζε. Πηζαλφλ λα ρξεηαζηεί λα δψζνπκε ζην honeyd θαηά ηελ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 58

60 εθηέιεζε δηθαηψκαηα ππεξρξήζηε δίλνληαο ζηε γξακκή εληνιψλ ηηο παξακέηξνπο: -u 0 g 0, πνπ ζέηνπλ user id θαη group id ην 0 πνπ αληηζηνηρεί ζηνλ ππεξρξήζηε. Πξνζνρή! Σξέρνληαο ηηο αιεζηλέο ππεξεζίεο ζηα honeypots ζα εθζέζεηε ηνλ ππνινγηζηή ζαο πεξηζζφηεξν. Αλ γηα παξάδεηγκα ρξεζηκνπνηείηε ήδε ηελ ππεξεζία ssh γηα λα έρεηε απνκαθξπζκέλε πξφζβαζε ζηνλ ππνινγηζηή πνπ είλαη ν honeyd server θαη ν επηηηζέκελνο θαηαθέξεη λα βξεη ηνλ θσδηθφ ή λα ηνλ παξαθάκςεη, ζα έρεη ακέζσο πξφζβαζε ζηνλ ππνινγηζηή. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 59

61 ΚΔΦΑΛΑΙΟ 4 4. Σα δεδνκέλα από ηε βάζε δεδνκέλσλ ηνπ Snort ε απηφ ην θεθάιαην ζα παξνπζηαζηνχλ θαη επεμεγεζνχλ ηα alerts πνπ θαηέγξαθε ην ινγηζκηθφ Snort ζε δηάζηεκα πεξίπνπ έμη κελψλ. Δπίζεο, ζα δνζνχλ δηαγξάκκαηα πνπ καο βνεζάλε λα βγάινπκε ζπκπεξάζκαηα απφ ηελ δηθηπαθή θίλεζε πνπ αλέιπζε ην ινγηζκηθφ. 4.1 Alerts Σηο πξψηεο κέξεο ιεηηνπξγίαο, ην Snort παξαθνινπζνχζε ηφζν ην dark address space /24 ( πίλαθαο 1 ) φζν θαη ην παξαγσγηθφ ππνδίθηπν ζην νπνίν βξηζθφηαλ ν ίδηνο /24 ( πίλαθαο 5 ). Η παξαηήξεζε ηνπ παξαγσγηθνχ ππνδηθηχνπ δελ απνηειεί ζηφρν απηήο ηεο εξγαζίαο θαη γηα απηφ ηα alerts πνπ αλήθνπλ ζε απηφ πεξηγξάθνληαη ζην εδάθην 6.1 μερσξηζηά. Θα επηθεληξσζνχκε πεξηζζφηεξν ζην darknet. Πίλαθαο 1: Σα είδε ησλ alerts πνπ θαηαγξάθεθαλ ζην ρώξν ηνπ darknet. Φηάλνπλ ηα ηξηάληα νθηώ ζε αξηζκό. Alert Signature DDOS Stacheldraht client check gag frag3: Fragmentation overlap ftp_pp: FTP bounce attack ftp_pp: FTP command channel encrypted ftp_pp: Invalid FTP command ftp_pp: Possible string format attempt in FTP command/parameter http_inspect: BARE BYTE UNICODE ENCODING ICMP Destination Unreachable Communication Administratively Prohibited ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited ICMP PING CyberKit 2.2 Windows ICMP PING NMAP ICMP redirect host ICMP Source Quench Classification attempted-dos unclassified policy-violation protocol-commanddecode protocol-commanddecode attempted-admin unclassified misc-activity misc-activity misc-activity attempted-recon bad-unknown bad-unknown Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 60

62 ICMP superscan echo portscan: TCP Portscan portscan: TCP Portsweep SNMP AgentX/tcp request SNMP request tcp SNMP trap tcp Snort Alert [1:0:0] Snort Alert [1:10136:0] Snort Alert [1:11264:0] Snort Alert [1: :0] Snort Alert [1:3441:0] Snort Alert [1:3626:0] Snort Alert [1:6512:0] snort_decoder: Experimental TCP options snort_decoder: Short UDP packet, length field > payload length snort_decoder: TCP Data Offset is less than 5! snort_decoder: Tcp Options found with bad lengths snort_decoder: Truncated Tcp Options snort_decoder: WARNING: ICMP Original IP Fragmented and Offset Not 0! snort_decoder: WARNING: ICMP Original IP Header Not IPv4! attempted-recon unclassified unclassified attempted-recon attempted-recon attempted-recon unclassified attempted-admin attempted-admin unclassified misc-attack attempted-dos attempted-admin non-standard-protocol non-standard-protocol non-standard-protocol non-standard-protocol non-standard-protocol non-standard-protocol non-standard-protocol snort_decoder: WARNING: ICMP Original IP Payload < 64 bits! non-standard-protocol ssh: Protocol mismatch WEB-FRONTPAGE /_vti_bin/ access WEB-FRONTPAGE posting WEB-PHP Setup.php access unclassified web-application-activity web-application-activity web-application-activity 4.2 Δξκελεία γηα ηα είδε ησλ alerts Σα alerts πνπ γελλάεη ην Snort πξνέξρνληαη απφ ηξία δηαθνξεηηθά ηκήκαηα ηνπ ινγηζκηθνχ. Σε detection engine, ηελ preprocessor engine θαη ηνλ decoder. Απφ ηελ capture engine ην παθέην νδεγείηαη ζηνλ decoder, απφ εθεί ζηελ preprocessor engine θαη ηέινο ζηελ detection engine. O Snort decoder παξαθνινπζεί ηε δνκή ησλ παθέησλ γηα λα ζηγνπξεπηεί φηη απηά αθνινπζνχλ ηηο ζπλήζεηο πξνδηαγξαθέο. Αλ γηα παξάδεηγκα έλα παθέην έρεη Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 61

63 αζπλήζηζην κέγεζνο (π.ρ. είλαη πνιχ κηθξφ) ή πνιχ αζπλήζηζηεο ξπζκίζεηο (π.ρ. TCP options) ηφηε γελλάεη έλα alert γηα απηφ ην παθέην. Απηφ ζεκαίλεη φηη είλαη πηζαλφ νξηζκέλα ηέηνηα alert λα απνηεινχλ false positives. Τπάξρεη δπλαηφηεηα απελεξγνπνίεζεο ηεο γελλήηξηαο alerts ηνπ decoder κέζα απφ ην αξρείν ξπζκίζεσλ ηνπ Snort. Η preprocessor engine απνηειείηαη απφ δηάθνξα plug-ins ζηφρνο ησλ νπνίσλ είλαη λα πξνεηνηκάζνπλ ηα παθέηα ψζηε φηαλ θηάζνπλ ζηελ detection engine λα κπνξνχλ λα ειεγρζνχλ πην εχθνια θαη πην απνδνηηθά. Γηα παξάδεηγκα ν preprocessor frag3 αλαζπλζέηεη ηα θαηαθεξκαηηζκέλα παθέηα ζε έλα κεγαιχηεξν ψζηε ηα rules ηεο detection engine λα εθαξκνζηνχλ πάλσ ζε απηφ θαη φρη ζηα θνκκάηηα ηνπ. Ο http_inspect θάλεη θαλνληθνπνίεζε ησλ δεδνκέλσλ κεηαηξέπνληαο http requests πνπ είλαη ζε Unicode ζε κνξθή ASCII, έηζη ψζηε λα κπνξνχλ λα εθαξκνζηνχλ θαη ζε Unicode ηα rules πνπ έρνπλ γξαθηεί γηα ASCII. Η detection engine αλαιχεη ηα εηζεξρφκελα παθέηα εθαξκφδνληαο ζε απηά έλα ζχλνιν απφ rules (θαλφλεο). Οη θαλφλεο απηνί αλαπηχζζνληαη απφ ζπγθεθξηκέλεο νκάδεο ζην ρψξν ηεο αζθάιεηαο ακέζσο κφιηο βξεζνχλ exploits γηα δηάθνξα πξνγξάκκαηα. Καλφλεο επίζεο, κπνξεί λα θηηάμεη ν θάζε ρξήζηεο ηνπ Snort πξνθεηκέλνπ λα θαιχςεη ηηο ηδηαίηεξεο αλάγθεο ηνπ. Δλδηαθέξνλ ζα ήηαλ λα πξνζπαζήζνπκε λα εξκελεχζνπκε ηε ζεκαζία θαη ηε ζπνπδαηφηεηα ηνπ θάζε alert μερσξηζηά. Γηα απηφ παξαθάησ δίλεηαη κία εξκελεία γηα ηα πεξηζζφηεξα απφ ηα alerts πνπ θαηαγξάθεθαλ ζην ρψξν ηνπ darknet. ssh: Protocol mismatch: Μηα ζπλεζηζκέλε εηδνπνίεζε πνπ κπνξεί λα νθείιεηαη ζε δηάθνξα αίηηα. πλήζσο mismatch (αζπκθσλία) ηνπ πξσηνθφιινπ ssh κπνξεί λα πξνθιεζεί γηα ηνπο εμήο ιφγνπο: είηε επηρεηξείηαη ζχλδεζε κεηαμχ δχν ππνινγηζηψλ κε δηαθνξεηηθέο εθδφζεηο ssh (SSH1/SSH2), είηε θάπνηνο πξνζπαζεί λα ζπλδεζεί ζηελ ζχξα ηνπ ssh κέζσ άιιεο ππεξεζίαο (π.ρ. telnet). Αλ θαη ην mismatch ζηε γεληθή πεξίπησζε δελ απνηειεί πξφβιεκα, ππάξρνπλ νξηζκέλα switches ηεο Cisco (Catalyst 6000,5000,4000) ηα νπνία αλ ην πξσηφθνιιν πνπ επηρεηξεί λα ζπλδεζεί δελ είλαη ssh, νδεγνχληαη ζε επαλεθθίλεζε ιφγσ απνηπρίαο ηεο supervisor engine. Όπσο είλαη θπζηθφ, θάηη ηέηνην ζα κπνξνχζε λα ρξεζηκνπνηεζεί ζε επηζέζεηο DOS. Πνιιέο εηδνπνηήζεηο γηα ssh mismatch απνδεηθλχνληαη false positives αλ ν πξνεπεμεξγαζηήο ηνπ snort είλαη ξπζκηζκέλνο ζε autodetect. snort_decoder: Short UDP packet, length field > payload length: Η εηδνπνίεζε απηή ππνδεηθλχεη φηη έλα UDP datagram πνπ έιαβε ν ππνινγηζηήο είρε κηθξφηεξν ζψκα δεδνκέλσλ απφ φηη ήηαλ δεισκέλν ζηελ επηθεθαιίδα ηνπ. Πνιχ ζπρλά εηδνπνηήζεηο ηέηνηνπ ηχπνπ είλαη false positives πνπ παξάγνληαη απφ θαθή αλάγλσζε ηνπ παθέηνπ απφ ηνλ decoder ηνπ snort. ηελ πεξίπησζε πνπ ην παθέην φλησο είρε εζθαικέλα ζηνηρεία ζηελ επηθεθαιίδα ηνπ, θαηά πάζα πηζαλφηεηα είρε σο ζθνπφ κηα επίζεζε είηε κε ηε κνξθή θαηάξξεπζεο ηνπ εμππεξεηεηή, είηε κε ηελ απφπεηξα εθηέιεζεο θψδηθα ζε κε επηηξεπφκελε ζέζε (πξνθαιψληαο επίζεο θαηάξξεπζε, ή απνθηψληαο πξφζβαζε ζε πξνζηαηεπκέλα δεδνκέλα). Μηα άιιε πηζαλή θαθφβνπιε ρξήζε ηνπ εζθαικέλνπ κεγέζνπο είλαη λα απνθξχπηεη κηα άιιε επίζεζε πνπ κπνξεί λα πεξηέρεη ην παθέην, αθνχ ν decoder ζα παξάγεη πξψηνο ηελ (ρακειήο πξνηεξαηφηεηαο) εηδνπνίεζε γηα ην κέγεζνο. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 62

64 portscan: TCP Portsweep Σν snort παξάγεη ηέηνηεο εηδνπνηήζεηο φηαλ αληρλεπζεί δξαζηεξηφηεηα ζάξσζεο ζπξψλ (portsweeping) κε ρξήζε ηνπ πξσηνθφιινπ TCP. Σν portsweeping είλαη κηα ππνπεξίπησζε ηνπ portscanning, ην νπνίν πεξηγξάθεηαη παξαθάησ. Όηαλ θάπνηνο εθηειεί portsweeping ζην δίθηπφ καο, ζηελ νπζία εμεηάδεη πφζνη απφ ηνπο δηαθνκηζηέο ζε έλα εχξνο δηεπζχλζεσλ IP έρνπλ αλνηρηή κηα ζπγθεθξηκέλε ζχξα. Η ηερληθή απηή αλήθεη ζην πξνπαξαζθεπαζηηθφ ζηάδην κηαο επίζεζεο. Υξεζηκφηεηά ηεο είλαη ν εληνπηζκφο ππνινγηζηψλ πνπ είλαη επάισηνη κέζσ ελφο ζπγθεθξηκέλνπ πξσηνθφιινπ ή ππεξεζίαο, αθνχ νη εθαξκνγέο απηέο "αθνχλ" ζπλήζσο ζε κηα εηδηθή ζχξα, ή νπνία θαη ζαξψλεηαη. Γηα ηνλ ιφγν απηφ νη θαηαγξαθέο θίλεζεο portsweep ζην Γηαδίθηπν απμάλνληαη φηαλ αλαθαιπθζεί θάπνην λέν θελφ αζθαιείαο ζε ζπγθεθξηκέλε εθαξκνγή. Σελ ηερληθή ρξεζηκνπνηνχλ επίζεο θαη πνιιά worms. Οη κέζνδνη πνπ ρξεζηκνπνηνχληαη γηα portsweeping είλαη αληίζηνηρεο κε απηέο ηνπ portscanning. Σν snort ρξεζηκνπνηεί έλα ζχλνιν επξηζηηθψλ θαλφλσλ γηα λα αληηιεθζεί αλ ε παξαβαηηθή θίλεζε πνπ εληνπίδεη απνηειεί κέξνο portscan ή portsweep. Π.ρ. εμεηάδεηαη ν ιφγνο ζηνρεπφκελσλ δηεπζχλζεσλ IP αλά ζχξα, ν νπνίνο πξέπεη λα είλαη κεγάινο ζηελ πεξίπησζε portsweep. Σν snort είλαη πηζαλφ λα παξάγεη false positives, ππνδεηθλχνληαο φηη ν ππνινγηζηήο καο εθηειεί ζάξσζε, θαηά ηελ πεξηήγεζε ζην Γηαδίθηπν φπνπ θάλνπκε ζπρλά αηηήζεηο ζηελ ίδηα ζχξα ζε δηαθνξεηηθέο δηεπζχλζεηο IP. ICMP PING NMAP: Απηή ε εηδνπνίεζε παξάγεηαη φηαλ ν ππνινγηζηήο δερηεί κηα echo αίηεζε ping κε ρξήζε ηνπ πξσηνθφιινπ ICMP. Σν ζχζηεκα ζεσξεί φηη ε αίηεζε πξνέξρεηαη απφ ην nmap, έλα πνιχ γλσζηφ πξφγξακκα αλίρλεπζεο αδπλακηψλ ζε δίθηπα, δηφηη ην παθέην δελ πεξηέρεη θαζφινπ δεδνκέλα ζην ζψκα ηνπ. Η αίηεζε ρξεζηκεχεη ζηελ αλίρλεπζε ππνινγηζηψλ πνπ αληηζηνηρνχλ ζε δηεπζχλζεηο ζε έλα δίθηπν. Σν πξσηφθνιιν ICMP ρξεζηκνπνηείηαη κφλν εθφζνλ ν επηηηζέκελνο έρεη δηθαηψκαηα root ζηνλ ππνινγηζηή ηνπ (αιιηψο ρξεζηκνπνηείηαη TCP). Δπίζεο κηα αίηεζε ping γίλεηαη απφ πξνεπηινγή πξηλ απφ αλίρλεπζε αλνηρηψλ ζπξψλ (portscanning). Αλ ν επηηηζέκελνο ιάβεη απάληεζε ζηελ αίηεζή ηνπ, ζπλήζσο ζεκαίλεη φρη κφλν πσο ε ζηνρεπφκελε δηεχζπλζε αληηζηνηρεί ζε ππνινγηζηή, αιιά θαη πψο ν ππνινγηζηήο είλαη πεπαιαησκέλνο/απξνζηάηεπηνο, θαζψο ηα πεξηζζφηεξα ζπζηήκαηα γλσξίδνπλ απηφ ηνλ ηχπν αλίρλεπζεο θαη ιακβάλνπλ αληίκεηξα. Σν κεηνλέθηεκα απφ ηελ πιεπξά ηνπ επηηηζέκελνπ είλαη φηη γηα λα ιάβεη απάληεζε ζην ping πξέπεη λα ζπκπεξηιάβεη ηελ πξαγκαηηθή ηνπ δηεχζπλζε ζην παθέην. Όπσο είλαη ζχλεζεο ζηηο εηδνπνηήζεηο γηα ping, κπνξεί λα είλαη false positive, δηφηη εθηφο απφ ην nmap θαη άιια πξνγξάκκαηα ζηέιλνπλ ICMP αηηήζεηο ping κε κεδεληθά δεδνκέλα (Kontiki, ππεξεζία ελεκέξσζεο ηνπ avast! antivirus). EXPLOIT symantec antivirus realtime virusscan overflow attempt (Snort Alert [1:6512:0]) : ηφρνο ηνπ θαλφλα πνπ παξάγεη απηή ηελ εηδνπνίεζε είλαη λα ελεκεξψζεη γηα ηελ απφπεηξα εθκεηάιιεπζεο ηνπ θελνχ αζθαιείαο νξηζκέλσλ εθδφζεσλ ηνπ πξνγξάκκαηνο Symantec AntiVirus (1.0.0.x, x, 3.0.x θαη 3.1.x). Έλαο αλψλπκνο επηηηζέκελνο κπνξεί κέζσ ηεο ππεξεζίαο απνκαθξπζκέλεο δηαρείξηζεο λα εθκεηαιιεπηεί έλα πξφβιεκα πνπ νδεγεί ζε ππεξρείιηζε buffer θαη λα εθηειέζεη πηζαλψο επηδήκην θψδηθα κε δηθαηψκαηα SYSTEM ή λα νδεγήζεη ην ζχζηεκα ζε θαηάξξεπζε. Η ππεξεζία απνκαθξπζκέλεο δηαρείξηζεο είλαη ζπλήζσο ελεξγνπνηεκέλε Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 63

65 ζε ζπζηήκαηα κε εηαηξηθέο ξπζκίζεηο θαη απφ πξνεπηινγή αθνχεη ζηελ ζχξα TCP 2967 ζηνλ πειάηε αιιά θαη ζηνλ εμππεξεηεηή. Παξφιν πνπ ε ρξήζε ηεο ππεξεζίαο ρξεζηκνπνηεί θξππηνγξαθία SSL, ηα δηαρεηξηδφκελα ζπζηήκαηα απνδέρνληαη αηηήκαηα θαη ζε κνξθή clear-text. Η ππεξεζία ρξεζηκνπνηεί έλα δηθφ ηεο πξσηφθνιιν κε 2 επίπεδα. Η θεθαιίδα ηνπ εμσηεξηθνχ επηπέδνπ πξνζδηνξίδεη ην είδνο ηνπ κελχκαηνο: 10 γηα αηηήζεηο ζην πξφγξακκα Rtvscan.exe (αλίρλεπζε ηψλ ζε πξαγκαηηθφ ρξφλν), 20 θαη 30 γηα ζπλδηαιιαγή SSL. Σα κελχκαηα ηχπνπ 10 πεξηέρνπλ δηθή ηνπο θεθαιίδα ζηελ νπνία κπνξνχλ λα ζπκπεξηιεθζνχλ δηεπθξηληζηηθέο εληνιέο πξνο ην Rtvscan.exe. Η ρξεζηκνπνίεζε ηεο εληνιήο COM_FORWARD_LOG επηηξέπεη ηελ εθηέιεζε απζαίξεησλ δεδνκέλσλ ιφγσ κηαο αληηθαλνληθήο ρξήζεο ηεο strncat πνπ πξνθαιεί ππεξρείιηζε buffer. Η εηαηξεία Symantec έρεη εθδψζεη ελεκεξψζεηο πνπ δηνξζψλνπλ ην πξφβιεκα, θαζψο θαη πηζαλά αληίκεηξα γηα ηελ απνθπγή ηνπ θαη ηαπηφηεηεο ηψλ πνπ ελδέρεηαη λα ην εθκεηαιιεπηνχλ. Απηφο ν θαλφλαο ηνπ snort δελ παξάγεη false positives. Πεξηζζόηεξεο πιεξνθνξίεο: Σεκείωζε: ην ζχζηεκά καο νη εηδνπνηήζεηο πξνθιήζεθαλ απφ 2 δηαθνξεηηθέο IP νη νπνίεο έζηειλαλ παθέηα κε πξννξηζκφ δηαδνρηθέο δηεπζχλζεηο ηνπ darknet. Οη επηζέζεηο θαη απφ ηηο 2 δηεπζχλζεηο έγηλαλ ζε δηάζηεκα ιίγσλ ιεπηψλ, ελψ θαη νη 2 δηεπζχλζεηο βξίζθνληαη ζηελ Κίλα. ICMP PING CyberKit 2.2 Windows: Η εηδνπνίεζε απηή ππνδειψλεη φηη ην ζχζηεκα έγηλε παξαιήπηεο κηαο ping echo αίηεζεο, ε νπνία ρξεζηκνπνηεί ην πξσηφθνιιν ICMP. Η ππνγξαθή πνπ θέξεη ην παθέην θαη ραξαθηεξίδεηαη σο CyberKit είλαη 64 ζπλερφκελεο εκθαλίζεηο ησλ (δεθαεμαδηθψλ) ραξαθηήξσλ aa ζην ζψκα ηνπ. Σν CyberKit είλαη έλα πξφγξακκα κε γξαθηθφ πεξηβάιινλ πνπ πεξηέρεη πιήζνο εξγαιείσλ γηα έιεγρν θαη επίβιεςε δηθηχσλ. Μία απφ ηηο δπλαηφηεηέο ηνπ είλαη ε απνζηνιή αηηήζεσλ ping. Αλ θαη ε αίηεζε απηή κπνξεί λα έγηλε θαζαξά γηα ιφγνπο επίβιεςεο ηνπ δηθηχνπ, είλαη πηζαλφ, φπσο θαη ζε θάζε αίηεζε ping, λα απνζθνπεί ζηελ αλίρλεπζε επάισησλ ππνινγηζηψλ. Έλαο αθφκε ιφγνο γηα ηνλ νπνίν ε εηδνπνίεζε ρξήδεη πξνζνρήο, είλαη φηη κπνξεί λα πξνέξρεηαη απφ ηνλ ηφ Welchia/Nachi. Ο ηφο απηφο πξνζπαζεί λα εληνπίζεη ηξσηνχο ππνινγηζηέο ρξεζηκνπνηψληαο παξφκνηεο αηηήζεηο ping γηα λα εγθαηαζηαζεί ζε απηνχο. Ο Welchia ρξεζηκνπνηεί ζπλήζσο ηε ζχξα 135 ελψ εγθαζίζηαηαη ζε ππνινγηζηέο κε ιεηηνπξγηθφ Windows (XP ή 2000). Welchia/Nachi: Ο ηφο Welchia ζα κπνξνχζε λα ραξαθηεξηζηεί σο βνεζεηηθφο ηφο. Αθνχ εγθαηαζηαζεί ζε έλαλ ππνινγηζηή, πξνζπαζεί λα θαηαπνιεκήζεη ην θαθφβνπιν ινγηζκηθφ MSBlast/Lovesan. Ο MSBlast εθκεηαιιεχεηαη ην θελφ αζθαιείαο RPC/DCOM ησλ ιεηηνπξγηθψλ ζπζηεκάησλ Windows XP, Windows 2000, Windows NT 4.0 θαη Windows Server 2003, κε ρξήζε ηνπ νπνίνπ θάπνηνο θαθφβνπινο κπνξεί λα πξνθαιέζεη ππεξρείιηζε buffer θαη λα εθηειέζεη θψδηθα ζε κε επηηξεπφκελεο ζέζεηο. Ο Welchia πξνζπαζεί λα εγθαηαζηήζεη (ρσξίο λα ειέγμεη ηθαλνπνίεζε εμαξηήζεσλ) patches ηεο Microsoft πνπ δηνξζψλνπλ ην πξφβιεκα. Μεηά ηελ εγθαηάζηαζε επαλεθθηλεί ηνλ ππνινγηζηή. Απηφ ην ραξαθηεξηζηηθφ θάλεη δπλαηή ηε ρξήζε ηνπ ζε επηζέζεηο DOS. Ο Welchia απελεξγνπνηείηαη απηφκαηα ην Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 64

66 ICMP superscan echo: Σν snort παξάγεη απηή ηελ εηδνπνίεζε φηαλ δηαβάζεη έλα παθέην ICMP ηχπνπ 8 (αίηεζε ICMP_ECHO) ην νπνίν έρεη σο payload 8 ραξαθηήξεο, φινπο κεδεληθά (ζε δεθαεμαδηθή κνξθή: ). Η ππνγξαθή απηή ππνδειψλεη φηη ην παθέην πξνέξρεηαη απφ ην γλσζηφ πξφγξακκα SuperScan. Σν SuperScan είλαη έλα δεκνθηιέο πξφγξακκα ηεο Foundstone ζπκβαηφ κε ιεηηνπξγηθφ Windows. Οη βαζηθέο ηνπ ιεηηνπξγίεο είλαη αλίρλεπζε αλνηρηψλ ζπξψλ ζε ππνινγηζηέο ελφο δηθηχνπ, αλίρλεπζε ελεξγψλ ππνινγηζηψλ θαη ππεξεζηψλ, tracerouting θ.α.. Η ηειεπηαία ηνπ έθδνζε εηζάγεη πην ηζρπξέο δπλαηφηεηεο φπσο πιεξνθνξίεο BIOS θαη ινγαξηαζκψλ ρξεζηψλ. Σν SuperScan κπνξεί λα ρξεζηκνπνηεζεί ηφζν γηα ηνλ έιεγρν επηπέδσλ αζθαιείαο θαη ηελ επηηήξεζε ελφο δηθηχνπ απφ δηαρεηξηζηέο, φζν θαη απφ θαθφβνπινπο ρξήζηεο. Αλ ιάβνπκε παθέηα ICMP_ECHO πνπ παξάγνληαη απφ ην πξφγξακκα απηφ, είλαη πηζαλφ λα πξφθεηηαη γηα πξνπαξαζθεπαζηηθφ ζηάδην κειέηεο ηνπ δηθηχνπ καο απφ θάπνηνλ ηξίην πξηλ ηελ εθθίλεζε κηαο επίζεζεο, ηδηαίηεξα αλ πξνέξρνληαη απφ εμσηεξηθή άγλσζηε πεγή. Όπσο πάληα, δελ είλαη ζίγνπξν φηη έλα παθέην κε ηελ παξαπάλσ ππνγξαθή πξνέξρεηαη απφ ην SuperScan, αιιά απζαίξεην traffic ηνπ πξσηνθφιινπ ICMP ζεσξείηαη χπνπην, ελψ δελ είλαη γλσζηή θάπνηα άιιε εθαξκνγή πνπ λα παξάγεη παξφκνηα παθέηα. ICMP Source Quench: Η εηδνπνίεζε απηή παξάγεηαη απφ ην snort θάζε θνξά πνπ δέρεηαη έλα παθέην ICMP ηχπνπ 4 (ICMP Source Quench). Ο θσδηθφο ηνπ παθέηνπ είλαη πάληα 0. Σν κήλπκα απηφ ηνπ ICMP ζηέιλεηαη απφ έλα δξνκνινγεηή, ή γεληθφηεξα έλα θφκβν ζε κηα ζχλδεζε, πξνο ηνλ πξνεγνχκελφ ηνπ, δειψλνληαο πσο δελ έρεη ηελ δπλαηφηεηα λα δηαρεηξηζηεί ηνλ φγθν δεδνκέλσλ πνπ ηνπ ζηέιλεηαη. Ο ιφγνο είλαη ζπλήζσο έιιεηςε ρψξνπ buffer ή πξνβιήκαηα ζηε δξνκνιφγεζε παθέησλ ζηε ζχλδεζε. Ο δξνκνινγεηήο πνπ ιακβάλεη ην κήλπκα πξέπεη λα ειαηηψζεη ηνλ ξπζκφ κεηάδνζεο δεδνκέλσλ γηα ηηο αλάγθεο ηεο ζχλδεζεο (ζπλήζσο ν ξπζκφο αξρίδεη λα απμάλεηαη κεηά απφ 10 ιεπηά). Η κέζνδνο απηή είλαη ζρεηηθά απαξραησκέλε θαη δελ ζπλεζίδεηαη πιένλ, θαζψο ρξεζηκνπνηείηαη ην πξσηφθνιιν TCP γηα λα επηιχνληαη ηέηνηα δεηήκαηα (ζχκθσλα κε ην RFC 1812). Δθηφο απφ ηελ θαζηεξσκέλε ρξήζε ησλ κελπκάησλ ICMP Source Quench, θάπνηνο θαθφβνπινο κπνξεί λα ζηείιεη κεγάιν πιήζνο ηέηνησλ παθέησλ ζε έλα δξνκνινγεηή κε ζθνπφ λα κεηψζεη ζε νξηαθφ επίπεδν ηηο ηαρχηεηεο απνζηνιήο δεδνκέλσλ ζηηο ζπλδέζεηο πνπ εμππεξεηνχληαη, πξνθαιψληαο ρακειέο απνδφζεηο ή αθφκα θαη Denial of Service. Ο επηηηζέκελνο κπνξεί ζρεηηθά εχθνια λα βξεη ζηνηρεία πνπ αληηζηνηρνχλ ζε ππάξρνπζεο ζπλδέζεηο (δηεπζχλζεηο IP, αξηζκνχο ζπξψλ) θαη λα πιαζηνγξαθήζεη θαηαιιήισο ηα κελχκαηά ηνπ ψζηε λα ηηο πιήμεη. Ο επθνιφηεξνο ηξφπνο λα πξνζηαηεπζεί θαλείο απφ ηέηνηνπ είδνπο επηζέζεηο είλαη λα απαγνξεχζεη ηελ απνδνρή κελπκάησλ ICMP ηχπνπ 4, θαζψο ε ρξήζε ηνπο εθηφο απφ χπνπηε είλαη θαη ζπάληα. Ο θαλφλαο ηνπ snort παξάγεη false positives ζε πεξίπησζε έγθπξεο ρξήζεο ηνπ κελχκαηνο, θαζψο ειέγρεη κφλν ηα ζηνηρεία ηεο θεθαιίδαο. Δεκνθηιέο άξζξν πνπ πεξηγξάθεη ζελάξην ηεο επίζεζεο: Σεκείωζε: ην ζχζηεκά καο ιάβακε πεξίπνπ 250 παθέηα απφ ηελ ίδηα δηεχζπλζε IP πνπ πξννξίδνληαλ πξνο κηα ζπγθεθξηκέλε δηεχζπλζε ηνπ honeypot. Γεδνκέλνπ φηη ην honeypot είλαη απίζαλν λα παξάγεη αξθεηά δεδνκέλα γηα λα ζπκθεξφζνπλ έλαλ δξνκνινγεηή ζε ηέηνην βαζκφ, πξέπεη λα ππνζέζνπκε φηη επξφθεηην γηα επίζεζε DoS. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 65

67 portscan: TCP Portscan: Η αηηία απηψλ ησλ εηδνπνηήζεσλ απνηειεί ηελ πην θιαζηθή ίζσο επίζεζε ζε ππνινγηζηέο, ε νπνία δελ είλαη άιιε απφ ηελ αλίρλεπζε ζπξψλ (portscanning). Η ηερληθή απηή αλήθεη ζην πξνπαξαζθεπαζηηθφ ζηάδην κηαο επίζεζεο. ηφρνο ηνπ επηηηζέκελνπ είλαη λα αλαθαιχςεη πνηεο ζχξεο είλαη αλνηρηέο ζε έλαλ ππνινγηζηή. Έηζη κπνξεί λα θαηαιάβεη πνηεο κπνξεί λα ρξεζηκνπνηήζεη γηα ηελ επηθείκελε επίζεζή ηνπ, θαζψο θαη πνηεο ππεξεζίεο ή πξσηφθνιια ρξεζηκνπνηεί ν ππνινγηζηήο, αθνχ ζπλήζσο εμππεξεηνχληαη απφ ζπγθεθξηκέλε ζχξα. Τπάξρνπλ δηάθνξεο κέζνδνη portscanning θαη έρνπλ δηαθνξέο κεηαμχ ηνπο ζηα απνηειέζκαηα θαη ζηελ απφδνζε. Η εηδνπνίεζε πνπ εμεηάδνπκε ππνδειψλεη ηε ρξήζε ηνπ πξσηνθφιινπ TCP. Μέζνδνη TCP portscanning πεξηιακβάλνπλ απιή ρξήζε θιήζεσλ ζπζηήκαηνο (connect scan), SYN scanning, FIN scanning θ.α.. Πνιιέο θνξέο νη επηηηζέκελνη επηρεηξνχλ λα απνθξχςνπλ ηα ζηνηρεία ηνπο ελαιιάζζνληαο παθέηα κε πιαζηνγξαθεκέλε δηεχζπλζε καδί κε ηα απζεληηθά (decoy portscan). Η θαλνληθή θίλεζε ζε έλα δίθηπν πεξηιακβάλεη ιίγεο αξλεηηθέο απαληήζεηο πξνο θιήζεηο ζε ζχξεο ελφο ππνινγηζηή. ηελ πεξίπησζε portscanning φκσο ζα παξάγεηαη κεγάινο αξηζκφο αξλεηηθψλ απαληήζεσλ θαη κάιηζηα ζε κηθξφ ρξνληθφ δηάζηεκα, θαζψο ν επηηηζέκελνο ζαξψλεη ζεηξηαθά ηηο ζχξεο, νη πεξηζζφηεξεο απφ ηηο νπνίεο ζα είλαη θιεηζηέο ή πξνζηαηεπκέλεο. Σν snort αληρλεχεη θίλεζε portscanning κέζσ ηνπ πιήζνπο ησλ αξλεηηθψλ απαληήζεσλ ζε θιήζεηο πξνο έλαλ ππνινγηζηή ζε ζπλδπαζκφ κε ηνλ ρξφλν πνπ παξάγνληαη θαη ηελ δηεχζπλζε απφ ηελ νπνία πξνέξρνληαη. Οξηζκέλνη επηηηζέκελνη επηρεηξνχλ λα απνθχγνπλ ηέηνηεο κεζφδνπο αλίρλεπζεο ρξεζηκνπνηψληαο θαηαλεκεκέλν portscan, δειαδή εθηέιεζή ηνπ απφ πνιινχο ππνινγηζηέο ηαπηφρξνλα. Αξθεηνί ISPs έρνπλ απαγνξεχζεη ηελ εθηέιεζε portscan, ελψ ζε νξηζκέλεο ρψξεο ε ηαθηηθή δηψθεηαη πνηληθά. WEB-PHP Setup.php access Μέζσ απηψλ ησλ εηδνπνηήζεσλ ην snort καο ελεκεξψλεη γηα πηζαλή εθκεηάιιεπζε θελψλ αζθαιείαο ηνπ Mediawiki. Σν Mediawiki είλαη έλα πξντφλ δεκηνπξγίαο ηζηνηφπσλ ηχπνπ wiki, ηα νπνία κπνξνχλ λα πθίζηαληαη επεμεξγαζία ζπιινγηθά απφ θνηλφηεηεο. Υξεζηκνπνηεί θαηά θχξην ιφγν ηε scripting γιψζζα PHP γηα ηε δεκηνπξγία ησλ ηζηνζειίδσλ θαη ησλ δηάθνξσλ ιεηηνπξγηψλ. Γπζηπρψο ην Mediawiki δελ θάλεη απζηεξφ έιεγρν ησλ δεδνκέλσλ πνπ εηζάγνληαη απφ ην ρξήζηε, κε απνηέιεζκα λα είλαη εχθνιν λα επεξεάζεη θάπνηνο θαθφβνπινο ηε ιεηηνπξγία ηνπ. ηε ζπγθεθξηκέλε πεξίπησζε ην snort εμεηάδεη αλ γίλεηαη απφπεηξα πξφζβαζεο ζην αξρείν Setup.php, φκσο θαη άιια αξρεία είλαη επάισηα. Λφγσ ηεο έιιεηςεο εμπγείαλζεο ησλ εηζαγφκελσλ δεδνκέλσλ ζηελ παξάκεηξν 'IP' ηνπ κπνξεί θαλείο λα εηζάγεη απζαίξεηα αξρεία PHP σο ηηκή, κε απνηέιεζκα ηελ εθηέιεζε κε επηζπκεηνχ θψδηθα. Η εθκεηάιιεπζε απηνχ ηνπ θελνχ αζθαιείαο δελ απαηηεί ηαπηνπνίεζε ηνπ ρξήζηε. Με παξφκνην ηξφπν είλαη δπλαηή ε παξαβίαζε ηνπ Mediawiki κέζσ ηεο παξακέηξνπ 'wglanguagecode' ηνπ Setup.php. Δθδφζεηο ηνπ πξνγξάκκαηνο επηξξεπείο ζε απηφ ην πξφβιεκα είλαη νη 1.4x. Σα θελά αζθαιείαο πεξηνξίδνληαη κεξηθψο ζε επφκελεο εθδφζεηο, ησλ νπνίσλ ε εγθαηάζηαζε ζπλίζηαηαη σο ιχζε. ftp_pp: Possible string format attempt in FTP command/parameter Απηή ε εηδνπνίεζε παξάγεηαη απφ ηνλ πξνεπεμεξγαζηή ftp ηνπ snort θαη καο ελεκεξψλεη γηα πηζαλή απφπεηξα εθκεηάιιεπζεο ελφο κεγάιεο επηθηλδπλφηεηαο bug ζε νξηζκέλεο εθδφζεηο ηνπ πξσηνθφιινπ ftp. πγθεθξηκέλα ην bug εκθαλίδεηαη ζηνλ ftp daemon ηνπ παλεπηζηεκίνπ ηεο Washington (wu-ftpd, εθδφζεηο θαη λσξίηεξεο). Η ρξήζε ηνπ ζπγθεθξηκέλνπ πξνγξάκκαηνο ή παξαιιαγψλ ηνπ είλαη πνιχ δηαδεδνκέλε Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 66

68 ζε πιεζψξα ιεηηνπξγηθψλ ζπζηεκάησλ κε βάζε ην Unix. Σν bug κπνξεί λα εθκεηαιιεπηεί θαλείο κε ηελ εθηέιεζε ηεο εληνιήο SITE EXEC, ε νπνία ρξεζηκνπνηεί ηελ εζθαικέλα πινπνηεκέλε ζπλάξηεζε lreply. Η SITE EXEC ρξεζηκεχεη ζηελ εθηέιεζε εληνιψλ ζηνλ ππνινγηζηή πνπ έρνπκε ζπλδεζεί κε ftp. Σν πξφβιεκα νθείιεηαη ζην φηη νη εληνιή απηή δέρεηαη φξηζκα απφ ηνλ ρξήζηε κηα ζπκβνινζεηξά ηελ νπνία ε lreply δηνρεηεχεη ρσξίο λα ηελ εμπγηάλεη ζε κηα ζπλάξηεζε ηχπνπ *printf. Γελ εμαζθαιίδεηαη δειαδή φηη ε ζπκβνινζεηξά ζα απνζεθεπηεί κφλν ζε αζθαιή ρψξν κλήκεο. Αλ π.ρ. θαηαιεθζεί ε ζέζε κλήκεο πνπ ρξεζηκνπνηείηαη σο δηεχζπλζε επηζηξνθήο, ην πξφγξακκα ζα κεηαπεδήζεη ζε απζαίξεηε ζέζε θαη ζα εθηειέζεη ηνλ θψδηθα πνπ βξίζθεηαη εθεί. Αλ ν επηηηζέκελνο έρεη εληνπίζεη ηηο δηεπζχλζεηο κλήκεο φπνπ απνζεθεχνληαη ζπγθεθξηκέλα δεδνκέλα (απηφ κπνξεί λα ην θάλεη πξνπαξαζθεπαζηηθά κε θαηάιιεια πξνγξάκκαηα), κπνξεί εηζάγνληαο κηα θαηαιιήισο θαηαζθεπαζκέλε ζπκβνινζεηξά λα εθηειέζεη shellcode. Σν shellcode ζα πεξαζηεί θαη απηφ σο φξηζκα ζηελ SITE EXEC. Ο ππνινγηζηήο ζα εθηειέζεη πιένλ νπνηαδήπνηε εληνιή πεξηέρεηαη ζην shellcode αληί ηνπ ftp daemon κε δηθαηψκαηα ρξήζηε root. Απηφ νπζηαζηηθά δίλεη ηνλ έιεγρν ηνπ ζπζηήκαηνο ζηνλ επηηηζέκελν. Οη επηπηψζεηο θπκαίλνληαη απφ θαηάξξεπζε ηνπ ftp server θαη DoS κέρξη δηαξξνή εκπηζηεπηηθψλ δεδνκέλσλ θαη θαηαζηξνθή αξρείσλ. ην δηαδίθηπν θπθινθνξνχλ δηάθνξα πξνγξάκκαηα πνπ εθκεηαιιεχνληαη απηφ ην bug γηα ηε δηεμαγσγή επηζέζεσλ. Η πην ζίγνπξε πξνζηαζία απφ ηέηνηεο επηζέζεηο είλαη ε εγθαηάζηαζε ηνπ θαηάιιεινπ patch αζθαιείαο γηα ηνλ ftp daemon. Μπνξεί επίζεο θαλείο, ρσξίο φκσο λα δηνξζψλεη νπζηαζηηθά ην πξφβιεκα, λα επηηξέπεη ηελ ζχλδεζε ftp κφλν ζε εμνπζηνδνηεκέλνπο ρξήζηεο. Αλάιπζε ηωλ αηηηώλ ηνπ bug θαη θώδηθαο πνπ ην εθκεηαιιεύεηαη: Σεκείωζε: Οη εηδνπνηήζεηο γηα ην δηθφ καο ζχζηεκα είλαη false positives, θαζψο νθείινληαη ζε (κάιινλ αξράξηεο) πξνζπάζεηεο θαθφβνπινπ ρξήζηε λα καληέςεη ηνλ θσδηθφ αζθαιείαο ηεο ππεξεζίαο ftp ηνπ honeypot ζηε δηεχζπλζε 106, πεξηιακβάλνληαο ζηηο ζπκβνινζεηξέο πνπ δνθίκαδε θαη ηνλ ραξαθηήξα "%", ηνλ νπνίν ειέγρεη ην snort γηα λα παξάγεη ηελ εηδνπνίεζε. Σν payload ησλ παθέησλ δελ ππνδεηθλχεη φηη επηρείξεζε λα εθηειέζεη shellcode κέζσ ηεο SITE EXEC. BLEEDING-EDGE TROJAN Backdoor.Hupigon Possible Control Connection Being Established (Snort Alert [1: :0]) : Σν πξφζεκα ηνπ θσδηθνχ ηεο εηδνπνίεζεο δειψλεη φηη παξάγεηαη απφ κηα νκάδα θαλφλσλ ζρεηηθά κε ηνχο ηχπνπ backdoor, νη νπνίνη επηηξέπνπλ ηελ πξφζβαζε απφ ηξίηνπο ζην ζχζηεκα ρσξίο εμνπζηνδφηεζε. Ο ζπγθεθξηκέλνο θαλφλαο πξνεηδνπνηεί γηα ηε δξάζε ηνπ πςειήο επηθηλδπλφηεηαο ηνχ Hupigon. Ο επηηηζέκελνο αξρίδεη ηε ζπλεδξία TCP κε ην πεξηερφκελν " " θαη ν ειεγρφκελνο ππνινγηζηήο απαληά κε ηελ εκεξνκελία ζε κνξθή "ΔΔΔΔΜΜΗΗ" θαη πιεξνθνξίεο ηνπ ιεηηνπξγηθνχ ζπζηήκαηνο. Οη θαλφλεο αληρλεχνπλ ηελ χπαξμε ηνπ κελχκαηνο " " ζηελ θεθαιίδα TCP θαζψο θαη ην πεξηερφκελν "Windows" (εθφζνλ ν ηφο εγθαζίζηαηαη κφλν ζε πιαηθφξκεο MS Windows) ζην κήλπκα ελφο παθέηνπ. Αλ θαη ε κέζνδνο δελ είλαη εγγπεκέλν πσο κπνξεί λα πξνζηαηεχζεη ελαληίνλ ηνπ ηνχ, είλαη ζρεηηθά απίζαλν λα παξάγεη false positives. Σεκείωζε: Οη εηδνπνηήζεηο ζην δηθφ καο ζχζηεκα παξήρζεζαλ φιεο ζε δηάζηεκα 4 ιεπηψλ απφ 7 δηαθνξεηηθέο δηεπζχλζεηο IP πξνο δηάθνξεο δηεπζχλζεηο ηνπ darknet. Σα παθέηα ήηαλ παθέηα έλαξμεο ηεο ζπλεδξίαο κε ην πεξηερφκελν " " ζηελ θεθαιίδα θαη θελφ ζψκα. Πξνθαλψο πξφθεηηαη γηα θαηαλεκεκέλε επίζεζε. Φπζηθά δελ ππήξμε απάληεζε απφ ην darknet. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 67

69 Hupigon Ο Hupigon είλαη έλαο πςειήο επηθηλδπλφηεηαο θηλεδηθήο πξνέιεπζεο ηφο ηχπνπ backdoor γξακκέλνο ζε Delphi. Μπνξεί λα πιήμεη ηηο πεξηζζφηεξεο εθδφζεηο ησλ Windows. Τπάξρνπλ πνιιέο παξαιιαγέο ηνπ ηνχ αιιά φιεο αθνινπζνχλ παξφκνηα δξάζε. Ο Hupigon δελ έρεη δηθφ ηνπ ζχζηεκα δηάδνζεο, αιιά ζηεξίδεηαη ζηε δηαζπνξά κέζσ θ.α. θαζψο θαη ζηελ εππηζηία ηνπ παξαιήπηε. Όηαλ ηξέμεη θάπνηνο ην εθηειέζηκν ηνπ ηνχ, απηφο αληηγξάθεη ηνλ εαπηφ ηνπ ζην θάθειν εγθαηάζηαζεο ηνπ ιεηηνπξγηθνχ ζπζηήκαηνο θαη πηζαλψο δηαγξάθεη ην αξρηθφ εθηειέζηκν. Σφηε ρξεζηκνπνηεί δηάθνξεο εθαξκνγέο ηνπ ιεηηνπξγηθνχ (cmd.exe, scvhost.exe, winchat.exe) γηα λα πξνζπειάζεη δεδνκέλα πνπ εηζάγεη ν ρξήζηεο. Δπηπιένλ πξνζζέηεη έλαλ αξηζκφ απφ θαηαρσξήζεηο κεηξψνπ (registry). Έλα απφ ηα ζηνηρεία ηνπ ηνχ (hupigon!hook) πξνζθέξεη απφθξπςε ησλ αξρείσλ ηνπ. Μέζα ζηηο δπλαηφηεηέο ηνπ είλαη πξφζβαζε ζηνλ ππνινγηζηή απφ ηξίηνπο, κεηαθνξά πξνζσπηθψλ δεδνκέλσλ, θαηαγξαθή απφ webcam θαη ρξήζε ηνπ ππνινγηζηή σο bot γηα θαηαλεκεκέλεο επηζέζεηο. DDOS Stacheldraht client check gag: Η εηδνπνίεζε απηή καο ελεκεξψλεη πσο θάπνηνο επηρείξεζε λα αληρλεχζεη πηζαλνχο μεληζηέο ηνπ πξνγξάκκαηνο Stacheldraht ζην δίθηπφ καο. Σν Stacheldraht είλαη έλα πξφγξακκα πνπ ρξεζηκεχεη ζηε δηεμαγσγή θαηαλεκεκέλσλ επηζέζεσλ Denial of Service (DDOS) θαη πιήηηεη θπξίσο ππνινγηζηέο κε ιεηηνπξγηθφ ζχζηεκα Solaris αιιά θαη Linux. Σν πξφγξακκα ρξεζηκνπνηεί κηα ηεξαξρία απφ ρεηξηζηέο θαη επηηηζέκελνπο. Γηα λα αληρλεπζνχλ απφ ηνπο ρεηξηζηέο ζπζηήκαηα πνπ ηξέρνπλ ην πξφγξακκα θαη κπνξνχλ λα παίμνπλ ην ξφιν ηνπ επηηηζέκελνπ, ζηέιλνπλ ζε απηά κηα αίηεζε ICMP ECHO_REQUEST κε ηηκή 668 ζην πεδίν ID θαη ην κήλπκα "gesundheit!" (ζε απιφ θείκελν) ζην payload. Απηφ κπνξεί λα γίλεη κε ην πξφγξακκα gag θαη ην είδνο απηφ ησλ κελπκάησλ είλαη πνπ αληρλεχεη ην snort. Αλ ν παξαιήπηεο είλαη φλησο μεληζηήο ζα απαληήζεη κε ICMP ECHO_REPLY κε ID 669. Γηα λα πξνζηαηεπζεί θαλείο απφ ην Stacheldraht, κπνξεί λα δνθηκάζεη λα εθηειέζεη ην gag πξνο ηνπο ππνινγηζηέο ηνπ δηθηχνπ ηνπ αληρλεχνληαο ν ίδηνο κνιπζκέλνπο δηαθνκηζηέο. Έλαο άιινο ηξφπνο είλαη ην sniffing παθέησλ πνπ πεξηέρνπλ ηα παξαπάλσ ραξαθηεξηζηηθά. Σεκείωζε: ην ζχζηεκά καο νη αηηήζεηο ζηάιζεθαλ πξνο 10 δηεπζχλζεηο ηνπ darknet απφ ηελ ίδηα δηεχζπλζε IP. Stacheldraht: Σν Stacheldraht (κεηαθξάδεηαη ζπξκαηφπιεγκα απφ ηα γεξκαληθά) είλαη έλα πξφγξακκα πνπ ρξεζηκνπνηείηαη γηα θαηαλεκεκέλεο επηζέζεηο DOS. Δληνπίζηεθε γηα πξψηε θνξά ην 1999 θαη ζηνρεχεη ζην ιεηηνπξγηθφ ζχζηεκα Solaris αιιά θαη ζε δηαλνκέο Linux. Βαζίδεηαη ζηα παιαηφηεξα πξνγξάκκαηα δηεμαγσγήο DDOS trinoo θαη Tribe Flood Network (TFN) θαη ρξεζηκνπνηεί παξφκνηεο κεζφδνπο επίζεζεο φπσο ICMP flood, SYN flood, UDP flood θαη "Smurf". Όπσο θαη ηα πξναλαθεξζέληα πξνγξάκκαηα, εθαξκφδεη κηα ηεξαξρία ζπκκεηερφλησλ ζηελ επίζεζε. ην αλψηεξν επίπεδν βξίζθνληαη νη θχξηνη ππνινγηζηέο πνπ ρξεζηκνπνηνχλ νη θαθφβνπινη ρξήζηεο. Έπεηηα ζπλαληάκε ηνπο ρεηξηζηέο, νη νπνίνη είλαη κνιπζκέλα ζπζηήκαηα ζηα νπνία ζπλδένληαη νη θχξηνη ππνινγηζηέο κέζσ ηνπ Stacheldraht. Σέινο νη ρεηξηζηέο κπνξνχλ λα ειέγμνπλ ηνπο επηηηζέκελνπο, νη νπνίνη βξίζθνληαη ζην θαηψηεξν επίπεδν θαη εθηεινχλ νπζηαζηηθά ηελ επίζεζε. Κάζε ρεηξηζηήο κπνξεί λα ειέγμεη πεξηνξηζκέλν αξηζκφ επηηηζέκελσλ, ζπλήζσο Σν λέν ζηνηρείν πνπ εηζάγεη ην Stacheldraht ζε ζρέζε κε ηνπο πξνδξφκνπο ηνπ είλαη ε ρξήζε Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 68

70 ελφο client παξφκνηνπ κε ην telnet πξνζθέξνληαο θξππηνγξαθία ζπκκεηξηθνχ θιεηδηνχ ζηηο ζπλδέζεηο κεηαμχ θχξησλ ππνινγηζηψλ θαη μεληζηψλ. Δπίζεο θαη'εληνιή αλαβαζκίδεη ηνλ εαπηφ ηνπ κε ρξήζε ηεο εληνιήο rcp. ε αληίζεζε κε ην trinoo θαη ην TFN ην Stacheldraht ρξεζηκνπνηεί ζπλδπαζκφ πξσηνθφιισλ TCP/ICMP γηα ηηο ζπλδέζεηο (αληί γηα UDP/ICMP). Πην ζπγθεθξηκέλα ζπλδέζεηο κεηαμχ θχξησλ ππνινγηζηψλ θαη ρεηξηζηψλ γίλνληαη κέζσ ηεο TCP ζχξαο 16660, ελψ κεηαμχ ρεηξηζηψλ θαη επηηηζέκελσλ κέζσ ηεο TCP ζχξαο θαη αηηήζεσλ ICMP ECHO. Η κφιπλζε ζπζηεκάησλ κε ην πξφγξακκα δε ζηεξίδεηαη ζε θάπνηνλ εηδηθφ ηξφπν, αιιά ε εγθαηάζηαζή ηνπ αθνινπζεί θιαζζηθέο κεζφδνπο φπσο θξπθνχο θαηαιφγνπο θαη rootkits. Αξρηθά έλαο θαθφβνπινο πνπ ρξεζηκνπνηεί ηνλ θχξην ππνινγηζηή ζπλδέεηαη κε έλαλ ή πεξηζζφηεξνπο ρεηξηζηέο. Μέζσ απηψλ κπνξεί λα εθηειέζεη αξθεηέο ιεηηνπξγίεο φπσο αλίρλεπζε μεληζηψλ, επίζεζε ζε ηζηνρψξν, ξπζκίζεηο ηχπνπ επίζεζεο θ.α.. Αθνχ ζπλδεζεί, ν θαθφβνπινο ιακβάλεη κηα ιίζηα κε κνιπζκέλνπο ππνινγηζηέο θαη πξνζπαζεί λα ηνπο ρξεζηκνπνηήζεη σο επηπιένλ ρεηξηζηέο. Η ζχλδεζε γίλεηαη κέζσ ηεο αληαιιαγήο ICMP ECHO_REQUEST θαη ICMP ECHO_REPLY κε ηηκέο ζηα πεδία ID 666 θαη 667 αληίζηνηρα. Έπεηηα γίλεηαη δνθηκή αλ νη ρεηξηζηέο κπνξνχλ λα ζηείινπλ παθέηα κε πιαζηνγξαθεκέλεο IP δηεπζχλζεηο. Γηα λα αληρλεπζνχλ ππνινγηζηέο πνπ έρνπλ εγθαηεζηεκέλν ην πξφγξακκα ρξεζηκνπνηείηαη πάιη ICMP ECHO κε ρξήζε ηηκψλ ID 668 θαη 669 ζην request θαη ζην reply αληίζηνηρα. Τπάξρνπλ νξηζκέλνη ηξφπνη κε ηνπο νπνίνπο κπνξεί λα πξνζηαηεπζεί θαλείο απφ ην Stacheldraht, ή ηνπιάρηζηνλ λα εληνπίζεη κνιπζκέλνπο ππνινγηζηέο ζην δίθηπν ηνπ. Αξρηθά κπνξεί θαλείο λα ειέγρεη ηα παθέηα ICMP γηα ηελ εκθάληζε ησλ παξαπάλσ ραξαθηεξηζηηθψλ, ή λα ζηείιεη ν ίδηνο αηηήζεηο ICMP ECHO κε ID 668 γηα λα δεη αλ ζα ιάβεη απάληεζε. Αθφκε κπνξεί λα εξεπλήζεη ην ζχζηεκα αξρείσλ ηνπ γηα αξρεία κε ζπγθεθξηκέλεο ζπκβνινζεηξέο πνπ ρξεζηκνπνηνχληαη ζηνλ πεγαίν θψδηθα ηνπ Stacheldraht (αλ θαη απηέο ελδέρεηαη λα αιιάμνπλ ζε λεφηεξεο εθδφζεηο). πγθεθξηκέλεο ζπκβνινζεηξέο πεξηέρνληαη θαη ζηα payloads ησλ αηηήζεσλ ICMP ECHO. Σέινο είλαη πηζαλφ λα αληρλεπζεί ε απφπεηξα αλαβάζκηζεο ηνπ πξνγξάκκαηνο κέζσ ηεο παξαθνινχζεζεο ησλ ζπλδέζεσλ rcp. Πεξηζζόηεξεο πιεξνθνξίεο: ICMP PATH MTU denial of service (Snort Alert [1:3626:0]): Μηα επίζεζε πνπ εθκεηαιιεχεηαη ην πξσηφθνιιν ICMP είλαη ην αίηην πνπ πξνθαιεί απηή ηελ εηδνπνίεζε ηνπ snort. Η επίζεζε ζηεξίδεηαη ζηνλ ηξφπν κε ηνλ νπνίν απνθαζίδεηαη ε κέγηζηε κνλάδα κεηάδνζεο (Maximum Transmission Unit - MTU) ζε κηα δηαδξνκή κεηαμχ 2 θφκβσλ ελφο δηθηχνπ. ε servers κε παιαηφηεξν ινγηζκηθφ αλ έλα παθέην ήηαλ πνιχ κεγάιν γηα κεηάδνζε ζε κηα ζπγθεθξηκέλε δηαδξνκή, ηφηε απηφ θαηαθεξκαηηδφηαλ ζε κηθξφηεξα δεδνκελνγξάκκαηα (datagrams) IP κε ζηαζεξφ πξνθαζνξηζκέλν κέγεζνο ψζηε λα ηθαλνπνηεί ην MTU φισλ ησλ ελδηάκεζσλ θφκβσλ. Απηή ε κέζνδνο έρεη νπζηαζηηθά θαηαξγεζεί πιένλ (ζην IPv6 δελ ππνζηεξίδεηαη) ιφγσ πξνβιεκάησλ αζθαιείαο θαη απνδνηηθφηεηαο. Απηφ πνπ ζπλήζσο εθαξκφδεηαη ζήκεξα είλαη ε αλαθάιπςε MTU δηαδξνκήο. Όηαλ έλαο θφκβνο ζέιεη λα ζηείιεη έλα παθέην ρξεζηκνπνηεί ην κέγηζην MTU πνπ ππνζηεξίδεη. Αλ ην παθέην θηάζεη ζε θφκβν ν νπνίνο έρεη κηθξφηεξν MTU, ν ηειεπηαίνο ζηέιλεη ζηνλ πξνεγνχκελφ ηνπ έλα παθέην ICMP ηχπνπ 3 (Destination host unreachable) κε θσδηθφ 4 (Fragmentation needed/df set) πνπ ζεκαίλεη πσο ην παθέην ήηαλ πνιχ κεγάιν γηα λα εμππεξεηεζεί θαη απαηηεί Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 69

71 θαηάηκεζε αιιά απηή λα κελ εθαξκνζηεί (DF - Don't Fragment). Με άιια ιφγηα πξέπεη λα επαλαθαζνξηζηεί ην MTU γηα ηε ζχλδεζε ζην ειάρηζην κεηαμχ ησλ θφκβσλ. ην κήλπκα ICMP πεξηιακβάλεηαη θαη ην λέν MTU. Ο πξνεγνχκελνο θφκβνο ζπάεη ην datagram ζε 2 ε πεξηζζφηεξα θαηάιιεινπ κεγέζνπο θαη ηα ζηέιλεη ρξεζηκνπνηψληαο πιένλ ηε κηθξφηεξε ηηκή MTU. Αο ππνζέζνπκε ηψξα πσο έλαο ηξίηνο θαθφβνπινο ρξήζηεο έρεη ηε δπλαηφηεηα λα παξεκβιεζεί ζηε ζχλδεζε θαη λα ζηείιεη κελχκαηα ICMP κε πιαζηνγξαθεκέλε δηεχζπλζε. Θα κπνξνχζε ηφηε λα θάλεη αίηεζε γηα απζαίξεηα κηθξφηεξν MTU απφ ην ρξεζηκνπνηνχκελν. Απηφ ζα πξνθαινχζε ζπκθφξεζε ζηνπο θφκβνπο ηεο ζχλδεζεο αλ ε λέα ηηκή ήηαλ πνιχ κηθξή ιφγσ ηνπ επηπιένλ θφξηνπ γηα ηελ θαηάηκεζε ησλ παθέησλ θαη ηνπ ζπλνιηθά κεγαιχηεξνπ φγθνπ κεηαθνξάο ιφγσ ηνπ κεγαιχηεξνπ ζπλνιηθνχ overhead ησλ πνιχ πεξηζζφηεξσλ κηθξψλ παθέησλ. Σν ηειηθφ απνηέιεζκα ζα ήηαλ λα κελ κπνξνχλ λα εμππεξεηεζνχλ νη δηάθνξεο αηηήζεηο απφ ηνπο servers θαηαιήγνληαο ζε Denial of Service. Ο βαζηθφηεξνο ηξφπνο πξνζηαζίαο απφ απηή ηελ επίζεζε είλαη ε εγθαηάζηαζε patch αζθαιείαο ηνπ ICMP ή ηνπ ιεηηνπξγηθνχ ζπζηήκαηνο πνπ απνξξίπηνπλ ηελ αιιαγή ηνπ MTU ζε ηηκέο κηθξφηεξεο ηνπ 576 (πξνεπηιεγκέλε ηηκή ηνπ TCP/IP). Σν ίδην απνηέιεζκα κπνξεί λα επηηεπρζεί θαη κε θαηάιιειεο ξπζκίζεηο ηνπ firewall. Γεληθφηεξα, ε κέζνδνο αλαθάιπςεο MTU δηαδξνκήο κέζσ ICMP, αλ θαη ρξήζηκε, κπνξεί λα πξνθαιέζεη δηάθνξα πξνβιήκαηα ηδίσο ζε πεξηπηψζεηο θαθψλ ξπζκίζεσλ ή ηεο νιηθήο απαγφξεπζεο ρξήζεο ηνπ πξσηνθφιινπ ICMP. Αξθεηά κνληέια εκπνξηθψλ servers πάζρνπλ απφ bugs πνπ ζρεηίδνληαη κε ηε κέζνδν απηή θαη δεκηνπξγνχλ false positives ζε ζπζηήκαηα IDS. ftp_pp: FTP bounce attack: Μηα απφ ηηο πην θιαζζηθέο επηζέζεηο ζε ζπζηήκαηα πνπ ρξεζηκνπνηνχλ ηελ ππεξεζία FTP είλαη απηή ηνπ FTP bounce. Η πξψηε θνξά πνπ κειεηήζεθε ζε θάπνην έγγξαθν ήηαλ ην 1995 απφ ηνλ *Hobbit*. Η επίζεζε πεξηιακβάλεη 3 ζπκκεηέρνληεο: ηνλ επηηηζέκελν, ηνλ ελδηάκεζν θαη ηνλ ππνινγηζηή-ζηφρν. Αξρηθά ν επηηηζέκελνο μεθηλά κηα ζχλδεζε FTP κε ηνλ ελδηάκεζν. Έπεηηα ν επηηηζέκελνο εθηειεί ηελ εληνιή PORT γηα λα εγθαζηδξχζεη κηα λέα ζχλδεζε κε ηνλ ζηφρν κέζσ ηνπ ελδηάκεζνπ. Η εληνιή PORT δέρεηαη σο φξηζκα κηα δηεχζπλζε IP θαη κηα ζχξα ζηε κνξθή A,A,A,A,P,P. Η βαζηθή ηεο ρξήζε είλαη λα θαζνξίζεη ηε ζχξα απφ ηελ νπνία ζα ιακβάλεη δεδνκέλα ν FTP πειάηεο. Σν πξφβιεκα φκσο είλαη φηη δελ ππάξρεη πεξηνξηζκφο γηα ηε δηεχζπλζε IP πνπ δίλεηαη, κε απνηέιεζκα λα κπνξεί λα μεθηλήζεη ζχλδεζε κε έλαλ απζαίξεην ηξίην ππνινγηζηή. Αλ ε λέα ζχλδεζε είλαη επηηπρήο, ν επηηηζέκελνο κπνξεί λα ηελ εθκεηαιιεπηεί κε πνιινχο ηξφπνπο. Αλ παξαδείγκαηνο ράξε ν ελδηάκεζνο θαη ν ζηφρνο βξίζθνληαη ζην ίδην δίθηπν, ην νπνίν πξνζηαηεχεηαη απφ firewall, αιιά ν επηηηζέκελνο έρεη πξφζβαζε κφλν ζηνλ ελδηάκεζν κέζσ ηεο ππεξεζίαο FTP, απνθηά πιένλ πξφζβαζε θαη ζην ζηφρν, κηαο θαη ην firewall επηηξέπεη εζσηεξηθέο ζπλδέζεηο πξνο φινπο ηνπο ππνινγηζηέο ηνπ δηθηχνπ. Η πξφζβαζε απηή ζεκαίλεη φηη ν επηηηζέκελνο κπνξεί λα πξνζπειάζεη πηζαλψο εκπηζηεπηηθά δεδνκέλα ηνπ ππνινγηζηή-ζηφρνπ, ή λα ηνπνζεηήζεη ζε απηφλ δηθά ηνπ δεδνκέλα, π.ρ. spam mail. Η πξφζβαζε ζηα δεδνκέλα κπνξεί λα πξνθαιέζεη θαη άιιεο δεκηέο φπσο DoS. Μηα αθφκε ρξήζε ηνπ FTP bounce είλαη γηα αλίρλεπζε ζπξψλ (portscanning). Ο επηηηζέκελνο κπνξεί λα δνθηκάζεη πνηεο ζχξεο ηνπ ζηφρνπ είλαη αλνηρηέο κέζσ ηνπ ελδηάκεζνπ (π.ρ. αλ ιάβεη απάληεζε ζηελ εληνιή LIST). Σα πιενλεθηήκαηα ηεο αλίρλεπζεο κε απηή ηε κέζνδν είλαη φηη ε ηαπηφηεηα ηνπ επηηηζέκελνπ απνθξχπηεηαη θαη φηη κπνξεί λα πξνζπεξάζεη πηζαλά firewalls απνθηψληαο κηα πην ζσζηή εηθφλα γηα ηηο αλνηρηέο ζχξεο ηνπ ζηφρνπ. Έλαο ηξφπνο γηα λα απνηξέςνπκε ηνλ ππνινγηζηή καο απφ ην λα παίμεη ην ξφιν ηνπ ελδηάκεζνπ είλαη λα απαγνξεχζνπκε ηε ρξήζε ηεο εληνιήο PORT εμ νινθιήξνπ ή πξνο δηεχζπλζε δηαθνξεηηθή απφ απηέο ηνπ εμππεξεηεηή θαη ηνπ πειάηε. Απηφ είλαη πνπ ειέγρεη ν θαλφλαο ηνπ snort πνπ παξάγεη απηή ηελ εηδνπνίεζε, δειαδή ηε ρξήζε ηεο Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 70

72 PORT ζε FTP ζπλδέζεηο (κέζσ ηνπ FTP preprocessor). Γηα λα απνθχγνπκε λα γίλνπκε ζηφρνη απηήο ηεο επίζεζεο κπνξνχκε λα ξπζκίζνπκε ηελ απηφκαηε απφξξηςε ζπλδέζεσλ απφ ηελ ζχξα 20 (ζχξα δεδνκέλσλ ηνπ FTP) πξνο ηνλ ππνινγηζηή καο. Πιένλ νη πεξηζζφηεξεο εθδφζεηο πξνγξακκάησλ εμππεξεηεηψλ FTP είλαη ελήκεξεο γηα ην FTP bounce θαη πξνζηαηεχνληαη. Αξρηθό paper αλαθνξάο ηνπ FTP bounce: SNMP trap tcp: Σν snort παξάγεη απηή ηελ εηδνπνίεζε φηαλ επηρεηξείηαη απφ εμσηεξηθφ παξάγνληα κηα ζχλδεζε κε ηνλ SNMP daemon κέζσ ηνπ πξσηνθφιινπ TCP. Σν SNMP (Simple Network Management Protocol)είλαη έλα πξσηφθνιιν πνπ ρξεζηκεχεη ζηελ επηηήξεζε κεξψλ ελφο δηθηχνπ. Κχξηα εθαξκνγή ηνπ είλαη ν έιεγρνο θαη ε επίβιεςε ζπζθεπψλ πνπ ρξεζηκνπνηνχληαη απφ ην δίθηπν (π.ρ. εθηππσηέο, δξνκνινγεηέο, ηειέθσλα IP θ.α.). Απνηειείηαη απφ 3 ζπζηαηηθά κέξε: ηηο ρεηξηδφκελεο ζπζθεπέο, ηνπο πξάθηνξεο, νη νπνίνη είλαη ινγηζκηθφ πνπ ηξέρνπλ νη ρεηξηδφκελεο ζπζθεπέο, θαη ην ζχζηεκα δηαρείξηζεο δηθηχνπ, πνπ ειέγρεη ηα παξαπάλσ. Τπάξρνπλ 3 εθδφζεηο ηνπ SNMP. ηελ πξψηε έθδνζε, φηαλ ν πξάθηνξαο κηαο ζπζθεπήο ζέιεη λα εηδνπνηήζεη ην ζχζηεκα δηαρείξηζεο γηα θάηη, ηνπ ζηέιλεη έλα κήλπκα πνπ νλνκάδεηαη trap. Ο daemon πνπ ιακβάλεη ηα SNMP traps αθνχεη ζηε ζχξα 162 TCP ή UDP. Έλαο θαθφβνπινο κπνξεί λα ζειήζεη λα δψζεη εζθαικέλεο πιεξνθνξίεο ζην ζχζηεκα δηαρείξηζεο κεηαδίδνληαο παθέηα SNMP ζηε ζχξα 162. Αλ ζθεθηεί θαλείο φηη νη δηαρεηξηδφκελεο απφ ην πξσηφθνιιν ζπζθεπέο ελδέρεηαη λα είλαη πςειήο ζεκαζίαο (π.ρ. δξνκνινγεηέο ή hubs), ηφηε κπνξεί ε επίζεζε λα θαηαιήμεη ζε Denial of Service. Γεληθφηεξα ην SNMP δελ είλαη έλα αζθαιέο πξσηφθνιιν. Δθηφο ηνπ φηη πνιιά παθέηα ηνπ ζηέιλνληαη ρσξίο θξππηνγξάθεζε, γηα νξηζκέλα άιια, ην θιεηδί θξππηνγξαθίαο είλαη πξνεπηιεγκέλν θαηά ηελ εγθαηάζηαζε κε ζηαζεξή ηηκή ("public" γηα δηάβαζκα ηηκψλ θαη "private" γηα γξάςηκν). Δπίζεο νη πεξηζζφηεξεο εηαηξίεο παξαγσγήο ζπζθεπψλ δηθηχνπ έρνπλ αξθεηά πξντφληα, ζηα νπνία ε ρξήζε ηνπ SNMP δηέπεηαη απφ bugs πνπ κπνξνχλ ζρεηηθά εχθνια λα επηηξέςνπλ επηζέζεηο DoS. Δθηφο απφ απηνχ ηνπ είδνπο ηηο επηζέζεηο, νη εηδνπνηήζεηο ηνπ snort γηα SNMP trap κπνξεί λα ππνδειψλνπλ αλίρλεπζε αλνηρηψλ ζπξψλ (κεηαμχ ησλ νπνίσλ θαη ε 162) απφ θάπνην εξγαιείν φπσο ην nmap, γηα ραξηνγξάθεζε ηνπ δηθηχνπ πξηλ απφ κηα επίζεζε. Η θαιχηεξε πξνζηαζία είλαη ην κπινθάξηζκα ρξήζεο ηνπ SNMP απφ ππνινγηζηέο εθηφο ηνπ δηθηχνπ κέζσ firewall ή ε πιήξεο απελεξγνπνίεζή ηνπ αλ δελ ρξεζηκνπνηείηαη. SNMP request tcp: Η εηδνπνίεζε απηή παξάγεηαη απφ ην snort φηαλ αληρλεχζεη ηελ απνζηνιή αηηήζεσλ κε ρξήζε ηνπ πξσηνθφιινπ SNMP, ζχληνκε πεξηγξαθή ηνπ νπνίνπ γίλεηαη παξαπάλσ. Οη αηηήζεηο απηέο ιέγνληαη SNMP requests θαη ελεξγνπνηνχλ ην ζπγθεθξηκέλν θαλφλα φηαλ γίλνληαη κέζσ παθέησλ TCP. Οη SNMP requests είλαη ην είδνο ηνπ κελχκαηνο πνπ ζηέιλεη ην ζχζηεκα δηαρείξηζεο δηθηχνπ πξνο ηνλ πξάθηνξα κηαο δηθηπαθήο ζπζθεπήο, φηαλ ζέιεη λα ιάβεη πιεξνθνξίεο γηα ηε ιεηηνπξγία ηεο. Έλαο θαθφβνπινο φκσο ζα κπνξνχζε λα ζηείιεη δνθηκαζηηθέο SNMP requests πξνο θάπνηα δηεχζπλζε. Αλ ιάβεη απάληεζε απηφ ζεκαίλεη φρη κφλν πσο ζηε δηεχζπλζε απηή φλησο αληηζηνηρεί κηα ζπζθεπή, αιιά θαη ην γεγνλφο πσο είλαη ελεξγφο έλαο SNMP πξάθηνξαο, θάηη ην νπνίν ν θαθφβνπινο κπνξεί λα εθκεηαιιεπηεί κε πεξαηηέξσ επηζέζεηο. Δπίζεο ε απάληεζε ζε κηα ηέηνηα αίηεζε κπνξεί λα έρεη σο απνηέιεζκα θαη δηαξξνή πιεξνθνξηψλ, θαζψο ε έιιεηςε ραξαθηεξηζηηθψλ αζθαιείαο ηνπ SNMP θάλεη δπζθνιφηεξε ηε δηάθξηζε αλάκεζα ζε έγθπξεο θαη κε αηηήζεηο. Οη SNMP requests γίλνληαη κέζσ ηεο ζχξαο TCP Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 71

73 161, ηελ νπνία παξαθνινπζεί ν θαλφλαο ηνπ snort. Σν κπινθάξηζκα ηεο ζχξαο κέζσ ηείρνπο πξνζηαζίαο, ή ν εμ νινθιήξνπ απνθιεηζκφο ηνπ SNMP ζε πεξίπησζε πνπ δε ρξεζηκνπνηείηαη, είλαη ηα πην αζθαιή κέηξα γηα ηελ επίιπζε ηνπ πξνβιήκαηνο. SNMP AgentX/tcp request: Αθφκα κηα εηδνπνίεζε πνπ ζρεηίδεηαη κε ην πξσηφθνιιν ειέγρνπ θαη δηαρείξηζεο SNMP. Μπνξεί λα παξαρζεί απφ ην snort φηαλ απηφ αληρλεχζεη απφπεηξα επίζεζεο ζε ζπζθεπή ηνπ δηθηχνπ κε ρξήζε ηεο πξψηεο έθδνζεο ηνπ πξσηνθφιινπ, SNMPv1. Σα απνηειέζκαηα πνπ κπνξεί λα επηθέξεη κηα ηέηνηα επίζεζε θπκαίλνληαη απφ DoS κέρξη εθηέιεζε απζαίξεηνπ θψδηθα θαη δηαξξνή πιεξνθνξηψλ. Σν SNMP πεξηέρεη αξθεηά ςεγάδηα φζνλ αθνξά ζηελ αζθάιεηα, ζπλεπψο νη επηζέζεηο κπνξνχλ λα δηεμαρζνχλ κε πνιινχο ηξφπνπο, νη πεξηζζφηεξνη απφ ηνπο νπνίνπο πεξηιακβάλνπλ ηελ απνζηνιή ελφο εηδηθά θαηαζθεπαζκέλνπ παθέηνπ TCP ή UDP ζηε ζχξα 705 πνπ εθκεηαιιεχεηαη ην θελφ αζθαιείαο. Γηα παξάδεηγκα, ππάξρεη κηα θνηλφρξεζηε ζπκβνινζεηξά, ζηελ νπνία ν επηηηζέκελνο κπνξεί λα πξνθαιέζεη ππεξρείιηζε buffer κε ζθνπφ ηελ εθηέιεζε θψδηθα ή ηελ απελεξγνπνίεζε ηεο ππεξεζίαο. Καθφβνπιε ρξήζε κπνξεί επίζεο λα γίλεη κέζσ ησλ κελπκάησλ GetRequest, GetNextRequest θαη SetRequest κε απνηέιεζκα DoS ή απφθηεζε δηθαησκάησλ. Πιεζψξα ζπζηεκάησλ θαη ζπζθεπψλ απφ δεκνθηιείο εηαηξίεο πνπ ρξεζηκνπνηνχλ SNMPv1 πάζρνπλ απφ ηα παξαπάλσ πξνβιήκαηα. Τπάξρνπλ ηξφπνη λα πξνζηαηεπζεί θαλείο απφ ηέηνηνπ είδνπο επηζέζεηο. Αξρηθά κπνξεί λα γίλεη αλαβάζκηζε ηνπ πξσηνθφιινπ ζηελ ηειεπηαία ηνπ έθδνζε, SNMPv3, γηα φζεο ζπζθεπέο ηελ ππνζηεξίδνπλ. Δπίζεο ζπλίζηαηαη ε ρξήζε θηιηξαξίζκαηνο παθέησλ εηζφδνπ/εμφδνπ κέζσ ηείρνπο πξνζηαζίαο θαζψο θαη ε πιήξεο απελεξγνπνίεζε ηνπ SNMP απφ ηηο ζπζθεπέο πνπ δελ ην ρξεζηκνπνηνχλ. Τπάξρεη πεξίπησζε νξηζκέλα παθέηα πξνο ηε ζχξα 705 TCP λα νδεγήζνπλ ην snort ζηελ παξαγσγή false positives, φπσο π.ρ. ε εθηέιεζε ελφο TCP SYN stealth scan κέζσ ηνπ πξνγξάκκαηνο Nmap. frag3: Fragmentation overlap: Ο frag3 είλαη ν πξνεπεμεξγαζηήο θαηαθεξκαηηζκνχ (fragmentation preprocessor) ηνπ snort θαη παξάγεη απηή ηελ εηδνπνίεζε φηαλ ιάβεη ηκήκαηα (fragments) δεδνκελνγξακκάησλ IP ησλ νπνίσλ ηα δεδνκέλα επηθαιχπηνληαη θαηά ηε ζπλαξκνιφγεζε. Όηαλ έλα δεδνκελφγξακκα IP είλαη πνιχ κεγάιν γηα λα δηέιζεη απφ έλαλ θφκβν ηεο δηαδξνκήο ηνπ δηθηχνπ ζε κηα ζχλδεζε, ρσξίδεηαη ζε ηκήκαηα. Σν κεγαιχηεξν ηκήκα έρεη κέγεζνο ίζν κε ην κηθξφηεξν MTU (Μaximum Transmission Unit) κεηαμχ ησλ θφκβσλ ηεο δηαδξνκήο. Σα ηκήκαηα πεξηέρνπλ δεδνκέλα πνπ ρξεζηκεχνπλ ζηελ ζπλαξκνιφγεζή ηνπο ζηνλ ηειηθφ θφκβν, φπσο ηνλ αξηζκφ ηνπ δεδνκελνγξάκκαηνο πνπ πξνέξρνληαη. Γηα λα θαζνξηζηεί ε ζέζε πνπ θαηαιακβάλνπλ ηα δεδνκέλα ηνπ ηκήκαηνο κέζα ζην δεδνκελφγξακκα, ην ηκήκα πεξηέρεη έλα offset απφ ηελ έλαξμε ησλ αξρηθψλ δεδνκέλσλ. Αλ ην offset είλαη αιινησκέλν, ζα ππάξρνπλ δεδνκέλα απφ δηαθνξεηηθά ηκήκαηα πνπ ζα πξννξίδνληαη γηα ηελ ίδηα ζέζε κέζα ζην δεδνκελφγξακκα. Έηζη δεκηνπξγνχληαη ηα επηθαιππηφκελα ηκήκαηα. Σα ιεηηνπξγηθά ζπζηήκαηα είλαη ηθαλά λα επηιχζνπλ ηέηνηεο ζπγθξνχζεηο κεηαμχ ησλ παθέησλ πνπ ιακβάλνπλ (κπνξεί επηθξαηνχλ πάληα ηα δεδνκέλα είηε ηνπ λεφηεξνπ παθέηνπ είηε ηνπ παιαηφηεξνπ). Σν πξφβιεκα φκσο είλαη φηη ηα ζπζηήκαηα IDS δελ αθνινπζνχλ πάληα ηηο ίδηεο κεζφδνπο κε ηα ιεηηνπξγηθά. πλεπψο έλαο θαθφβνπινο πνπ γλσξίδεη ηνλ ηξφπν επίιπζεο ηεο αιιεινεπηθάιπςεο, είλαη δπλαηφ λα ζηείιεη ηα ηκήκαηα κε θαηάιιειε αθνινπζία αλάινγα κε ην offset ψζηε λα πξνθαιέζεη πιήγκα ζην ζηνρεπφκελν ζχζηεκα. Π.ρ. έλα δεδνκελφγξακκα IP κπνξεί λα πξννξίδεηαη γηα κηα Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 72

74 ζχξα ελφο ππνινγηζηή ηνπ δηθηχνπ ε νπνία λα επηηξέπεηαη απφ ην firewall. ηε ζπλέρεηα έλα επφκελν ηκήκα γξάθεη δεδνκέλα ζην πεδίν ηνπ δεδνκελνγξάκκαηνο πνπ αιιάδνπλ ηε ζχξα ζε κηα κπινθαξηζκέλε, δίλνληαο έηζη πξφζβαζε ζηνλ θαθφβνπιν. Σν IDS κπνξεί λα επηηξέςεη θαη ηα δχν ηκήκαηα αλ δελ είλαη ελήκεξν γηα ηνλ ηξφπν πνπ ζα ηα ζπλαξκνινγήζεη ην ιεηηνπξγηθφ ζχζηεκα. Ο ηξφπνο κε ηνλ νπνίν κπνξεί λα πξνζηαηεπζεί θαλείο απφ επηζέζεηο κέζσ επηθαιππηφκελσλ παθέησλ, είλαη λα ζέζεη κηθξή ηηκή ζην επηηξεπφκελν offset, ψζηε λα κελ παξαπνηνχληαη θξίζηκα ζηνηρεία ηνπ παθέηνπ. πλεηή είλαη επίζεο θαη θαηάιιειε ξχζκηζε ηνπ IDS. Δθηφο απφ κε εμνπζηνδνηεκέλε πξφζβαζε, έλαο θαθφβνπινο κπνξεί λα επηηχρεη θαη Denial of Service κέζσ επηθαιππηφκελσλ παθέησλ. Πνιιά ιεηηνπξγηθά ζπζηήκαηα (εθδφζεηο Windows 3.1x, 95, NT, εθδφζεηο Linux πξνεγνχκελεο ηεο θαη ) πάζρνπλ απφ bugs ζηνλ θψδηθα ζπλαξκνιφγεζεο, πνπ πξνθαιεί ππεξρείιηζε buffer θαη θαηάξξεπζε ηνπ εμππεξεηεηή. Η επίζεζε DoS πνπ γίλεηαη κέζσ κπεξδεκέλσλ θαη δχζθνισλ ζηελ δηαρείξηζε παθέησλ ιέγεηαη επίζεζε teardrop. SQL Microsoft SQL Server 2000 Server hello buffer overflow attempt (Snort Alert [1:11264:0]): Σν snort εκθαλίδεη απηή ηελ εηδνπνίεζε φηαλ εληνπίζεη απφπεηξα εθκεηάιιεπζεο ελφο γλσζηνχ θελνχ αζθαιείαο ησλ πξντφλησλ Microsoft SQL Server 2000 θαη Microsoft Desktop Engine 2000, ηα νπνία ρξεζηκνπνηνχλ ηελ ππεξεζία Microsoft Data Engine Σν πξφβιεκα εκθαλίδεηαη θαηά ηε ζχλδεζε ηνπ ρξήζηε ζηελ παξαπάλσ ππεξεζία. Αλάινγα κε ηηο ξπζκίζεηο ηνπ εμππεξεηεηή κπνξεί λα ρξεζηκνπνηείηαη κηα απφ ηηο αθφινπζεο δχν κεζφδνπο ηαπηνπνίεζεο ηεο Microsoft: SQL Server authentication ή Windows Authentication. Καη ζηηο δπν κεζφδνπο αληαιιάζζνληαη νξηζκέλα πξνθαηαξθηηθά δεδνκέλα κεηαμχ ηνπ SQL πειάηε θαη ηνπ εμππεξεηεηή. Μηα απφ ηηο κεζφδνπο πνπ εθαξκφδνληαη ζηελ πξνθαηαξθηηθή θάζε δίλεη ηε δπλαηφηεηα ζε έλαλ θαθφβνπιν ρξήζηε λα πξνθαιέζεη ππεξρείιηζε buffer. Απηφ ζα επηθέξεη ζαλ βαζηθφ απνηέιεζκα ηελ πηζαλή θαηάξξεπζε ηνπ εμππεξεηεηή (DoS), ή, αλ ν ρξήζηεο είλαη πην έκπεηξνο, ηε δπλαηφηεηα εθηέιεζεο απζαίξεηνπ θψδηθα απφ πεξηνρέο ηεο κλήκεο πνπ κπνξεί λα δηαρεηξηζηεί. Σν θπξηφηεξν ζέκα κε απηφ ην θελφ αζθαιείαο είλαη φηη ε εθκεηάιιεπζε ηνπ κπνξεί λα ιάβεη ρψξα πξηλ νινθιεξσζεί ε ηαπηνπνίεζε, δίλνληαο ζηελ νπζία ηε δπλαηφηεηα απηή ζηνλ θαζέλα κε πξφζβαζε ζηνλ εμππεξεηεηή. Η ππεξρείιηζε κπνξεί λα ζπκβεί αλ ζηείιεη θαλείο έλα εηδηθά δηακνξθσκέλν κεγάιν παθέην σο αίηεζε ζχλδεζεο ζηε ζχξα TCP Σν παξαπάλσ θελφ αζθαιείαο είλαη επξέσο γλσζηφ κε ηελ νλνκαζία "Hello overflow". Απφ απηφ πάζρνπλ ηα πξναλαθεξζέληα πξντφληα ηεο Microsoft θαζψο επίζεο θαη πξντφληα άιισλ εηαηξηψλ πνπ ηα ρξεζηκνπνηνχλ (π.ρ. Cisco CallManager, Cisco Unity θαη Cisco Building Broadband Service Manager). Έλαο απιφο ηξφπνο λα απνθχγεη θαλείο ηελ εθκεηάιιεπζε ηνπ "Hello overflow" απφ ην Γηαδίθηπν, είλαη λα κπινθάξεη κέζσ ηείρνπο πξνζηαζίαο ηε ζχξα 1433 TCP. Η ζσζηφηεξε ελέξγεηα φκσο είλαη ε εγθαηάζηαζε ηεο ελεκέξσζεο αζθαιείαο MS ηεο Microsoft (ή λεφηεξσλ φπσο ε MS02-061) πνπ δηνξζψλεη ην πξφβιεκα. Η ζπγθεθξηκέλε ελεκέξσζε πξνζηαηεχεη ην ζχζηεκα θαη απφ δχν αθφκε θελά αζθαιείαο: κηα ππεξρείιηζε buffer πνπ κπνξεί λα ζπκβεί ζε κηα απφ ηηο Database Console Commands δίλνληαο ζηνλ θαθφβνπιν δηθαηψκαηα root γηα εθηέιεζε εληνιψλ SQL, θαη έλα ειάηησκα πνπ κπνξεί λα δψζεη ζε ρξήζηεο ρσξίο δηθαηψκαηα ηε δπλαηφηεηα λα ηξνπνπνηήζνπλ ηηο πξνγξακκαηηζκέλεο δηεξγαζίεο ηνπ SQL Server Agent πξνθαιψληαο πηζαλψο αιινίσζε αξρείσλ ζπζηήκαηνο. Ο ζπγθεθξηκέλνο θαλφλαο ηνπ snort αζρνιείηαη κφλν κε ην "Hello overflow", ελψ δελ παξάγεη false positives. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 73

75 Δειηίν Αζθαιείαο MS ηεο Microsoft αλαιύεη ην πξόβιεκα: Script πνπ εμεηάδεη αλ ην ζύζηεκά καο πάζρεη από ην "Hello overflow": WEB-FRONTPAGE /_vti_bin/ access: Απηή ε εηδνπνίεζε ηνπ snort παξάγεηαη φηαλ θάπνηνο επηρεηξήζεη λα πξνζπειάζεη ηνλ θάθειν _vti_bin, ν νπνίνο πεξηέρεη αξρεία ζπζηήκαηνο επεθηάζεσλ ηνπ Microsoft FrontPage. Σν FrontPage είλαη έλα πξφγξακκα γηα ηελ δεκηνπξγία θαη ηε δεκνζίεπζε ηζηνζειίδσλ. Οξηζκέλνη web servers (φπσο ν IIS ηεο Microsoft) ρξεζηκνπνηνχλ θαη'επηινγή επεθηάζεηο απηνχ ηνπ πξνγξάκκαηνο. Δθφζνλ πξφθεηηαη γηα επηζέζεηο ζε web server, ρξεζηκνπνηείηαη ε TCP ζχξα 80 ηνπ ζηφρνπ. Σν ιεηηνπξγηθφ ζχζηεκα ζην νπνίν ζπλαληάηαη ζπρλφηεξα είλαη ηα Windows NT, αιιά ρξεζηκνπνηείηαη θαη ζε ζπζηήκαηα Unix ή ζε παιηφηεξεο εθδφζεηο ησλ Windows. Σν FrontPage έρεη δερηεί πνιιέο αξλεηηθέο θξηηηθέο απφ ηελ θνηλφηεηα πνπ αζρνιείηαη κε ηελ αζθάιεηα ζπζηεκάησλ γηαηί ε αξρηηεθηνληθή θαη ν θψδηθάο ηνπ πάζρνπλ απφ πιεζψξα θελψλ αζθαιείαο, πνιιά απφ ηα νπνία κπνξνχλ λα εθκεηαιιεπηνχλ αθφκα θαη αξράξηνη ρξήζηεο. Παξαδείγκαηνο ράξε, θαηάινγνη κε θξίζηκα αξρεία φπσο ν _vti_bin δελ κπνξνχλ λα πξνζπειαζηνχλ απφ ην web, φκσο αλ δψζεη θαλείο ηελ πιήξε δηαδξνκή ελφο απφ απηά κπνξεί λα δηαβάζεη ην αξρείν γηαηί ηα δηθαηψκαηα δελ ην απαγνξεχνπλ. Μέζα ζηα αξρεία απηά αλήθνπλ θαη εθείλα φπνπ είλαη απνζεθεπκέλα ηα ζηνηρεία πξφζβαζεο ηνπ δηαρεηξηζηή θαη ρξεζηψλ. Δπηπιένλ ζεκαληηθέο πιεξνθνξίεο είλαη απνζεθεπκέλεο ζε απιφ θείκελν, ελψ θσδηθνί πξφζβαζεο είλαη θξππηνγξαθεκέλνη κε ηνλ αιγφξηζκν DES, ν νπνίνο κπνξεί ζρεηηθά εχθνια λα "ζπάζεη". Γηάθνξα πξνβιήκαηα ζηνλ θψδηθά ηνπ επηηξέπνπλ ηελ κε εμνπζηνδνηεκέλε πξφζβαζε (κέζσ backdoor), ελψ δηάθνξα bugs κπνξνχλ λα πξνθαιέζνπλ ππεξρείιηζε buffer (κε απνηέιεζκα DoS ή αιινίσζε δεδνκέλσλ). Πην ζπγθεθξηκέλα, αλ θάπνηνο απνθηήζεη πξφζβαζε ζηνλ θαηάινγν ηεο εηδνπνίεζεο, κπνξεί λα ηξνπνπνηήζεη αξρεία ζπζηήκαηνο (ζρεηηθά εχθνια, αθνχ ε εγγξαθή ζε απηά δελ απαγνξεχεηαη πάληα), λα δηαβάζεη πξνζηαηεπκέλεο πιεξνθνξίεο, λα κνιχλεη ην ζχζηεκα κε ηφ θαη λα επεξεάζεη ην πεξηερφκελν ηζηνζειίδσλ πνπ θηινμελνχληαη. Γπζηπρψο δελ ππάξρεη ηξφπνο πξνζηαζίαο απφ επηζέζεηο ελαληίσλ εμππεξεηεηψλ πνπ ρξεζηκνπνηνχλ επεθηάζεηο ηνπ FrontPage, παξά κφλν ε αλαβάζκηζε ζηελ ηειεπηαία ηνπ έθδνζε, πνπ πεξηνξίδεη ηνλ αξηζκφ ησλ πξνβιεκάησλ. Σεκείωζε: Η εηδνπνίεζε ζην ζχζηεκά καο πξνήιζε απφ ηελ απφπεηξα εμσηεξηθνχ ππνινγηζηή λα ρξεζηκνπνηήζεη ηε κέζνδν POST ζην αξρείν _vti_bin/_vti_aut/author.dll. Σν παθέην πξννξηδφηαλ πξνο ηελ TCP ζχξα 80 δηεχζπλζεο ηνπ darknet. WEB-FRONTPAGE posting: Αθφκα κηα εηδνπνίεζε πνπ ζρεηίδεηαη κε ην πξφγξακκα επεμεξγαζίαο θαη δεκνζίεπζεο ηζηνζειίδσλ Microsoft FrontPage, ην νπνίν πεξηγξάθεηαη παξαπάλσ, θαζψο επίζεο θαη κεξηθά απφ ηα πξνβιήκαηά ηνπ. Σν θελφ αζθαιείαο ζην νπνίν αθνξά απηή ε εηδνπνίεζε πξνέξρεηαη απφ ηνλ θαθφ ρεηξηζκφ επεξσηήζεσλ πξνο ηελ ππεξεζία δεκνζίεπζεο FrontPage Authoring πνπ ρξεζηκνπνηεί ην αξρείν author.dll. Αλ θαη ν θαλφλαο ηνπ snort εμεηάδεη κφλν αλ ηα παθέηα πεξηέρνπλ ην φλνκα ηνπ πξναλαθεξζέληνο αξρείνπ ζην payload, θαθφο ρεηξηζκφο γίλεηαη επίζεο θαη ζε θιήζεηο shtml (shtml.dll). Έλαο θαθφβνπινο ρξήζηεο κπνξεί λα εθηειέζεη κηα εηδηθά ηξνπνπνηεκέλε επεξψηεζε πξνο κηα απφ απηέο ηηο ππεξεζίεο κε απνηέιεζκα λα Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 74

76 θαηαξξεχζεη ν εμππεξεηεηήο, πξνθαιψληαο Denial of Service (ε ζπκπεξηθνξά πνηθίιιεη αλάινγα κε ην ιεηηνπξγηθφ ζχζηεκα). Η Microsoft έρεη εθδψζεη έλα patch πνπ δηνξζψλεη ην πξφβιεκα. Απιή απελεξγνπνίεζε ηεο ππεξεζίαο δελ είλαη απνηειεζκαηηθή. Δθηφο απφ ην παξαπάλσ πξφβιεκα, νη εηδνπνηήζεηο απηέο είλαη ρξήζηκεο, θαζψο κέζσ ηεο ππεξεζίαο δεκνζίεπζεο ν θαθφβνπινο κπνξεί λα ηξνπνπνηήζεη πεξηερφκελν ηζηνζειίδσλ, αλ γλσξίδεη εθ ησλ πξνηέξσλ ηνλ θαηάιιειν θσδηθφ πξφζβαζεο, ηνλ νπνίν κπνξεί λα ππνθιέςεη εθκεηαιιεπφκελνο άιια bugs ηνπ FrontPage. Πεξηζζόηεξεο πιεξνθνξίεο: Σεκείωζε: Σελ εηδνπνίεζε πξνθάιεζε ην ίδην παθέην πνπ πξνθάιεζε θαη ηελ ακέζσο πξνεγνχκελε (WEB-FRONTPAGE /_vti_bin/ access). Αμίδεη λα παξαηεξήζνπκε φηη ην payload ηνπ παθέηνπ είλαη παξφκνην κε εθείλν πνπ δίλεηαη σο παξάδεηγκα εθκεηάιιεπζεο ηνπ θελνχ αζθαιείαο ζηελ ζειίδα ηνπ παξαπάλσ ππεξζπλδέζκνπ. ICMP redirect host: Η εηδνπνίεζε απηή παξάγεηαη φηαλ ην snort αληρλεχζεη εηζεξρφκελα κελχκαηα ICMP αλαθαηεχζπλζεο (ICMP ηχπνπ 5: redirect) κε θσδηθφ 1, δειαδή πξφβιεκα κε ην δηαθνκηζηή. Μελχκαηα ICMP redirect ρξεζηκνπνηνχληαη ζηελ εμήο πεξίπησζε: ν δηαθνκηζηήο Α επηζπκεί λα ζηείιεη παθέηα ζηνλ δηαθνκηζηή Β. Η πξνεπηιεγκέλε πχιε (gateway) ηνπ Α είλαη o δξνκνινγεηήο R1, νπφηε ζηέιλεη ζε απηφλ ηα παθέηα γηα λα ηα πξνσζήζεη ζηνλ Β. Ο R1 ζπκβνπιεχεηαη ηνπο πίλαθεο δξνκνιφγεζήο ηνπ θαη βιέπεη φηη ν Β δέρεηαη κελχκαηα κέζσ ηεο πχιεο R2. Γηαπηζηψλεη φκσο φηη ν Α κπνξεί λα ζηείιεη απεπζείαο παθέηα ζηελ R2 (ζπλήζσο δηφηη βξίζθνληαη ζην ίδην δίθηπν Ethernet), έρνληαο έηζη ιηγφηεξα άικαηα θαη θαιχηεξε απφδνζε ζηε κεηάδνζε ελφο παθέηνπ. Σφηε ν R1 πξνσζεί ην αξρηθφ παθέην ζηνλ Β, ελψ παξάιιεια ζηέιλεη ζηνλ Α έλα κήλπκα ICMP redirect ππνδεηθλχνληαο ηε δηεχζπλζε ηνπ R2. ην payload ηνπ κελχκαηνο πξέπεη λα πεξηέρνληαη ηα 8 πξψηα bytes ηνπ αξρηθνχ παθέηνπ ψζηε ν Α λα δερηεί πιεξνθνξίεο γηα ηε ζχλδεζε, φπσο πνηα δηεξγαζία ηελ ελεξγνπνίεζε θαη πνηεο ζχξεο ρξεζηκνπνηνχληαη. Μελχκαηα ICMP redirect δελ ζηέιλνληαη ζε πεξίπησζε πνπ ν Α πεξηειάκβαλε δεδνκέλα δξνκνιφγεζεο, ή ε απνζηνιή γηλφηαλ πξνο δηεχζπλζε multicast. Σα κελχκαηα ICMP redirect θαλνληθά πξέπεη λα κεηαδίδνληαη κφλν απφ gateways ηνπ δηθηχνπ. Γεληθφηεξα, έλα θαιά ζηεκέλν δίθηπν δελ πξέπεη λα ζηεξίδεηαη ζε απηά γηα λα δξνκνινγεί παθέηα, γηαηί θαηαζηξαηεγνχλ ηελ δξνκνιφγεζε πνπ πξνέβιεπε ν ζρεδηαζηήο ηνπ δηθηχνπ. Π.ρ. αλ ν δηαθνκηζηήο Α πξνζηαηεπφηαλ απφ firewall πνπ βξηζθφηαλ ζηνλ R1, ε πξνζηαζία παχεη λα ηζρχεη αλ ρξεζηκνπνηεί πιένλ ηνλ R2 γηα κηα ζχλδεζε. Απηφ ην ραξαθηεξηζηηθφ κπνξεί λα ην εθκεηαιιεπηεί έλαο θαθφβνπινο γηα λα ζηείιεη ηξνπνπνηεκέλα ICMP redirect κελχκαηα ζηνλ Α ψζηε λα πξνζπεξάζεη ην firewall. Γηα ηνλ ιφγν απηφ ππάξρεη ε δπλαηφηεηα λα απνξξίπηνπλ νη πχιεο κελχκαηα ICMP redirect. Δπηπιένλ κηα αδπλακία ηνπ πξσηνθφιινπ ICMP ζηα Windows 95 θαη NT, θάλεη ηνπο ππνινγηζηέο πνπ ρξεζηκνπνηνχλ απηά ηα ιεηηνπξγηθά λα ζηακαηνχλ λα αληαπνθξίλνληαη (DoS), αλ ιάβνπλ κελχκαηα ICMP redirect κε εηδηθά ηξνπνπνηεκέλν payload. Σν πξφβιεκα δηνξζψλνπλ ελεκεξψζεηο αζθαιείαο ηεο Microsoft. TELNET Solaris login environment variable authentication bypass attempt (Snort Alert [1:10136:0]): Μέζσ απηνχ ηνπ κελχκαηνο ην snort καο εηδνπνηεί γηα ηελ απφπεηξα εθκεηάιιεπζεο ελφο πνιχ ζνβαξνχ bug πνπ αθνξά ζηελ ππεξεζία telnet ζε ζπζηήκαηα κε ιεηηνπξγηθφ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 75

77 Solaris 10 ή 11. Σν πξφβιεκα θαζψο θαη ν πξνβιεκαηηθφο θψδηθαο ηνπ telnet daemon (.telnetd) εληνπίζηεθαλ απφ ηελ πξψηε κέξα έθδνζεο ηνπ ινγηζκηθνχ. Σν bug επηηξέπεη ζε έλα ρξήζηε λα ζπλδεζεί ζην πάζρνλ ζχζηεκα κέζσ telnet (ζχξα 23 tcp) κε απμεκέλα δηθαηψκαηα ή αθφκα θαη σο ρξήζηεο root. Ο ιφγνο γηα ηνλ νπνίν θαζίζηαηαη απηφ δπλαηφ είλαη πσο ην πξφγξακκα δελ εμπγηαίλεη ηελ κεηαβιεηή πεξηβάιινληνο USER πνπ δίλεηαη απφ ην ρξήζηε θαηά ην login. Έηζη έλαο θαθφβνπινο κπνξεί λα δψζεη κηα εηδηθή ηηκή ζηελ κεηαβιεηή θαη λα ζπλδεζεί σο έλαο ππάξρσλ ρξήζηεο παξαθάκπηνληαο ηελ απζεληηθνπνίεζε. Ο ηξφπνο πνπ επηηπγράλεηαη απηφ είλαη πνιχ απιφο. Αλ π.ρ. ν θαθφβνπινο δνθηκάζεη λα ζπλδεζεί κέζσ ηεο εληνιήο: telnet -l -fusr target.example.com, ηφηε ε χπαξμε ηνπ νξίζκαηνο -f ζην φλνκα ρξήζηε ζα ηνπ επηηξέςεη λα ζπλδεζεί σο usr, αλ θπζηθά ν ρξήζηεο usr ππάξρεη. Κιαζζηθά νλφκαηα ρξήζηε πνπ δνθηκάδνληαη ζπλήζσο πεξηιακβάλνπλ ηα bin, adm θαη root. Τπάξρνπλ αξθεηνί ηξφπνη κε ηνπο νπνίνπο κπνξεί λα πξνζηαηεπζεί θαλείο απφ επηζέζεηο κέζσ απηνχ ηνπ bug. Ο πην απιφο είλαη λα εγθαηαζηήζεη ην θαηάιιειν patch αζθαιείαο γηα ηα Solaris. Δπίζεο κπνξεί λα επηηξέςεη ζπλδέζεηο ζηελ tcp ζχξα 25 κφλν απφ ππνινγηζηέο εζσηεξηθνχο ηνπ δηθηχνπ, ή λα απελεξγνπνηήζεη/απεγθαηαζηάζεηο ηελ ππεξεζία telnet εληειψο θαη λα ρξεζηκνπνηεί ssh γηα απνκαθξπζκέλεο ζπλδέζεηο. Αλ ην telnet ρξεηάδεηαη, κπνξεί θαλείο λα απελεξγνπνηήζεη ηε ζχλδεζε σο root ρξήζηεο κέζα απφ θνλζφια, απνζρνιηάδνληαο ηε γξακκή CONSOLE=/dev/console ηνπ αξρείνπ /etc/default/login (ε γξακκή απηή είλαη απνζρνιηαζκέλε θαηά ηελ ηππηθή εγθαηάζηαζε ησλ Solaris). Ωο ιχζε πξνηείλεηαη επίζεο θαη ε εθηέιεζε ηεο εληνιήο: inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user", αιιά ε κέζνδνο απηή δελ είλαη δνθηκαζκέλε. Δθηφο απφ ηηο ρεηξνλαθηηθέο επηζέζεηο πνπ κπνξεί λα επηρεηξήζνπλ δηάθνξνη θαθφβνπινη ρξήζηεο, αλαπηχρζεθε θαη έλα worm ην νπνίν εθκεηαιιεχεηαη ην πξφβιεκα απηφ. Σν worm κπνξεί λα κνιχλεη ην ζχζηεκα θαη λα εγθαηαζηήζεη έλα backdoor θέιπθνο, επηηξέπνληαο έηζη πεξαηηέξσ επηζέζεηο. Γηα λα θαζαξίζεη θαλείο ην ζχζηεκά ηνπ απφ πηζαλή κφιπλζε, κπνξεί λα θαηεβάζεη θαη λα ηξέμεη ην script inoculate.local. Σεκείωζε: Η εηδνπνίεζε πξνθιήζεθε ζην δηθφ καο ζχζηεκα απφ ηελ απφπεηξα εμσηεξηθνχ παξάγνληα λα ζπλδεζεί σο ρξήζηεο adm κέζσ telnet ζηε δηεχζπλζε 192 ηνπ darknet πνπ αληηπξνζσπεχεη δξνκνινγεηή ζην honeynet. Αμίδεη λα ηνλίζνπκε, πσο ε επίζεζε έγηλε ιίγεο ψξεο κεηά ηελ ηξνπνπνίεζε ηνπ honeynet πνπ εηζήγαγε ηνλ δξνκνινγεηή σο ζηνηρείν. 4.3 Scripts for snort database ε απηήλ ηελ ελφηεηα ζα παξνπζηαζηνχλ νξηζκέλα bash scripts ηα νπνία εμάγνπλ απφ ηε βάζε δεδνκέλσλ, φπνπ απνζεθεχνληαη ηα alerts απφ ηελ εθηέιεζε ηνπ Snort, ρξήζηκα δεδνκέλα πνπ δελ εκθαλίδνληαη κέζσ ηεο δηεπαθήο ηνπ BASE. Γηα απηφλ ηνλ ιφγν, φια ηα παξαθάησ scripts παίξλνπλ ηνπιάρηζηνλ έλα φξηζκα ζην νπνίν δειψλεηαη ην φλνκα θαη ν θσδηθφο ελφο ρξήζηε ηεο mysql βάζεο δεδνκέλσλ. ηα παξαδείγκαηα ζα ρξεζηκνπνηήζνπκε ηα ζηνηρεία ηνπ ρξήζηε (snort_user, κε θσδηθφ snortpass ) πνπ δεκηνπξγήζακε ζην θεθάιαην Δπίζεο, ζε πνιιά απφ απηά ζην θνκκάηη ηεο mysql, γίλεηαη ρξήζε ηνπ πίλαθα protocols πνπ δελ ππάξρεη ζην βαζηθφ ζρήκα ηεο βάζεο δεδνκέλσλ. Δηδηθά γηα απηφ δείηε ην θεθάιαην Η έμνδνο απφ θάζε script είλαη έλα απιφ αξρείν θεηκέλνπ πνπ πεξηέρεη ζηήιεο νη νπνίεο ρσξίδνληαη κε ηνλ εηδηθφ ραξαθηήξα «;». Με απηφλ ηνλ ηξφπν είλαη πνιχ εχθνιν ην αξρείν λα εηζαρζεί ζε έλα θχιιν excel θαη απφ εθεί λα θαηαζθεπαζηνχλ δηαγξάκκαηα γηα ηελ νπηηθνπνίεζε ηεο πιεξνθνξίαο. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 76

78 Alerts without payload: Απφ ηα alert πνπ εκθαλίζηεθαλ ζπλνιηθά ζηε βάζε δεδνκέλσλ, δηαθξίλνπκε θάπνηα λα έρνπλ payload θαη θάπνηα άιια λα κελ έρνπλ. Δπεηδή κεγάιν ξφιν ζηελ επεμήγεζε ελφο alert παίδεη ην payload, δειαδή ε πιεξνθνξία πνπ θέξεη, επηζπκνχκε λα ηα μερσξίζνπκε. Με ην παξαθάησ script εκθαλίδνληαη απηά πνπ δελ έρνπλ payload ελψ κε ην ακέζσο επφκελν απηά πνπ έρνπλ. Όζνλ αθνξά ζην θνκκάηη ηεο mysql επεξψηεζεο, δεκηνπξγνχκε έλα πξνζσξηλφ αξρείν κε φλνκα /tmp/tmp1.txt, ζην νπνίν νη ζηήιεο ρσξίδνληαη απφ ηνλ εηδηθφ ραξαθηήξα ;. Οη ζηήιεο απηέο είλαη θαηά ζεηξά, ην φλνκα ηνπ alert, ε θαηεγνξία ζηελ νπνία αλήθεη, ν αξηζκφο ησλ ίδησλ alert πνπ εκθαλίζηεθαλ θαη ην πξσηφθνιιν επηπέδνπ ηέζζεξα. Γηα θάζε παθέην πνπ θηάλεη, δεκηνπξγείηαη κία θαηαρψξηζε ζηνλ πίλαθα event, ελψ ην payload απηνχ, αλ έρεη, απνζεθεχεηαη ζηνλ πίλαθα data. Γηα λα βξνχκε ινηπφλ, αλ έλα παθέην έρεη payload ή φρη θάλνπκε ηνλ πίλαθα event left join κε ηνλ data θαη ειέγρνπκε ην πεδίν data.sid γηα ηηκή NULL. Δπηιέγνπκε ζηε ζπλέρεηα, κφλν ηηο πιεηάδεο εθείλεο πνπ ππάξρεη ηηκή NULL ζην data.sid. Γηα λα εκθαληζηεί κφλν κία θνξά έλα alert, νη πιεηάδεο γίλνληαη group by ζην φλνκα ηνπ alert. Δπίζεο, επεηδή δελ θαηεγνξηνπνηνχληαη φια ηα alerts, ρξεζηκνπνηψληαο μαλά ηελ πξάμε left join κεηαμχ ησλ signature θαη sig_class βξίζθνπκε φια ηα alerts πνπ έρνπλ ή δελ έρνπλ θαηεγνξία. Σειηθψο, ζην αξρείν tmp1.txt ζα ππάξρνπλ πιεηάδεο ζην πεδίν «θαηεγνξία» κε ηηκή \N. Γηα λα αληηθαηαζηήζνπκε ηελ ηηκή απηή κε ηελ ηηκή unclassified θαη γηα λα ππνινγίζνπκε ηνλ ζπλνιηθφ αξηζκφ απφ alerts, ρξεζηκνπνηνχκε έλα κηθξφ gawk πξφγξακκα φπσο θαίλεηαη παξαθάησ ην νπνίν απνζεθεχεη ην απνηέιεζκα ζε έλα αξρείν κε φλνκα /tmp/alertswithoutpayload.txt. Παξάδεηγκα εθηέιεζεο:./alertswithoutpayload.sh snort_user:snortpass #!/bin/bash # if [ "$#" -ne 1 ]; then fi echo "Usage:./AlertsWithoutPayload.sh <mysql_user:mysql_pass>" exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e /tmp/tmp1.txt ]; then fi rm /tmp/tmp1.txt; echo "use snort; select sig_name,sig_class_name,count(*),proto_name into outfile '/tmp/tmp1.txt' fields terminated by ';' lines terminated by '\n' from iphdr,protocols,signature left join sig_class on signature.sig_class_id=sig_class.sig_class_id,event left join data on event.sid=data.sid and event.cid=data.cid where data.sid<=>null and event.signature=signature.sig_id and event.sid=iphdr.sid and event.cid=iphdr.cid and iphdr.ip_proto=protocols.protocol group by sig_name;" mysql -u "$mysql_user" -p"$mysql_pass"; gawk 'BEGIN {FS=";"; printf("alert Signature;Classification;Number#;Layer Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 77

79 4 Protocol\n");sum=0} Alerts with payload: Παξφκνηα κε ηε ινγηθή ηνπ πξνεγνχκελνπ script, απηφ εκθαλίδεη φια ηα alerts πνπ έρνπλ payload. Παξάδεηγκα εθηέιεζεο:./alertswithpayload.sh snort_user:snortpass #!/bin/bash if [ "$#" -ne 1 ]; then fi echo "Usage:./AlertsWithPayload.sh <mysql_user:mysql_pass>" exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e /tmp/tmp1.txt ]; then fi {col2=$2} rm /tmp/tmp1.txt; echo "use snort; select sig_name,sig_class_name,count(*),proto_name into outfile '/tmp/tmp1.txt' fields terminated by ';' lines terminated by '\n' from iphdr,protocols,event,data,signature left join sig_class on signature.sig_class_id=sig_class.sig_class_id where event.signature=signature.sig_id and event.sid=data.sid and event.cid=data.cid and event.sid=iphdr.sid and event.cid=iphdr.cid and iphdr.ip_proto=protocols.protocol group by sig_name;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'BEGIN {FS=";"; printf("alert Signature;Classification;Number#;Layer 4 Protocol\n");sum=0} {col2=$2} {if ($2=="\\N") {col2="unclassified"}} {printf("%d)%s;%s;%s;%s\n",nr,$1,col2,$3,$4); sum+=$3} END {printf("total;;%s;",sum)}' /tmp/tmp1.txt > /tmp/alertswithpayload.txt rm /tmp/tmp1.txt; #End of script {if ($2=="\\N") {col2="unclassified"}} {printf("%d)%s;%s;%s;%s\n",nr,$1,col2,$3,$4); sum+=$3} END {printf("total;;%s;",sum)}' /tmp/tmp1.txt > /tmp/alertswithoutpayload.txt rm /tmp/tmp1.txt; #End of script Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 78

80 Δύξεζε ηεο ρώξαο πνπ αλήθεη ε IP: Δπεηδή γηα ηα επφκελα scripts ρξεηαδφκαζηε ηε ρψξα ζηελ νπνία αλήθεη κία δηεχζπλζε IP, ην παξαθάησ perl script θάλνληαο ρξήζε ηεο βηβιηνζήθεο Geo::IP, εκθαλίδεη ηε ρψξα φπνπ αληηζηνηρεί ε IP πνπ ηνπ δφζεθε σο παξάκεηξνο ζηε γξακκή εληνιψλ. Αλ ε ρψξα δελ είλαη δπλαηφλ λα βξεζεί ηππψλεη ην κήλπκα Unknown. Παξάδεηγκα εθηέιεζεο:./ CountryfromIp.pl use Geo::IP; $gi = Geo::IP->new(GEOIP_STANDARD); $country_name = $gi->country_name_by_addr($argv[0]); if($country_name eq "") { print "Unknown"; } else { print $country_name; } #End of script Οη ρώξεο πνπ αληηζηνηρνύλ ζηηο IP πξνέιεπζεο όπσο ζπγθεληξώζεθαλ από ηα honeypots: Δθηφο απφ ηα δεδνκέλα πνπ ζπγθεληξψλεη ην Snort, απφ ηε ιεηηνπξγία ησλ honeypots έρνπκε επίζεο ζπγθεληξψζεη ζε κία βάζε δεδνκέλσλ, φπσο θαηαζθεπάζηεθε ζην θεθάιαην 2.3.2, φιεο ηηο ζπλδέζεηο πνπ έγηλαλ πξνο εθείλα απφ ηνλ «έμσ θφζκν». Μπνξνχκε ινηπφλ λα δνχκε θαη κία άιιε νπηηθή γσλία γηα ηελ εηζεξρφκελε θίλεζε. Με ην παξαθάησ script δεκηνπξγείηαη έλα αξρείν κε φλνκα /tmp/honeypots_srccountries.txt ην νπνίν πεξηέρεη φιεο ηηο ρψξεο απφ φπνπ εκθαλίδνληαη ζπλδέζεηο πξνο ηα honeypots θαη ηνλ αξηζκφ ησλ ζπλδέζεσλ πνπ έγηλαλ απφ θάζε κία. Σψξα, ην φλνκα ηεο βάζεο είλαη master_hlog θαη νη δχν πίλαθεο πνπ ζπκκεηέρνπλ ζηελ επεξψηεζε είλαη ν request θαη ν rip. Ο πξψηνο πεξηέρεη πιεξνθνξίεο γηα θάζε ζχλδεζε πνπ έγηλε θαη ν δεχηεξνο ηελ δηεχζπλζε IP πξνέιεπζεο. Έλα απιφ join αξθεί γηα λα ηαηξηάμνπκε κία ζχλδεζε κε ηελ IP πνπ πξνήιζε. Όκσο ζηε ζπλέρεηα πξέπεη λα ηηο νκαδνπνηήζνπκε κε βάζε ηε ρψξα απφ φπνπ πξνέξρνληαη θαη γηα απηφ, θάζε κία IP πεξλάεη απφ ην script CountriesfromIp.pl θαη ηειηθψο ζην πξνζσξηλφ αξρείν /tmp/tmp1.txt, απνζεθεχνληαη νη ρψξεο θαη πφζεο θνξέο εκθαλίζηεθε θάζε κία. Φπζηθά, ζην αξρείν θάπνηεο ρψξεο ζα εκθαλίδνληαη πεξηζζφηεξεο απφ κία θνξέο θαη γηα απηφ πξέπεη λα νκαδνπνηεζνχλ. Η νκαδνπνίεζε ζα γίλεη πάιη κέζσ ηεο mysql. Γεκηνπξγνχκε έλαλ πξνζσξηλφ πίλαθα, πνπ ππάξρεη φζν ηζρχεη κία ζχλδεζε κε ηε mysql, κε φλνκα countries o νπνίνο έρεη ηξία κφλν πεδία. Σν πξψην είλαη έλαο αλαγλσξηζηηθφο αξηζκφο, ην δεχηεξν ε ρψξα θαη ην ηξίην ν αξηζκφο ησλ ζπλδέζεσλ πνπ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 79

81 έγηλαλ απφ απηήλ πξνο ηα honeypots. Φνξηψλνπκε ινηπφλ, ην αξρείν /tmp/tmp1.txt ζηνλ πίλαθα countries θαη εθηεινχκε κία απιή mysql επεξψηεζε πνπ καο δίλεη κία πιεηάδα γηα θάζε ρψξα θαη ηνλ αξηζκφ ησλ ζπλδέζεσλ απφ απηήλ. Σν απνηέιεζκα απνζεθεχεηαη ζην αξρείν /tmp/honeypots_srccountries.txt. Παξάδεηγκα εθηέιεζεο:./honeypots_srccountries.sh honeyd_user:honeydpass, ζεσξψληαο φηη ν ρξήζηεο honeyd_user έρεη θσδηθφ honeydpass θαη δηθαίσκα γηα select ζηε βάζε master_hlog. #!/bin/bash # if [ "$#" -ne 1 ]; then fi echo "Usage:./Honeypots_srcCountries.sh <mysql_user:mysql_pass>" exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/honeypots_srccountries.txt" ]; then fi rm /tmp/honeypots_srccountries.txt echo "use master_hlog; select rip.ip,count(*) as Total from request,rip where request.rip=rip.id and request.ecode!='e' group by rip.ip;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'NR!=1 {system("perl /home/pavlos/countryfromip.pl "$1); printf ";%d\n",$2}' > /tmp/tmp1.txt echo "use snort; CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ NULL,\ country VARCHAR(255) NOT number INT NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' (country, number); select country,sum(number) into outfile '/tmp/honeypots_srccountries.txt' fields terminated by ';' lines terminated by '\n' from countries group by country;" mysql -u "$mysql_user" - p"$mysql_pass" rm /tmp/tmp1.txt #End of script Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 80

82 Ο αξηζκόο ησλ δηαθνξεηηθώλ εηδώλ alerts γηα ηελ ίδηα IP πξνέιεπζεο: Σν παξαθάησ script καο δηεπθνιχλεη αλ ζέινπκε λα δνχκε κήπσο ππάξρνπλ δηεπζχλζεηο IP απφ ηηο νπνίεο έρνπλ πξνέιζεη πεξηζζφηεξα απφ έλα είδνο alert. Η ηειηθή επεξψηεζε φπσο θαίλεηαη παξαθάησ θάλεη ρξήζε κίαο εηδηθήο φςεο κε φλνκα alerts_vs_ipsrc. Η φςε είλαη: VIEW alerts_vs_ipsrc AS select event.signature AS signature,inet_ntoa(iphdr.ip_src) AS source_ip,count(distinct event.signature) AS distinct_alerts from (event join iphdr) where ((event.sid = iphdr.sid) and (event.cid = iphdr.cid )) group by inet_ntoa(iphdr.ip_src) order by count(distinct event.signature) Η εθηέιεζε ηεο φςεο καο δίλεη γηα θάζε δηαθνξεηηθή IP πφζα δηαθνξεηηθά είδε alerts πξνέθπςαλ απφ απηήλ. Δθκεηαιιεπφκελνη ην απνηέιεζκα, ε επεξψηεζε ηνπ script νκαδνπνηεί ηηο πιεηάδεο κε βάζε ηνλ αξηζκφ ησλ δηαθνξεηηθψλ alerts θαη πξνθχπηεη ηειηθψο πφζεο IP έρνπλ πξνθαιέζεη πφζα δηαθνξεηηθά alerts. Παξάδεηγκα εθηέιεζεο:./no_ips_vs_no_uniquealerts.sh snort_user:snortpass #! /bin/bash # if [ "$#" -ne 1 ]; then echo "Usage:./no_IPs_vs_no_uniqueAlerts.sh <mysql_user:mysql_pass>" fi exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e /tmp/no_ips_vs_no_uniquealerts.txt ]; then fi rm /tmp/no_ips_vs_no_uniquealerts.txt; echo "use snort; select count(source_ip) as no_of_ips, distinct_alerts as no_of_unique_alerts into outfile '/tmp/no_ips_vs_no_uniquealerts.txt' lines terminated by '\n' from alerts_vs_ipsrc group by no_of_unique_alerts order by no_of_unique_alerts asc;" mysql -u "$mysql_user" -p"$mysql_pass" #End of script Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 81

83 Οη ρώξεο πξνέιεπζεο πνπ εκθαλίδνληαη ζηελ πξσηλή δώλε (06:00:00 11:59:59) ζε ώξα Διιάδνο (GMT +2): Σν απνηέιεζκα ηεο επεξψηεζεο ηνπ script είλαη πφζα alerts εκθαλίδνληαη απφ θάζε IP ηε ζπγθεθξηκέλε δψλε ψξαο. Δπεηδή καο ελδηαθέξνπλ νη ρψξεο ζα ρξεζηκνπνηήζνπκε ην script CountryfromIp.pl πνπ αληηζηνηρεί κία IP κε ηε ρψξα πνπ αλήθεη. ηε ζπλέρεηα ζα πεξάζνπκε ην απνηέιεζκα ζε έλαλ πξνζσξηλφ πίλαθα θαη απφ εθεί ζα θάλνπκε νκαδνπνίεζε ησλ ρσξψλ κε ηε βνήζεηα ηεο mysql. Σν ηειηθφ απνηέιεζκα απνζεθεχεηαη ζην αξρείν /tmp/countriesatmorning.txt. Παξάδεηγκα εθηέιεζεο:./srccountriesatmorning.sh snort_user:snortpass #!/bin/bash # #Time Zone : Morning (06:00:00-11:59:59) if [ "$#" -ne 1 ]; then echo "Usage:./SrcCountriesAtMorning.sh <mysql_user:mysql_pass>" exit 1 fi mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/countriesatmorning.txt" ]; then fi rm /tmp/countriesatmorning.txt echo "use snort; select inet_ntoa(ip_src),count(ip_src) as Total from event,iphdr where event.sid=iphdr.sid and event.cid=iphdr.cid and time(timestamp)>='06:00:00' and time(timestamp)<='11:59:59' group by ip_src;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'NR!=1 {system("perl /home/pavlos/countryfromip.pl "$1); printf ";%d\n",$2}' > /tmp/tmp1.txt echo "use snort; CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ country VARCHAR(255) NOT NULL,\ number INT NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' (country, number); select country,sum(number) into outfile '/tmp/countriesatmorning.txt' fields terminated by ';' \ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 82

84 lines terminated by '\n' from countries group by country;" mysql -u "$mysql_user" -p"$mysql_pass" rm /tmp/tmp1.txt #End of script Οη ρώξεο πξνέιεπζεο πνπ εκθαλίδνληαη ζηε κεζεκεξηαλή δώλε (12:00:00-17:59:59) ζε ώξα Διιάδνο (GMT +2): Παξφκνηα κε ην πξνεγνχκελν script, ζην αξρείν /tmp/countriesatnoon.txt εκθαλίδνληαη νη ρψξεο θαη ν αξηζκφο ησλ alerts γηα θάζε κία ζηε κεζεκεξηαλή δψλε. Παξάδεηγκα εθηέιεζεο:./srccountriesatnoon.sh snort_user:snortpass #!/bin/bash # #Time Zone : Noon (12:00:00-17:59:59) if [ "$#" -ne 1 ]; then fi echo "Usage:./SrcCountriesAtNoon.sh <mysql_user:mysql_pass>" exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/countriesatnoon.txt" ]; then fi rm /tmp/countriesatnoon.txt echo "use snort; select inet_ntoa(ip_src),count(ip_src) as Total from event,iphdr where event.sid=iphdr.sid and event.cid=iphdr.cid and time(timestamp)>='12:00:00' and time(timestamp)<='17:59:59' group by ip_src;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'NR!=1 {system("perl /home/pavlos/countryfromip.pl "$1); printf ";%d\n",$2}' > /tmp/tmp1.txt echo "use snort; CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ country VARCHAR(255) NOT NULL,\ number INT NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 83

85 (country, number); select country,sum(number) into outfile '/tmp/countriesatnoon.txt' fields terminated by ';' \ lines terminated by '\n' from countries group by country;" mysql -u "$mysql_user" -p"$mysql_pass" rm /tmp/tmp1.txt #End of script Οη ρώξεο πξνέιεπζεο πνπ εκθαλίδνληαη ζηελ απνγεπκαηηλή δώλε (18:00:00-23:59:59) ζε ώξα Διιάδνο (GMT +2): Παξφκνηα κε ηα πξνεγνχκελα scripts, ζην αξρείν /tmp/countriesatafternoon.txt εκθαλίδνληαη νη ρψξεο θαη ν αξηζκφο ησλ alerts γηα θάζε κία ζηελ απνγεπκαηηλή δψλε. Παξάδεηγκα εθηέιεζεο:./srccountriesatafternoon.sh snort_user:snortpass #!/bin/bash # #Time Zone : Afternoon (18:00:00-23:59:59) if [ "$#" -ne 1 ]; then fi echo "Usage:./SrcCountriesAtAfternoon.sh <mysql_user:mysql_pass>" exit 1 mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/countriesatafternoon.txt" ]; then fi rm /tmp/countriesatafternoon.txt echo "use snort; select inet_ntoa(ip_src),count(ip_src) as Total from event,iphdr where event.sid=iphdr.sid and \ event.cid=iphdr.cid and time(timestamp)>='18:00:00' and time(timestamp)<='23:59:59' \ group by ip_src;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'NR!=1 {system("perl /home/pavlos/countryfromip.pl "$1); \ printf ";%d\n",$2}' > /tmp/tmp1.txt echo "use snort; Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 84

86 CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ country VARCHAR(255) NOT NULL,\ number INT NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' (country, number); select country,sum(number) into outfile '/tmp/countriesatafternoon.txt' fields terminated by ';' \ lines terminated by '\n' from countries group by country;" mysql -u "$mysql_user" -p"$mysql_pass" rm /tmp/tmp1.txt #End of script Οη ρώξεο πξνέιεπζεο πνπ εκθαλίδνληαη ζηελ λπρηεξηλή δώλε (00:00:00-05:59:59) ζε ώξα Διιάδνο (GMT +2): Παξφκνηα κε ηα πξνεγνχκελα scripts, ζην αξρείν /tmp/countriesatnight.txt εκθαλίδνληαη νη ρψξεο θαη ν αξηζκφο ησλ alerts γηα θάζε κία ζηελ απνγεπκαηηλή δψλε. Παξάδεηγκα εθηέιεζεο:./srccountriesatnight.sh snort_user:snortpass #!/bin/bash # #Time Zone : NIGHT (00:00:00-05:59:59) if [ "$#" -ne 1 ]; then echo "Usage:./SrcCountriesAtNight.sh <mysql_user:mysql_pass>" exit 1 fi mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/countriesatnight.txt" ]; then fi rm /tmp/countriesatnight.txt echo "use snort; select inet_ntoa(ip_src),count(ip_src) as Total from event,iphdr where event.sid=iphdr.sid and \ Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 85

87 event.cid=iphdr.cid and time(timestamp)>='00:00:00' and time(timestamp)<='05:59:59' \ group by ip_src;" mysql -u "$mysql_user" -p"$mysql_pass" gawk 'NR!=1 {system("perl /home/pavlos/countryfromip.pl "$1); \ printf ";%d\n",$2}' > /tmp/tmp1.txt echo "use snort; CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ country VARCHAR(255) NOT NULL,\ number INT NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' (country, number); select country,sum(number) into outfile '/tmp/countriesatnight.txt' fields terminated by ';' \ lines terminated by '\n' from countries group by country;" mysql -u "$mysql_user" -p"$mysql_pass" rm /tmp/tmp1.txt #End of script Υώξεο πξνέιεπζεο ησλ δηαθνξεηηθώλ εηδώλ alerts κε ηνλ αξηζκό απηώλ: Γηα θάζε ρψξα εκθαλίδεη ηα είδε ησλ alerts πνπ πξνέξρνληαη απφ απηήλ θαη ηελ πνζφηεηα γηα θάζε είδνο. Παξάδεηγκα εθηέιεζεο:./ SrcCountriesvsUniqueAlerts.sh snort_user:snortpass #!/bin/bash if [ "$#" -ne 1 ]; then echo "Usage:./SrcCountriesvsUniqueAlerts.sh <mysql_user:mysql_pass>" exit 1 fi mysql_user=`echo $1 cut -d ":" -f1` mysql_pass=`echo $1 cut -d ":" -f2` if [ -e "/tmp/countriesvsuniquealerts.txt" ]; then rm /tmp/countriesvsuniquealerts.txt fi Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 86

88 echo "use snort; select inet_ntoa(ip_src),sig_name,count(*) from event,signature,iphdr where inet_ntoa(ip_dst) like ' %' and event.sid=iphdr.sid and event.cid=iphdr.cid and event.signature=signature.sig_id group by ip_src,sig_name;" \ mysql -u "$mysql_user" -p"$mysql_pass" sed "s/\t/;/g" \ gawk 'BEGIN {FS=";"} NR!=1 {system("perl /home/pavlos/countriesfromip.pl "$1); printf(";%s;%d\n",$2,$3);}' > /tmp/tmp1.txt echo "use snort; CREATE TEMPORARY TABLE countries ( id INT UNSIGNED NOT NULL AUTO_INCREMENT,\ country VARCHAR(255) NOT NULL,\ signature VARCHAR(255) NOT NULL,\ number INT UNSIGNED NOT NULL,\ PRIMARY KEY (id)); load data infile '/tmp/tmp1.txt' into table countries fields terminated by ';' (country,signature,number); select country,signature,sum(number) into outfile '/tmp/countriesvsuniquealerts.txt' fields terminated by ';' lines terminated by '\n' from countries group by country,signature;" mysql -u "$mysql_user" - p"$mysql_pass" rm /tmp/tmp1.txt #End of script Portsweep: Portsweep νλνκάδεηαη ην ζθαλάξηζκα πνιιψλ ππνινγηζηψλ δηαδνρηθά ζε κία ζπγθεθξηκέλε πχιε-ππεξεζία. Η ηερληθή απηή κπνξεί λα ρξεζηκνπνηεζεί απφ δηαρεηξηζηέο ππνινγηζηηθψλ θέληξσλ κε ζθνπφ λα ειέγμνπλ ηη ππεξεζίεο ηξέρνπλ ζε πνηνπο ππνινγηζηέο (δηάζεκα εξγαιεία γηα απηήλ ηε δνπιεηά είλαη nmap, cyberkit) ή απφ worms πνπ ζηνρεχνπλ λα εθκεηαιιεπζνχλ vulnerabilities ζπγθεθξηκέλσλ ππεξεζηψλ. Γηα παξάδεηγκα έλα MS-SQL worm κπνξεί λα αληρλεχζεη hosts ζηελ ζχξα 1434 επεηδή απηή ρξεζηκνπνηείηαη γηα ηε δηαρείξηζε ηεο MS-SQL. Η πιεξνθνξία πνπ καο δίλεη ην Snort γηα θάζε portsweep πνπ ιακβάλεη ρψξα θαίλεηαη παξαθάησ: Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 87

89 IP source : Priority Count: 5 Connection Count: 1 IP Count: 128 Scanned IP Range: : Port/Proto Count: 1 Port/Proto Range: 10000:10000 χκθσλα κε ηελ ηεθκεξίσζε ηνπ Snort ζην έγγξαθν README.sfportscan, ηα πεδία εξκελεχνληαη σο εμήο: Priority Count: Δίλαη ν αξηζκφο ησλ θνξψλ πνπ ιήθζεθε αξλεηηθή απάληεζε απφ έλαλ host. Γηα παξάδεηγκα ν host κπνξεί λα ήηαλ unreachable ή λα έγηλε reset ζηε ζχλδεζε απφ ηνλ ίδην ή απφ θάπνην firewall. Connection Count: Δίλαη ν αξηζκφο ησλ ελεξγψλ ζπλδέζεσλ πνπ ππάξρνπλ ηαπηφρξνλα ζηνλ ίδην ππνινγηζηή IP Count: Δίλαη ν αξηζκφο ησλ δηαθνξεηηθψλ IP πνπ επηθνηλψλεζαλ κε ηνλ ίδην ππνινγηζηή. Απνζεθεχεηαη πάληα ε ηειεπηαία IP. Γηα ελεξγνχο ππνινγηζηέο ν αξηζκφο απηφο κπνξεί λα είλαη κεγάινο θαη λα καξηπξά έλα distributed scan. Scanned IP Range: Σν εχξνο ησλ δηαθνξεηηθψλ ππνινγηζηψλ πνπ ζαξψζεθαλ. Port/Proto Count: Ο αξηζκφο ησλ δηαθνξεηηθψλ ports πνπ ζαξψζεθαλ. Γηα portsweeps ζπλήζσο παίξλεη ηηκή έλα. Port/Proto Range: Σν εχξνο ησλ ports πνπ ζαξψζεθαλ. Γηα λα κεηξήζνπκε ηε ζπνπδαηφηεηα κίαο ζάξσζεο ή λα γηα λα μερσξίζνπκε απηέο πνπ είλαη false positives, ρξεζηκνπνηνχκε νξηζκέλεο κεηξηθέο παξακέηξνπο. Απηέο είλαη νη ιφγνη: Connection Count / IP Count: Ο κέζνο φξνο ησλ ζπλδέζεσλ γηα θάζε IP. ε portsweeps ζπλήζσο είλαη κηθξφο αξηζκφο. Port Count / IP Count: Ο κέζνο φξνο ησλ ports πνπ είλαη ζπλδεδεκέλε κία IP. πλήζσο παίξλεη κηθξή ηηκή. Connection Count / Port Count: Ο κέζνο φξνο ησλ ζπλδέζεσλ κε κία port. πλήζσο είλαη κεγάινο αξηζκφο, θαζψο ε ζχξα είλαη παξακέλεη ίδηα. Αθνινπζεί έλα bash script πνπ ππνινγίδεη απηνχο ηνπο ιφγνπο ιακβάλνληαο ππφςε φια ηα portsweeps πνπ βξέζεθαλ απφ ην Snort θαη ππνινγίδνληαο ηνλ κέζν φξν γηα ηνλ θάζε ιφγν. Η δεχηεξε παξάκεηξνο πνπ δέρεηαη ην script είλαη πξναηξεηηθή θαη είλαη ην αξρείν ζην νπνίν ζα ηππψζεη ηηο πιεξνθνξίεο γηα φια ηα portsweeps. Η πιεξνθνξία γηα κία ζάξσζε φπσο παξνπζηάζηεθε πην πάλσ, ζηε βάζε δεδνκέλσλ απνζεθεχεηαη ζηνλ πίλαθα data ζε δεθαεμαδηθή κνξθή. Η επεξψηεζε ινηπφλ κέζα ζην script, ζπλδπάδεη ην payload απφ ηνλ data κε ηε δηεχζπλζε IP απφ ηνλ iphdr. Σν απνηέιεζκα απνζεθεχεηαη ζε έλα πξνζσξηλφ αξρείν ην νπνίν ζηε ζπλέρεηα ζαξψλεηαη απφ ην πην θάησ awk πξφγξακκα πνπ ππνινγίδεη ηνπο ιφγνπο. Παξάδεηγκα εθηέιεζεο:./portsweep.sh snort_user:snortpass [ /tmp/portsweep.txt ] Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 88

90 #!/bin/bash # if [ "$#" -lt 1 ] [ $# gt 2 ]; then echo "Usage:./Portsweep.sh <mysql_user:mysql_pass> <outfile(optional)>" fi exit 1 mysql_user=`echo $2 cut -d ":" -f1` mysql_pass=`echo $2 cut -d ":" -f2` if [ -e /tmp/portsweep.txt ]; then fi rm /tmp/portsweep.txt; echo "use snort; select inet_ntoa(ip_src), unhex(data.data_payload) into outfile '/tmp/portsweep.txt' fields terminated by ';' lines terminated by '\n' from event,signature,data,iphdr where event.sid=iphdr.sid and event.cid=iphdr.cid and event.signature=signature.sig_id and event.sid=data.sid and event.cid=data.cid and sig_name like '%TCP Portsweep%';" mysql -u "$mysql_user" -p"$mysql_pass" awk 'BEGIN {av_conncnt_ipcnt=0; av_conncnt_portcnt=0; av_portcnt_ipcnt=0; number_of_alerts=0} {if(nr==int(nr/7)*7+2) {s1=index($0,":"); str=substr($0,s1+2,6); split(str,array,"\\"); conn_count=array[1]}} {if(nr==int(nr/7)*7+3) { s1=index($0,":"); str=substr($0,s1+2,6); split(str,array,"\\"); ip_count=array[1]; av=conn_count/ip_count; av_conncnt_ipcnt+=av; }} {if(nr==int(nr/7)*7+5) { s1=index($0,":"); str=substr($0,s1+2,6); split(str,array,"\\"); port_count=array[1]; av_conncnt_portcnt+=av; av=port_count/ip_count; av_portcnt_ipcnt+=av; number_of_alerts++; }} END { printf("number of alerts: %d\n",number_of_alerts); av=conn_count/port_count; printf("connection Count / IP Count: %f\n",av_conncnt_ipcnt/number_of_alerts); printf("connection Count / Port Count: %f\n",av_conncnt_portcnt/number_of_alerts); Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 89

91 printf("port Count / IP Count: %f\n",av_portcnt_ipcnt/number_of_alerts); }' /tmp/portsweep.txt if [ "$#" -eq 3 ]; then output=$3 gawk 'BEGIN {FS=";"} {if(nr==int(nr/7)*7+1) printf("ip source :%s\n%s\n",$1,$2) else print $0} ' /tmp/portsweep.txt > "$output" fi rm /tmp/portsweep.txt #End of script 4.4 Αλάιπζε ησλ ζπκβάλησλ πνπ θαηέγξαςε ην Snort. ηηο δχν πξψηεο ελφηεηεο ηνπ ηέηαξηνπ θεθαιαίνπ κηιήζακε γηα ηα είδε ησλ alerts. Έλα alert αθνξά έλα θαη κφλν παθέην δεδνκέλσλ. Δπνκέλσο, ζε κία tcp ή udp ζχλδεζε φπνπ ν αξηζκφο ησλ παθέησλ πνπ αληαιιάζζνληαη είλαη ζπλήζσο πεξηζζφηεξα απφ έλα ηφηε εκθαλίδεηαη κία ξνή απφ ίδηα alerts ηα νπνία κάιηζηα είλαη πνιχ θνληά κεηαμχ ηνπο σο πξνο ηνλ ρξφλν. Αμίδεη, ινηπφλ, λα κειεηήζνπκε ηα ζπκβάληα απηά θαη λα δνχκε πφζα εκθαλίδνληαη θαη πνηεο ψξεο αιιά θαη απφ πνπ πξνέξρνληαη. ηε ζπλέρεηα ζα παξνπζηαζηνχλ ζρεηηθά δηαγξάκκαηα πνπ αθνξνχλ πάληνηε ηα ζπκβάληα απφ ην ρψξν ηνπ darknet. ην dark address space ζε φιε ηε δηάξθεηα ηεο ιεηηνπξγίαο ηνπ server, θαηαγξάθεθαλ ζπκβάληα, πνπ αληηζηνηρνχλ ζε 38 είδε alerts, απφ 1706 δηαθνξεηηθέο IP πνπ κε ηε ζεηξά ηνπο αληηζηνηρνχλ ζε 88 ρψξεο απφ νιφθιεξν ηνλ θφζκν. ηνλ πίλαθα 2 αλαγξάθνληαη φιεο νη ρψξεο απηέο θαη δίπια απφ θάζε κία ν αξηζκφο ησλ alerts πνπ πξνήιζαλ απφ απηήλ. ην δηάγξακκα πνπ αθνινπζεί απεηθνλίδνληαη κφλν νη ρψξεο πνπ έρνπλ παξαπάλσ απφ 100 alerts. Πίλαθαο 2: Οη 88 ρώξεο από ηηο νπνίεο θαηαγξάθεθαλ ζπκβάληα ζην dark address space. Υώξα Alerts# Υώξα Alerts# Υώξα Alerts# Algeria 2 Germany 184 Paraguay 2 Argentina 35 Greece 180 Peru 138 Armenia 1 Hong Kong 5 Philippines 1 Asia/Pacific Region 1 Hungary 4 Poland 19 Australia 25 India 31 Portugal 3 Austria 3 Indonesia 4 Puerto Rico 4 Azerbaijan 2 Iran, Islamic Republic of 5 Qatar 1 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 90

92 Υώξα Alerts# Υώξα Alerts# Υώξα Alerts# Bangladesh 4 Ireland 5 Romania 11 Belarus 1 Israel 2 Russian Federation Belgium 11 Italy 38 San Marino 1 Bolivia 4 Japan 22 Saudi Arabia 2 Bosnia and Herzegovina 1 Jordan 2 Singapore 5 Brazil 126 Kazakhstan 4 Slovakia 3 Brunei Darussalam 6 Korea, Republic of 70 Slovenia 2 Bulgaria 9 Kuwait 1 South Africa 1 Canada 253 Kyrgyzstan 2 Spain 35 Chile 3 Latvia 6 Sweden 19 China 1873 Lebanon 2 Switzerland 6 Colombia 32 Lithuania 6 Taiwan 196 Costa Rica 5 Luxembourg 20 Thailand 21 Cyprus 2 Malaysia 20 Turkey 434 Czech Republic 22 Mexico 7696 Ukraine 25 Denmark 6 Moldova, Republic of 2 Dominican Republic 2 Morocco 1508 Ecuador 2 Netherlands 22 United Arab Emirates 1 United Kingdom 183 United States 3125 Egypt 77 New Zealand 263 Unknown 177 Estonia 38 Nigeria 1 Venezuela 501 Finland 2 Norway 2 Vietnam 4 France 114 Pakistan 44 French Polynesia 1 Panama 1 Με ηε βνήζεηα ηνπ BASE θαη ηεο βηβιηνζήθεο γξαθηθψλ πνπ εγθαηαζηήζακε ζην θεθάιαην κπνξνχκε λα απεηθνλίζνπκε ηηο ρψξεο πξνέιεπζεο ηνπ παξαπάλσ πίλαθα ζε έλαλ παγθφζκην ράξηε, ν νπνίνο θαίλεηαη παξαθάησ: Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 91

93 Δηθόλα 7: Παγθόζκηνο ράξηεο κε ζεκεησκέλεο ηηο ρώξεο απν ηηο νπνίεο θαηαγξάθεθε δξαζηεξηόηεηα πξνο ην darknet space. Source Countries vs Alerts (> 100) Brazil Canada China France Germany Greece Mexico Morocco New Zealand Peru Russian Federation Taiwan Turkey United Kingdom United States Unknown Venezuela ρήκα 2: Οη ρώξεο πξνέιεπζεο πξνο ηνλ αξηζκό ησλ alerts γηα θάζε κία. Σηκή θαησθιίνπ είλαη ηα 100 alerts. Δζηηάδνληαο ζην παξαπάλσ δηάγξακκα ζηηο δχν ρψξεο κε ηα πεξηζζφηεξα alerts, ηελ Ρσζία θαη ην Μεμηθφ, παξαηεξνχκε φηη ην ζχλνιν ησλ παθέησλ έρεη πξνέιζεη απφ 53 δηαθνξεηηθέο IP γηα ηε Ρσζία θαη κφιηο 10 γηα ην Μεμηθφ. Πεγαίλνληαο έλα βήκα Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 92

94 παξαπάλσ, ζα ζέιακε λα δνχκε αλ ε θαηαλνκή ησλ παθέησλ ζηηο IP είλαη νκνηφκνξθε ή φρη. Θα ήηαλ ιάζνο λα θάλνπκε απιψο κία δηαίξεζε ηνπ αξηζκνχ ησλ alerts πξνο ηνπ αξηζκνχ ησλ IP πξνέιεπζεο γηαηί θάηη ηέηνην ζα καο έδηλε εζθαικέλε εληχπσζε γηα ην ηη ζπκβαίλεη πξαγκαηηθά. ηελ πεξίπησζε ηνπ Μεμηθνχ, κφλν δχν απφ ηηο IP έρνπλ πξνθαιέζεη ζρεδφλ ην ζχλνιν ησλ alerts κε ηελ λα έρεη alerts θαη ηελ λα έρεη Οη πεξηζζφηεξεο απφ ηηο ππφινηπεο έρνπλ απφ έλα ή δχν ην πνιχ alerts. Αλάινγε θαηάζηαζε ππάξρεη θαη ζην παξάδεηγκα ηεο Ρσζίαο. Μηα κφλν IP, ε , έρεη alerts, ε ακέζσο επφκελε, ε , θαηέρεη 1242 alerts ελψ ηα ππφινηπα 92 είλαη κνηξαζκέλα ζε 51 IP. Iδηαίηεξν ελδηαθέξνλ παξνπζηάδεη ην γεγνλφο φηη νη ηέζζεξηο IP ηεο Ρσζίαο θαη ηνπ Μεμηθνχ πξνθάιεζαλ ην ίδην είδνο alert θαη ην νπνίν είλαη ην Short UDP packet, length field > payload length. Δλδηαθέξνλ επίζεο είλαη πσο κέζα ζε θάζε δεχγνο IP, Ρσζίαο θαη Μεμηθνχ, ε δξαζηεξηφηεηα ησλ δχν δηεπζχλζεσλ είλαη πνιχ θνληά κεηαμχ ηνπο ρξνληθά. ηελ πεξίπησζε ηνπ Μεμηθνχ, ε δηάξθεηα ηεο ξηπήο ησλ alerts απφ ηελ είλαη πεξίπνπ έμη ιεπηά θαη ηξία ιεπηά κεηά ηε ιήμε ηεο θαηαγξάθεηαη ε δεχηεξε ξηπή απφ ηελ κε δηάξθεηα ηεζζάξσλ ιεπηψλ. Παξφκνηα δξαζηεξηφηεηα εκθαλίδεηαη θαη ζηε πεξίπησζε ησλ Ρσζηθψλ IP. Πίλαθαο 3: Σα είδε ησλ alerts θαη ν αξηζκόο απηώλ, πνπ πξνήιζαλ από ηηο πέληε ρώξεο κε ηα πεξηζζόηεξα alerts. Υώξα Alert Signature Αξηζκόο# China China DDOS Stacheldraht client check gag 10 ICMP Destination Unreachable Communication Administratively Prohibited 5 ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited 253 ICMP PING NMAP 7 portscan: TCP Portscan 11 portscan: TCP Portsweep 813 Snort Alert [1:10136:0] 2 Snort Alert [1:11264:0] 2 Snort Alert [1:6512:0] 757 snort_decoder: Experimental TCP options 3 snort_decoder: Short UDP packet, length field > payload length 1 snort_decoder: TCP Data Offset is less than 5! 4 snort_decoder: Tcp Options found with bad lengths 1 snort_decoder: Truncated Tcp Options 4 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 93

95 Υώξα Alert Signature Αξηζκόο# ICMP PING NMAP 1 Mexico portscan: TCP Portscan 2 portscan: TCP Portsweep 5 snort_decoder: Experimental TCP options 4 snort_decoder: Short UDP packet, length field > payload length 7684 Morocco Russian Federation Russian Federation United States portscan: TCP Portsweep 8 snort_decoder: Short UDP packet, length field > payload length 1500 ICMP Destination Unreachable Communication Administratively Prohibited 1 ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited 23 portscan: TCP Portscan 6 portscan: TCP Portsweep 57 Snort Alert [1: :0] 4 snort_decoder: Short UDP packet, length field > payload length snort_decoder: WARNING: ICMP Original IP Header Not IPv4! 1 ftp_pp: FTP command channel encrypted 2 ftp_pp: Invalid FTP command 2 http_inspect: BARE BYTE UNICODE ENCODING 1 ICMP Destination Unreachable Communication Administratively Prohibited 6 ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited 23 ICMP PING NMAP 2548 ICMP superscan echo 348 portscan: TCP Portscan 14 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 94

96 Υώξα Alert Signature Αξηζκόο# United States portscan: TCP Portsweep 93 SNMP AgentX/tcp request 2 SNMP request tcp 3 Snort Alert [1:0:0] 2 Snort Alert [1:10136:0] 1 Snort Alert [1: :0] 1 snort_decoder: Experimental TCP options 19 snort_decoder: TCP Data Offset is less than 5! 26 snort_decoder: Truncated Tcp Options 3 ssh: Protocol mismatch 4 WEB-PHP Setup.php access 27 Γξαζηεξηόηεηα ησλ IPs πξνέιεπζεο: ρήκα 3: Ο αξηζκόο ησλ alerts πνπ πξνήιζαλ από δηάθνξεο IPs. Σηκή θαησθιίνπ ηα εθαηό alerts. Σν 100% αληηζηνηρεί ζε alerts. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 95

97 IPs IPs Intrusion Analysis in Darknet with Honeynet Deployment Unique Alerts from one IP "1" "2" "3" "4" Unique Alerts ρήκα 4: Πόζεο IPs έρνπλ πξνθαιέζεη ηνλ ίδην αξηζκό unique alerts DDOS Stacheldraht cl... frag3: Fragmentation... UniqueAlerts vs Different IPs (1-19) ftp_pp: FTP bounce a... ftp_pp: FTP comman... ftp_pp: Invalid FTP ftp_pp: Possible strin... http_inspect: BARE... ICMP D.U.C.A.P ICMP D.U.C.A.P(with... ICMP PING CyberKit Unique Alerts ICMP PING NMAP ICMP redirect host ICMP Source Quench ICMP superscan echo portscan: TCP Portscan portscan: TCP Ports... SNMP AgentX/tcp re... SNMP request tcp SNMP trap tcp ρήκα 5: Ο αξηζκόο ησλ δηαθνξεηηθώλ IPs πνπ έρνπλ πξνθαιέζεη ην ίδην είδνο alert. Δηθνλίδνληαη ηα δέθα ελλέα πξώηα είδε ησλ alerts. ICMP D.U.C.A.P : Destination Unreachable Communication Administratively Prohibited 2 Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 96

98 IPs Intrusion Analysis in Darknet with Honeynet Deployment Snort Alert [1:0:0] Snort Alert [1:10136:0] 3 1 Snort Alert [1:11264:0] Snort Alert [1: :0] 7 UniqueAlerts vs Different IPs (20-38) 1 7 Snort Alert [1:3441:0] Snort Alert [1:3626:0] Snort Alert [1:6512:0] Tcp Options found with... Truncated Tcp Options Experimental TCP options Short UDP packet, length... TCP Data Offset is less ICMP Original IP Fragm... ICMP Original IP Heade... Unique Alerts 46 ICMP Original IP Paylo.. ssh: Protocol mismatch WEB-FRONTPAGE /_v WEB-FRONTPAGE pos... WEB-PHP Setup.php... ρήκα 6: Ο αξηζκόο ησλ δηαθνξεηηθώλ IPs πνπ έρνπλ πξνθαιέζεη ην ίδην είδνο alert. Δηθνλίδνληαη ηα επόκελα δέθα ελλέα είδε ησλ alerts. ρήκα 7: Οη TCP ζύξεο πξννξηζκνύ πξνο ηνλ αξηζκό ησλ alerts. To 100% αληηζηνηρεί ζε 968 alerts. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 97

99 Time Zones: SrcCountriesAtMorning (06:00:00-11:59:59) ( >10) Brazil Canada China Egypt France Germany Greece Korea, Republic of Luxembourg Peru Russian Federation Taiwan Thailand Turkey United Kingdom United States Unknown ρήκα 8: Πξσηλή δώλε 06:00:00 11:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts. 30 Μεζεκεξηαλή δψλε: SrcCountriesAtNoon (12:00:00-17:59:59) (>10) Argentina Brazil Canada China Colombia Egypt Estonia France Germany Greece India Italy Korea, Republic of New Zealand Pakistan Peru Russian Federation Taiwan Turkey United Kingdom United States Unknown ρήκα 9: Μεζεκεξηαλή δώλε 12:00:00 17:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 98

100 Απνγεπκαηηλή δψλε: SrcCountriesAtAfternoon (18:00:00-23:59:59) (>10) Argentina Brazil 7689 Canada China Egypt Estonia France Germany Greece Korea, Republic of Mexico Morocco Pakistan Peru Russian Federation Taiwan Turkey United Kingdom United States Unknown Venezuela ρήκα 10: Απνγεπκαηηλή δώλε 18:00:00 23:59:59, κε ηηκή θαησθιίνπ ηα 10 alert. Βξαδηλή δψλε: Brazil SrcCountriesAtNight (00:00:00-05:59:59) (>10) Canada China Egypt Germany Greece Korea, Republic of Pakistan Peru Poland Russian Federation Taiwan Turkey United Kingdom United States Unknown 50 ρήκα 11: Βξαδηλή δώλε 00:00:00 05:59:59, κε ηηκή θαησθιίνπ ηα 10 alerts. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 99

101 Time Zones vs Alerts Morning Noon Afternoon Night ρήκα 12: Η θαηαλνκή ησλ alerts ζπλνιηθά κεηαμύ ησλ ηεζζάξσλ δσλώλ ώξαο. ρήκα 13: Η θαηαλνκή ηνπ αξηζκνύ ησλ alerts ζε κεληαία βάζε. Από 1 Ιαλνπαξίνπ σο 1 Ινπλίνπ Σν 100% αληηζηνηρεί ζε alerts. 4.5 Honeypots activity Απφ ηε ιεηηνπξγία ησλ honeypots κπνξνχκε λα εμάγνπκε αληίζηνηρα ζηαηηζηηθά. Σψξα φκσο δελ έρνπκε alerts αιιά ε ίδηα δηθηπαθή θίλεζε είλαη χπνπηε θαζψο απεπζχλεηαη ζε έλα ζχλνιν IPs φπνπ δελ πεξηκέλνπκε λα έρεη αιιειεπίδξαζε κε θαλέλαλ ππνινγηζηή. Δπνκέλσο, φια ηα παθέηα πνπ θαηαιήγνπλ ζηα honeypots έρνπλ θάπνην θαθφβνπιν ζθνπφ. Παχινο Αξβαλίηεο, Φψηηνο Παξαζθεπάο 100

ΑΛΛΑΓΗ ΟΝΟΜΑΣΟ ΚΑΙ ΟΜΑΔΑ ΕΡΓΑΙΑ, ΚΟΙΝΟΥΡΗΣΟΙ ΦΑΚΕΛΟΙ ΚΑΙ ΕΚΣΤΠΩΣΕ ΣΑ WINDOWS XP

ΑΛΛΑΓΗ ΟΝΟΜΑΣΟ ΚΑΙ ΟΜΑΔΑ ΕΡΓΑΙΑ, ΚΟΙΝΟΥΡΗΣΟΙ ΦΑΚΕΛΟΙ ΚΑΙ ΕΚΣΤΠΩΣΕ ΣΑ WINDOWS XP ΑΛΛΑΓΗ ΟΝΟΜΑΣΟ ΚΑΙ ΟΜΑΔΑ ΕΡΓΑΙΑ, ΚΟΙΝΟΥΡΗΣΟΙ ΦΑΚΕΛΟΙ ΚΑΙ ΕΚΣΤΠΩΣΕ ΣΑ WINDOWS XP ηότοι εργαζηηρίοσ ην πιαίζην ηνπ ζπγθεθξηκέλνπ εξγαζηεξίνπ ζα παξνπζηαζηνύλ βαζηθέο ιεηηνπξγίεο ησλ Windows XP πνπ ζρεηίδνληαη

Διαβάστε περισσότερα

ΕΝΤΟΛΕΣ WINDOWS ΚΑΙ UNIX

ΕΝΤΟΛΕΣ WINDOWS ΚΑΙ UNIX ΕΝΤΟΛΕΣ WINDOWS ΚΑΙ UNIX Σηότοι εργαζηηρίοσ Σην πιαίζην ηνπ ζπγθεθξηκέλνπ εξγαζηεξίνπ, νη θνηηεηέο ζα εμνηθεησζνύλ κε βαζηθέο εληνιέο δηθηπαθώλ πξσηνθόιισλ νη νπνίεο βξίζθνπλ εθαξκνγή ζε πεξηβάιινληα Windows

Διαβάστε περισσότερα

TOOLBOOK (μάθημα 2) Δεκηνπξγία βηβιίνπ θαη ζειίδσλ ΠΡΟΑΡΜΟΓΗ: ΒΑΛΚΑΝΙΩΣΗ ΔΗΜ. ΕΚΠΑΙΔΕΤΣΙΚΟ ΠΕ19 1 TOOLBOOK ΜΑΘΗΜΑ 2

TOOLBOOK (μάθημα 2) Δεκηνπξγία βηβιίνπ θαη ζειίδσλ ΠΡΟΑΡΜΟΓΗ: ΒΑΛΚΑΝΙΩΣΗ ΔΗΜ. ΕΚΠΑΙΔΕΤΣΙΚΟ ΠΕ19 1 TOOLBOOK ΜΑΘΗΜΑ 2 TOOLBOOK (μάθημα 2) Δεκηνπξγία βηβιίνπ θαη ζειίδσλ ΕΚΠΑΙΔΕΤΣΙΚΟ ΠΕ19 1 Δημιουργία σελίδων και βιβλίων Έλα θαηλνύξην βηβιίν πεξηέρεη κία άδεηα ζειίδα κε έλα άδεην background. Δελ κπνξνύκε λα μερσξίζνπκε

Διαβάστε περισσότερα

Hellas online Προεπιλεγμένες ρσθμίσεις για FritzBox Fon WLAN 7140 (Annex B) 30.04.67 FritzBox Fon WLAN 7140 - Annex B (30.04.67)

Hellas online Προεπιλεγμένες ρσθμίσεις για FritzBox Fon WLAN 7140 (Annex B) 30.04.67 FritzBox Fon WLAN 7140 - Annex B (30.04.67) Hellas online Προεπιλεγμένες ρσθμίσεις για FritzBox Fon WLAN 7140 (Annex B) 30.04.67 FritzBox Fon WLAN 7140 - Annex B (30.04.67) Γηα λα επαλαθέξεηε ην FritzBox Fon WLAN 7140 ζηηο πξνεπηιεγκέλεο ηνπ ξπζκίζεηο

Διαβάστε περισσότερα

Κεθάλαιο 1. Ενόηηηα 2 Πλάνο Μάρκεηινγκ. Εξγαιεία Μάξθεηηλγθ. Dr. Andrea Grimm Dr. Astin Malschinger

Κεθάλαιο 1. Ενόηηηα 2 Πλάνο Μάρκεηινγκ. Εξγαιεία Μάξθεηηλγθ. Dr. Andrea Grimm Dr. Astin Malschinger Κεθάλαιο 1 Ενόηηηα 2 Πλάνο Μάρκεηινγκ Εξγαιεία Μάξθεηηλγθ Dr. Andrea Grimm Dr. Astin Malschinger ΠΕΡΙΕΧΟΜΕΝΑ ΕΝΟΤΗΤΑ 2 ΠΛΑΝΟ ΜΑΡΚΕΤΙΝΓΚ Κεθάιαην 1: Εξγαιεία Μάξθεηηλγθ Σπγγξαθείο: Δξ. Andrea Grimm, Δξ.

Διαβάστε περισσότερα

Οδηγίες τρήζης για λειηοσργία μεηαθοράς καναλιών ζε υηθιακό δέκηη OST-7060 HD

Οδηγίες τρήζης για λειηοσργία μεηαθοράς καναλιών ζε υηθιακό δέκηη OST-7060 HD Οδηγίες τρήζης για λειηοσργία μεηαθοράς καναλιών ζε υηθιακό δέκηη OST-7060 HD Γηα ηε δηεπθόιπλζή ζαο θαηά ην switch-off ηεο πεξηνρήο ηεο Πεινπνλλήζνπ έρνπκε πξνζζέζεη ζηνπο ςεθηαθνύο καο δέθηεο κία λέα,

Διαβάστε περισσότερα

Βάσεις Δεδομέμωμ. Εξγαζηήξην V. Τκήκα Πιεξνθνξηθήο ΑΠΘ 2015-2016

Βάσεις Δεδομέμωμ. Εξγαζηήξην V. Τκήκα Πιεξνθνξηθήο ΑΠΘ 2015-2016 Βάσεις Δεδομέμωμ Εξγαζηήξην V Τκήκα Πιεξνθνξηθήο ΑΠΘ 2015-2016 2 Σκοπός του 5 ου εργαστηρίου Σθνπόο απηνύ ηνπ εξγαζηεξίνπ είλαη: ε κειέηε ζύλζεησλ εξσηεκάησλ ζύλδεζεο ζε δύν ή πεξηζζόηεξεο ζρέζεηο ε κειέηε

Διαβάστε περισσότερα

Μορθές Κακόβοσλοσ Κώδικα (Malicious Code)

Μορθές Κακόβοσλοσ Κώδικα (Malicious Code) Μορθές Κακόβοσλοσ Κώδικα (Malicious Code) Page 1 Υποπλοίαρτος Ν. Πεηράκος ΠΝ Αηδένηα Γνύξεηνη Ίππνη (Trojan Horses) Ινί (Viruses) Worms Root-kit Page 2 Γνύξεηνο Ίππνο (Trojan Horse) Οξηζκόο: Πξόγξακκα

Διαβάστε περισσότερα

Α Ο Κ Η Α Μ Α Ζ Η Η Ρ Η ( S E A R C H )

Α Ο Κ Η Α Μ Α Ζ Η Η Ρ Η ( S E A R C H ) Ξ G O O G L E S C H O L A R Α Ο Ξ Ε Κ Ε Θ Λ Θ Α Λ Η Τ Α Μ Η Α Μ Α Ζ Η Η Ρ Η Ρ Οξαγκαηνπνηώληαο αλαδήηεζε ζην GoogleScholar (http://scholar.google.com/) ν ρξήζηεο κπνξεί λα εληνπίζεη πιηθό αθαδεκαϊθνύ θαη

Διαβάστε περισσότερα

Σημεία Ασύπματηρ Ππόσβασηρ (Hot-Spots)

Σημεία Ασύπματηρ Ππόσβασηρ (Hot-Spots) Σημεία Ασύπματηρ Ππόσβασηρ (Hot-Spots) 1.1 Σςνοπτική Πεπιγπαυή Hot Spots Σα ζεκεία αζύξκαηεο πξόζβαζεο πνπ επηιέρζεθαλ αλαθέξνληαη ζηνλ επόκελν πίλαθα θαη παξνπζηάδνληαη αλαιπηηθά ζηηο επόκελεο παξαγξάθνπο.

Διαβάστε περισσότερα

ΑΠΑΝΤΗΣΔΙΣ ΓΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ II ΔΠΑΛ

ΑΠΑΝΤΗΣΔΙΣ ΓΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ II ΔΠΑΛ ΑΠΑΝΤΗΣΔΙΣ ΓΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ II ΔΠΑΛ ΘΔΜΑ Α Α1. α. Σ β. Σ γ. Λ δ. Λ ε. Λ ζη. Σ Α2. Γ Α3. 1. γ 2. ε 3. δ 4. α Β1. ΘΔΜΑ Β Οη ηειηθνί ππνινγηζηέο παίξλνπλ απνθάζεηο δξνκνιόγεζεο κόλν γηα ηα δηθά ηνπο απηνδύλακα

Διαβάστε περισσότερα

Α. Εηζαγσγή ηεο έλλνηαο ηεο ηξηγσλνκεηξηθήο εμίζσζεο κε αξρηθό παξάδεηγκα ηελ εκx = 2

Α. Εηζαγσγή ηεο έλλνηαο ηεο ηξηγσλνκεηξηθήο εμίζσζεο κε αξρηθό παξάδεηγκα ηελ εκx = 2 ΣΡΙΓΩΝΟΜΔΣΡΙΚΔ EΞΙΩΔΙ Πνηα παξαδείγκαηα εμηζώζεσλ ή θαη πξνβιεκάησλ πηζηεύεηαη όηη είλαη θαηάιιεια γηα ηελ επίιπζε ηνπο θαηά ηελ δηάξθεηα ηεο δηδαθηηθήο δηαδηθαζίαο κέζα ζηελ ηάμε; 1 ε ΓΙΓΑΚΣΙΚΗ ΩΡΑ Α.

Διαβάστε περισσότερα

Δπηιέγνληαο ην «Πξνεπηινγή» θάζε θνξά πνπ ζα ζπλδέεζηε ζηελ εθαξκνγή ζα βξίζθεζηε ζηε λέα ρξήζε.

Δπηιέγνληαο ην «Πξνεπηινγή» θάζε θνξά πνπ ζα ζπλδέεζηε ζηελ εθαξκνγή ζα βξίζθεζηε ζηε λέα ρξήζε. ΑΝΟΙΓΜΑ ΝΔΑ ΥΡΗΗ 1. Γεκηνπξγείηε ηε λέα ρξήζε από ηελ επηινγή «Παξάκεηξνη/Παξάκεηξνη Δηαηξίαο/Γηαρείξηζε Δηαηξηώλ». Πιεθηξνινγείηε ηνλ θσδηθό ηεο εηαηξίαο ζαο θαη παηάηε Enter. Σηελ έλδεημε «Υξήζεηο» παηάηε

Διαβάστε περισσότερα

H ΜΑΓΕΙΑ ΤΩΝ ΑΡΙΘΜΩΝ

H ΜΑΓΕΙΑ ΤΩΝ ΑΡΙΘΜΩΝ H ΜΑΓΕΙΑ ΤΩΝ ΑΡΙΘΜΩΝ Φξεζηκόηεηα καζεκαηηθώλ Αξρή θαηακέηξεζεο Όζα έδσζαλ νη Έιιελεο... Τξίγσλνη αξηζκνί Τεηξάγσλνη αξηζκνί Δπηκήθεηο αξηζκνί Πξώηνη αξηζκνί Αξηζκνί κε μερσξηζηέο ηδηόηεηεο Γίδπκνη πξώηνη

Διαβάστε περισσότερα

1. Οδηγίερ εγκαηάζηαζηρ και σπήζηρ έξςπνυν καπηών και τηθιακών πιζηοποιηηικών με σπήζη ηος λογιζμικού Μοzilla Thunderbird

1. Οδηγίερ εγκαηάζηαζηρ και σπήζηρ έξςπνυν καπηών και τηθιακών πιζηοποιηηικών με σπήζη ηος λογιζμικού Μοzilla Thunderbird 1. Οδηγίερ εγκαηάζηαζηρ και σπήζηρ έξςπνυν καπηών και τηθιακών πιζηοποιηηικών με σπήζη ηος λογιζμικού Μοzilla Thunderbird 1.1 Εγκαηάζηαζη ηυν οδηγών ηηρ έξςπνηρ κάπηαρ ζηο λογιζμικό Mozilla Thunderbird

Διαβάστε περισσότερα

ΠΑΡΑΡΣΗΜΑ Δ. ΔΤΡΔΗ ΣΟΤ ΜΔΣΑΥΗΜΑΣΙΜΟΤ FOURIER ΓΙΑΦΟΡΩΝ ΗΜΑΣΩΝ

ΠΑΡΑΡΣΗΜΑ Δ. ΔΤΡΔΗ ΣΟΤ ΜΔΣΑΥΗΜΑΣΙΜΟΤ FOURIER ΓΙΑΦΟΡΩΝ ΗΜΑΣΩΝ ΠΑΡΑΡΣΗΜΑ Δ. ΔΤΡΔΗ ΣΟΤ ΜΔΣΑΥΗΜΑΣΙΜΟΤ FOURIER ΓΙΑΦΟΡΩΝ ΗΜΑΣΩΝ Εδώ ζα ππνινγίζνπκε ην κεηαζρεκαηηζκό Fourier κεξηθώλ αθόκα ζεκάησλ, πξνζπαζώληαο λα μεθηλήζνπκε από ην κεηαζρεκαηηζκό Fourier γλσζηώλ ζεκάησλ

Διαβάστε περισσότερα

ΦΤΛΛΟ ΔΡΓΑΙΑ 1 Βαζηθέο Έλλνηεο & Καηεγνξίεο Γηθηύσλ Τπνινγηζηώλ

ΦΤΛΛΟ ΔΡΓΑΙΑ 1 Βαζηθέο Έλλνηεο & Καηεγνξίεο Γηθηύσλ Τπνινγηζηώλ ΦΤΛΛΟ ΔΡΓΑΙΑ 1 Βαζηθέο Έλλνηεο & Καηεγνξίεο Γηθηύσλ Τπνινγηζηώλ Γξαζηεξηόηεηα 1ε αο δίλεηαη ν ελλνηνινγηθφο ράξηεο "Γίθηπα Τπνινγηζηψλ - Βαζηθέο Έλλνηεο" πνπ αθνξά ζηελ θεληξηθή έλλνηα "Γίθηπα Τπνινγηζηψλ".

Διαβάστε περισσότερα

Απνηειέζκαηα Εξσηεκαηνινγίνπ 2o ηεηξάκελν 2011-12

Απνηειέζκαηα Εξσηεκαηνινγίνπ 2o ηεηξάκελν 2011-12 Απνηειέζκαηα Εξσηεκαηνινγίνπ 2o ηεηξάκελν 11-12 Project 6: Ταμίδη κε ηε Μεραλή ηνπ Φξόλνπ Υπεύζπλνη Καζεγεηέο: Ε. Μπηιαλάθε Φ. Αλησλάηνο Δρώηηζη 3: Πνηα από ηα παξαθάησ ΜΜΕ ηεξαξρείηε από πιεπξάο ζεκαζίαο;

Διαβάστε περισσότερα

ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ 4 ΣΥΝΔΥΑΣΤΙΚΑ ΚΥΚΛΩΜΑΤΑ

ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ 4 ΣΥΝΔΥΑΣΤΙΚΑ ΚΥΚΛΩΜΑΤΑ ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ 4 ΣΥΝΔΥΑΣΤΙΚΑ ΚΥΚΛΩΜΑΤΑ 1. ρεδίαζε πλδπαζηηθνύ Κπθιώκαηνο Έλα ζπλδπαζηηθό θύθισκα (Κ) έρεη ηξεηο εηζόδνπο A, B θαη C θαη κία έμνδν Y Y=A B+AC Να θαηαζθεπάζεηε ην ράξηε Karnaugh. B 0

Διαβάστε περισσότερα

Διιεληθά Σειρά Moov Δγτειρίδιο τρήζηη Δνημέρφζης ταρηών Web Αλαζεώξεζε: R00 (2010/05) Πώς να ενημερώζφ ηοσς τάρηες; Υπάξρνπλ ηέζζεξα βήκαηα γηα ηελ ελεκέξσζε ηνπ ράξηε. Βήκα

Διαβάστε περισσότερα

Δξγαιεία Καηαζθεπέο 1 Σάμε Δ Δ.Κ.Φ.Δ. ΥΑΝΗΩΝ ΠΡΩΣΟΒΑΘΜΗΑ ΔΚΠΑΗΓΔΤΖ. ΔΝΟΣΖΣΑ 2 ε : ΤΛΗΚΑ ΩΜΑΣΑ ΔΡΓΑΛΔΗΑ ΚΑΣΑΚΔΤΔ. Καηαζθεπή 1: Ογθνκεηξηθό δνρείν

Δξγαιεία Καηαζθεπέο 1 Σάμε Δ Δ.Κ.Φ.Δ. ΥΑΝΗΩΝ ΠΡΩΣΟΒΑΘΜΗΑ ΔΚΠΑΗΓΔΤΖ. ΔΝΟΣΖΣΑ 2 ε : ΤΛΗΚΑ ΩΜΑΣΑ ΔΡΓΑΛΔΗΑ ΚΑΣΑΚΔΤΔ. Καηαζθεπή 1: Ογθνκεηξηθό δνρείν Δξγαιεία Καηαζθεπέο 1 Δ.Κ.Φ.Δ. ΥΑΝΗΩΝ ΠΡΩΣΟΒΑΘΜΗΑ ΔΚΠΑΗΓΔΤΖ ΔΝΟΣΖΣΑ 2 ε : ΤΛΗΚΑ ΩΜΑΣΑ ΔΡΓΑΛΔΗΑ ΚΑΣΑΚΔΤΔ Καηαζθεπή 1: Ογθνκεηξηθό δνρείν Καηαζθεπάδνπκε έλα νγθνκεηξηθό δνρείν από πιαζηηθό κπνπθάιη λεξνύ

Διαβάστε περισσότερα

ΑΞΙΟΘΕΑΣΑ ΣΟΤ ΥΩΡΙΟΤ ΜΑ

ΑΞΙΟΘΕΑΣΑ ΣΟΤ ΥΩΡΙΟΤ ΜΑ ΑΞΙΟΘΕΑΣΑ ΣΟΤ ΥΩΡΙΟΤ ΜΑ α. Η ΕΚΚΛΗΙΑ ΣΟΤ ΥΩΡΙΟΤ ΜΑ β. ΣΟ ΠΝΕΤΜΑΣΙΚΟ ΜΑ ΚΕΝΣΡΟ γ. Η ΠΑΝΟΡΑΜΙΚΗ ΘΕΗ ΣΟΤ ΥΩΡΙΟΤ ΜΑ α. Η ΕΚΚΛΗΙΑ ΣΟΤ ΥΩΡΙΟΤ ΜΑ. Η Εθθιεζία ηνπ ρσξηνύ καο, ε Αγία Άλλα, είλαη θηηζκέλε πξηλ πνιιά

Διαβάστε περισσότερα

ΠΛΗ36. Άσκηση 1. Άσκηση 2. Οη δηεπζύλζεηο ησλ 4 σλ ππνδηθηύσλ είλαη νη αθόινπζεο. Υπνδίθηπν Α: 10.101.1.64/27 Υπνδίθηπν Β: 10.101.1.

ΠΛΗ36. Άσκηση 1. Άσκηση 2. Οη δηεπζύλζεηο ησλ 4 σλ ππνδηθηύσλ είλαη νη αθόινπζεο. Υπνδίθηπν Α: 10.101.1.64/27 Υπνδίθηπν Β: 10.101.1. Άσκηση 1 ΠΛΗ36 1. Η κόλε πεξίπησζε λα έρνπκε ζύγθξνπζε κεηαμύ παθέησλ ησλ δύν θόκβσλ είλαη λα ζηείιεη ν δεύηεξνο πξηλ πξνιάβεη λα πιεξνθνξεζεί γηα ηελ θαηάιεςε ηνπ δηάπινπ από ηνλ άιιν. Από ηε ζηηγκή πνπ

Διαβάστε περισσότερα

ΑΠΛΟΠΟΙΗΗ ΛΟΓΙΚΩΝ ΤΝΑΡΣΗΕΩΝ ΜΕ ΠΙΝΑΚΕ KARNAUGH

ΑΠΛΟΠΟΙΗΗ ΛΟΓΙΚΩΝ ΤΝΑΡΣΗΕΩΝ ΜΕ ΠΙΝΑΚΕ KARNAUGH ΑΠΛΟΠΟΙΗΗ ΛΟΓΙΚΩΝ ΤΝΑΡΣΗΕΩΝ ΜΕ ΠΙΝΑΚΕ KRNUGH Γηα λα θάλνπκε απινπνίεζε κηαο ινγηθήο ζπλάξηεζεο κε πίλαθα (ή ράξηε) Karnaugh αθνινπζνύκε ηα παξαθάησ βήκαηα:. Η ινγηθή ζπλάξηεζε ζα πξέπεη λα είλαη ζε πιήξε

Διαβάστε περισσότερα

Η/Υ A ΤΑΞΕΩΣ ΑΕ 2010-2011. Συστήματα Αρίθμησης. Υποπλοίαρχος Ν. Πετράκος ΠΝ

Η/Υ A ΤΑΞΕΩΣ ΑΕ 2010-2011. Συστήματα Αρίθμησης. Υποπλοίαρχος Ν. Πετράκος ΠΝ Συστήματα Αρίθμησης Υποπλοίαρχος Ν. Πετράκος ΠΝ 1 Ειζαγωγή Τν bit είλαη ε πην βαζηθή κνλάδα κέηξεζεο. Είλαη κία θαηάζηαζε on ή off ζε έλα ςεθηαθό θύθισκα. Άιιεο θνξέο είλαη κία θαηάζηαζε high ή low voltage

Διαβάστε περισσότερα

Άζκηζη ζτέζης κόζηοσς-τρόνοσ (Cost Time trade off) Καηαζκεσαζηική ΑΔ

Άζκηζη ζτέζης κόζηοσς-τρόνοσ (Cost Time trade off) Καηαζκεσαζηική ΑΔ Άζκηζη ζτέζης κόζηοσς-τρόνοσ (Cost Time trade off) Καηαζκεσαζηική Δίζηε μησανικόρ διοίκηζηρ μεγάληρ καηαζκεςαζηικήρ εηαιπείαρ και καλείζηε να ςλοποιήζεηε ηο έπγο πος πεπιγπάθεηαι από ηον Πίνακα 1. Κωδ.

Διαβάστε περισσότερα

ΛΙΜΝΗ ΤΣΑΝΤ. Σρήκα 1. Σρήκα 2

ΛΙΜΝΗ ΤΣΑΝΤ. Σρήκα 1. Σρήκα 2 ΛΙΜΝΗ ΤΣΑΝΤ Τν Σρήκα 1 δείρλεη ηελ αιιαγή ηεο ζηάζκεο ηεο Λίκλεο Τζαλη, ζηε Σαράξα ηεο Βόξεηαο Αθξηθήο. Η Λίκλε Τζαλη εμαθαλίζηεθε ηειείσο γύξσ ζην 20.000 π.χ., θαηά ηε δηάξθεηα ηεο ηειεπηαίαο επνρήο ησλ

Διαβάστε περισσότερα

Πως να δημιουργήσετε ένα Cross-Over καλώδιο

Πως να δημιουργήσετε ένα Cross-Over καλώδιο Πως να δημιουργήσετε ένα Cross-Over καλώδιο Τν crossover καλώδιο ρξεζηκνπνηείηαη γηα λα ζπλδεζνύλ δπν ππνινγηζηέο κεηαμύ ηνπο θαη αλ θηηάμνπλ έλα κηθξό ηνπηθό δίθηπν(lan). Έλα LAN κπνξεί λα είλαη ηόζν

Διαβάστε περισσότερα

ΑΓΩΜΘΡΘΙΞΘ ΤΩΠΞΘ ΡΘΡ ΛΘΙΠΕΡ ΗΚΘΙΘΕΡ ΛΘΤΑΗΚΘΔΗΡ Τ.

ΑΓΩΜΘΡΘΙΞΘ ΤΩΠΞΘ ΡΘΡ ΛΘΙΠΕΡ ΗΚΘΙΘΕΡ ΛΘΤΑΗΚΘΔΗΡ Τ. ΑΓΩΜΘΡΘΙΞΘ ΤΩΠΞΘ ΡΘΡ ΛΘΙΠΕΡ ΗΚΘΙΘΕΡ ΟΑIΤΜΘΔΘ ΡΕ ΛΕΓΑΚΞ ΓΗΟΕΔΞ 11V11 ΗΚΘΙΘΑ 6-10 ΤΠΞΜΩΜ ΛΕΘΞΜΕΙΗΛΑΑ ΞΣ ΟΑΘΤΜΘΔΘΞΣ ΡΕ ΛΕΓΑΚΞ ΓΗΟΕΔΞ ΓΘΑ ΟΑΘΙΕΡ ΗΚΘΙΘΑΡ 6-10 ΕΩΜ Η ΔΘΑΔΠΞΛΗ ΑΟΞ Η ΛΘΑ ΕΡΘΑ ΡΗΜ ΑΚΚΗ ΕΘΜΑΘ ΛΕΓΑΚΗ

Διαβάστε περισσότερα

ύζηεκα Ωξνκέηξεζεο Πξνζσπηθνύ (Έθδνζε 2) ΤΠΗΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΤΣΗΜΑΣΩΝ

ύζηεκα Ωξνκέηξεζεο Πξνζσπηθνύ (Έθδνζε 2) ΤΠΗΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΤΣΗΜΑΣΩΝ ύζηεκα Ωξνκέηξεζεο Πξνζσπηθνύ (Έθδνζε 2) ΤΠΗΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΤΣΗΜΑΣΩΝ Πεξηερόκελα Σερληθά Υαξαθηεξηζηηθά Καηαγξαθή Ώξαο πγρξνληζκόο πζηήκαηνο Παξνπζίαζε πζηήκαηνο Πηζαλά ελάξηα Υξήζεο 2 Σερληθά Υαξαθηεξηζηηθά

Διαβάστε περισσότερα

Διατείριση Φσσικών Καταστρουών: ACTIVE LANDSLIDE INVENTORY MAPPING AND SUSCEPTIBILITY ZONING

Διατείριση Φσσικών Καταστρουών: ACTIVE LANDSLIDE INVENTORY MAPPING AND SUSCEPTIBILITY ZONING Διατείριση Φσσικών Καταστρουών: ACTIVE LANDSLIDE INVENTORY MAPPING AND SUSCEPTIBILITY ZONING Ναηαιία Σπαλνύ, spanou@igme.gr & natspanou@gmail.com Τερληθόο Γεσιόγνο (M.Sc.) Πεξηγξαθή Χάξηεο ρσξηθήο θαηαλνκήο

Διαβάστε περισσότερα

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΑΘΗΝΩΝ ΠΡΟΓΡΑΜΜΑ ΜΔΣΑΠΣΤΥΙΑΚΩΝ ΠΟΤΓΩΝ ΣΗΝ ΔΠΙΣΗΜΗ ΣΩΝ ΤΠΟΛΟΓΙΣΩΝ. Γηπιωκαηηθή Δξγαζία Μεηαπηπρηαθνύ Γηπιώκαηνο Δηδίθεπζεο

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΑΘΗΝΩΝ ΠΡΟΓΡΑΜΜΑ ΜΔΣΑΠΣΤΥΙΑΚΩΝ ΠΟΤΓΩΝ ΣΗΝ ΔΠΙΣΗΜΗ ΣΩΝ ΤΠΟΛΟΓΙΣΩΝ. Γηπιωκαηηθή Δξγαζία Μεηαπηπρηαθνύ Γηπιώκαηνο Δηδίθεπζεο ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΑΘΗΝΩΝ ΠΡΟΓΡΑΜΜΑ ΜΔΣΑΠΣΤΥΙΑΚΩΝ ΠΟΤΓΩΝ ΣΗΝ ΔΠΙΣΗΜΗ ΣΩΝ ΤΠΟΛΟΓΙΣΩΝ Γηπιωκαηηθή Δξγαζία Μεηαπηπρηαθνύ Γηπιώκαηνο Δηδίθεπζεο «Ανίτνεσση Δικτύων Υπό Κακόβοσλο Έλεγτο Κάνοντας Φρήση Της

Διαβάστε περισσότερα

Δξγαιεία Καηαζθεπέο 1 Σάμε Σ Δ.Κ.Φ.Δ. ΥΑΝΙΧΝ ΠΡΧΣΟΒΑΘΜΙΑ ΔΚΠΑΙΓΔΤΗ. ΔΝΟΣΗΣΑ 11 ε : ΦΧ ΔΡΓΑΛΔΙΑ ΚΑΣΑΚΔΤΔ. Καηαζθεπή 1: Φαθόο κε ζσιήλα.

Δξγαιεία Καηαζθεπέο 1 Σάμε Σ Δ.Κ.Φ.Δ. ΥΑΝΙΧΝ ΠΡΧΣΟΒΑΘΜΙΑ ΔΚΠΑΙΓΔΤΗ. ΔΝΟΣΗΣΑ 11 ε : ΦΧ ΔΡΓΑΛΔΙΑ ΚΑΣΑΚΔΤΔ. Καηαζθεπή 1: Φαθόο κε ζσιήλα. Δξγαιεία Καηαζθεπέο 1 Δ.Κ.Φ.Δ. ΥΑΝΙΧΝ ΠΡΧΣΟΒΑΘΜΙΑ ΔΚΠΑΙΓΔΤΗ ΔΝΟΣΗΣΑ 11 ε : ΦΧ ΔΡΓΑΛΔΙΑ ΚΑΣΑΚΔΤΔ Καηαζθεπή 1: Φαθόο κε ζσιήλα Γηαθξάγκαηα Δξγαιεία Καηαζθεπέο 2 Η θαηαζθεπή πεξηγξάθεηαη ζηελ αληίζηνηρε ελόηεηα

Διαβάστε περισσότερα

ΘΔΚΑ ΡΖΠ ΑΛΑΓΛΩΟΗΠΖΠ

ΘΔΚΑ ΡΖΠ ΑΛΑΓΛΩΟΗΠΖΠ ΘΔΚΑ ΡΖΠ ΑΛΑΓΛΩΟΗΠΖΠ 1.Απηόο πνπ ζα αλαγλσξηζηεί απνπζηάδεη γηα πνιύ θαηξό. 2.Δπηζηξέθεη κε πιαζηή ηαπηόηεηα ή κεηακνξθσκέλνο. 3.Απνκνλώλνληαη ηα δύν πξόζσπα 4.Άξζε κεηακόξθσζεο 5.Απνθάιπςε 6.Ακθηβνιίεο-απνδεηθηηθά

Διαβάστε περισσότερα

ΑΝΤΗΛΙΑΚΑ. Η Μηκή ζθέθηεθε έλαλ ηξόπν, γηα λα ζπγθξίλεη κεξηθά δηαθνξεηηθά αληειηαθά πξντόληα. Απηή θαη ν Νηίλνο ζπλέιεμαλ ηα αθόινπζα πιηθά:

ΑΝΤΗΛΙΑΚΑ. Η Μηκή ζθέθηεθε έλαλ ηξόπν, γηα λα ζπγθξίλεη κεξηθά δηαθνξεηηθά αληειηαθά πξντόληα. Απηή θαη ν Νηίλνο ζπλέιεμαλ ηα αθόινπζα πιηθά: ΑΝΤΗΛΙΑΚΑ Η Μηκή θαη ν Νηίλνο αλαξσηήζεθαλ πνην αληειηαθό πξντόλ παξέρεη ηελ θαιύηεξε πξνζηαζία ζην δέξκα ηνπο. Τα αληειηαθά πξντόληα έρνπλ έλα δείθηε αληειηαθήο πξνζηαζίαο (SPF), ν νπνίνο δείρλεη πόζν

Διαβάστε περισσότερα

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΤΙΚΗ ΣΚΥΤΑΛΟΓΡΟΜΙΑ 2015 ΓΙΑ ΤΟ ΓΥΜΝΑΣΙΟ Τεηάπηη 28 Ιανουαπίου 2015 ΛΔΥΚΩΣΙΑ Τάξη: Α Γυμναζίου

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΤΙΚΗ ΣΚΥΤΑΛΟΓΡΟΜΙΑ 2015 ΓΙΑ ΤΟ ΓΥΜΝΑΣΙΟ Τεηάπηη 28 Ιανουαπίου 2015 ΛΔΥΚΩΣΙΑ Τάξη: Α Γυμναζίου ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΤΙΚΗ ΣΚΥΤΑΛΟΓΡΟΜΙΑ 2015 ΓΙΑ ΤΟ ΓΥΜΝΑΣΙΟ Τεηάπηη 28 Ιανουαπίου 2015 ΛΔΥΚΩΣΙΑ Τάξη: Α Γυμναζίου ΠΡΟΒΛΗΜΑ Σε έλα ηνπξλνπά βόιετ δήισζαλ ζπκκεηνρή νκάδεο Γπκλαζίσλ ηεο Κύπξνπ.

Διαβάστε περισσότερα

ΔΕΟ 13. Ποσοτικές Μέθοδοι. θαη λα ππνινγίζεηε ην θόζηνο γηα 10000 παξαγόκελα πξντόληα. Να ζρεδηαζηεί γηα εύξνο πξντόλησλ έσο 30000.

ΔΕΟ 13. Ποσοτικές Μέθοδοι. θαη λα ππνινγίζεηε ην θόζηνο γηα 10000 παξαγόκελα πξντόληα. Να ζρεδηαζηεί γηα εύξνο πξντόλησλ έσο 30000. ΔΕΟ 13 Ποσοτικές Μέθοδοι Σσνάρηηζη Κόζηοσς C(), μέζο κόζηος C()/. Παράδειγμα 1 Μηα εηαηξεία δαπαλά γηα θάζε πξντόλ Α πνπ παξάγεη 0.0 λ.κ. Τα πάγηα έμνδα ηεο εηαηξείαο είλαη 800 λ.κ. Ζεηείηαη 1) Να πεξηγξάςεηε

Διαβάστε περισσότερα

ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ. Ειζαγωγή ζηη Φωηογραθία. Χριζηάκης Σαζεΐδης EFIAP

ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ. Ειζαγωγή ζηη Φωηογραθία. Χριζηάκης Σαζεΐδης EFIAP ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ Ειζαγωγή ζηη Φωηογραθία Χριζηάκης Σαζεΐδης EFIAP 1 ΜΑΘΗΜΑ 6 ο Προγράμμαηα θωηογραθικών μηχανών Επιλογέας προγραμμάηων Μαο δίλεη ηε δπλαηόηεηα λα ειέγμνπκε ην άλνηγκα δηαθξάγκαηνο θαη

Διαβάστε περισσότερα

Διαηιμήζεις για Αιολικά Πάρκα. Κώδικες 28, 78 και 84

Διαηιμήζεις για Αιολικά Πάρκα. Κώδικες 28, 78 και 84 Διαηιμήζεις για Αιολικά Πάρκα Κώδικες 28, 78 και 84 Διαηιμήζεις για Αιολικά Πάρκα Οη Διαηιμήζεις για Αιολικά Πάρκα εθαξκόδνληαη γηα ηελ απνξξνθνύκελε ελέξγεηα από Αηνιηθά Πάξθα πνπ είλαη ζπλδεδεκέλα ζην

Διαβάστε περισσότερα

Μονοψϊνιο. Αγνξά κε ιίγνπο αγνξαζηέο. Δύναμη μονοψωνίος Η ηθαλόηεηα πνπ έρεη ν αγνξαζηήο λα επεξεάζεη ηελ ηηκή ηνπ αγαζνύ.

Μονοψϊνιο. Αγνξά κε ιίγνπο αγνξαζηέο. Δύναμη μονοψωνίος Η ηθαλόηεηα πνπ έρεη ν αγνξαζηήο λα επεξεάζεη ηελ ηηκή ηνπ αγαζνύ. Μονοψϊνιο Ολιγοψώνιο Αγνξά κε ιίγνπο αγνξαζηέο. Δύναμη μονοψωνίος Η ηθαλόηεηα πνπ έρεη ν αγνξαζηήο λα επεξεάζεη ηελ ηηκή ηνπ αγαζνύ. Οπιακή αξία Δπηπξόζζεηα νθέιε από ηελ ρξήζε/θαηαλάισζε κηαο επηπξόζζεηε

Διαβάστε περισσότερα

ΥΡΙΣΟΤΓΔΝΝΙΑΣΙΚΔ ΚΑΣΑΚΔΤΔ

ΥΡΙΣΟΤΓΔΝΝΙΑΣΙΚΔ ΚΑΣΑΚΔΤΔ ΥΡΙΣΟΤΓΔΝΝΙΑΣΙΚΔ ΚΑΣΑΚΔΤΔ 1) Υξηζηνπγελληάηηθα ειαηάθηα θάξηα ή θαδξάθη θάξηα ή θαδξάθη Τιηθά πνπ ζα ρξεηαζηνύκε: Υαξηί θάλζνλ καύξν γηα ην θόλην, πξάζηλν γηα ηα ειαηάθηα, θόθθηλν γηα ηα αζηεξάθηα Απιό

Διαβάστε περισσότερα

Έλεγτος Ορθογραθίας - Γραμμαηικής. Ορθογραθικός και Γραμμαηικός Έλεγτος

Έλεγτος Ορθογραθίας - Γραμμαηικής. Ορθογραθικός και Γραμμαηικός Έλεγτος 3.6 Έλεγτος Ορθογραθίας - Γραμμαηικής Ορθογραθικός και Γραμμαηικός Έλεγτος Πνιιέο θνξέο, θαζώο γξάθνπκε ζην Word, βιέπνπκε θπκαηηζηέο θόθθηλεο θαη πξάζηλεο ππνγξακκίζεηο λα εκθαλίδνληαη θάησ από νξηζκέλεο

Διαβάστε περισσότερα

Τεχνολογίες Αναχωμάτων Ασυαλείας

Τεχνολογίες Αναχωμάτων Ασυαλείας Τεχνολογίες Αναχωμάτων Ασυαλείας Γηψξγνο Καξφπνπινο (Δηδάζθσλ Π.Δ. 407/80) Σκήκα Μεραληθψλ Πιεξνθνξηαθψλ θαη Επηθνηλσληαθψλ πζηεκάησλ Παλεπηζηήκην Αηγαίνπ Αληηθείκελν κειέηεο Αλαρψκαηα αζθαιείαο (firewalls)

Διαβάστε περισσότερα

Intel Accelerate Your Code

Intel Accelerate Your Code Intel Accelerate Your Code Semester Project at Parallel & Distributed systems Dimitrios S. Tsiktsiris University of Western Macedonia Department of Informatics & Telecommunications Engineering Kozani,

Διαβάστε περισσότερα

Αζθήζεηο 5 νπ θεθαιαίνπ Crash course Step by step training. Dipl.Biol.cand.med. Stylianos Kalaitzis

Αζθήζεηο 5 νπ θεθαιαίνπ Crash course Step by step training. Dipl.Biol.cand.med. Stylianos Kalaitzis Αζθήζεηο 5 νπ θεθαιαίνπ Crash course Step by step training Dipl.Biol.cand.med. Stylianos Kalaitzis Stylianos Kalaitzis Μνλνϋβξηδηζκνο 1 Γπν γνλείο, εηεξόδπγνη γηα ηνλ αιθηζκό θάλνπλ παηδηά. Πνία ε πηζαλόηεηα

Διαβάστε περισσότερα

ΔΓΤ Μεηαπηπρηαθφ Πξφγξακκα «Γηνίθεζε Τπεξεζηψλ Τγείαο» - 177 --

ΔΓΤ Μεηαπηπρηαθφ Πξφγξακκα «Γηνίθεζε Τπεξεζηψλ Τγείαο» - 177 -- ΔΓΤ Μεηαπηπρηαθφ Πξφγξακκα «Γηνίθεζε Τπεξεζηψλ Τγείαο» - 177 -- 5. Σίηινο καζήκαηνο Δηζαγσγή ζηα παθέηα Λνγηζκηθνχ 6. Τπεχζπλνο καζήκαηνο Ησάλλεο Απνζηνιάθεο 7. θνπφο θνπφο ηνπ καζήκαηνο είλαη ε εμνηθείσζε

Διαβάστε περισσότερα

Παιχνίδι γλωζζικής καηανόηζης με ζχήμαηα!

Παιχνίδι γλωζζικής καηανόηζης με ζχήμαηα! Cpyright 2013 Λόγος & Επικοινωνία // All rights Reserved Παιχνίδι γλωζζικής καηανόηζης με ζχήμαηα! Αυηό ηο παιχνίδι έχει ζηόχους: 1. ηελ εθγύκλαζε ηεο αθνπζηηθήο κλήκεο ησλ παηδηώλ 2. ηελ εμάζθεζε ζηελ

Διαβάστε περισσότερα

Σηα παξαδείγκαηα πνπ αθνινπζνύλ ρξεζηκνπνηήζεθαλ ην JQUIZ, ην JCROSS θαη ην JMATCH, πνπ αλαιπηηθά πεξηγξάθνληαη παξαθάηω.

Σηα παξαδείγκαηα πνπ αθνινπζνύλ ρξεζηκνπνηήζεθαλ ην JQUIZ, ην JCROSS θαη ην JMATCH, πνπ αλαιπηηθά πεξηγξάθνληαη παξαθάηω. Τι είναι το Hotpotatoes; Τν παθέην HotPotatoes 6 πνπ ρξεζηκνπνηήζεθε γηα ηε δεκηνπξγία ηωλ αζθήζεωλ, είλαη έλα πξόγξακκα αλνηρηνύ ινγηζκηθνύ θαη κπνξεί λα ρξεζηκνπνηεζεί ειεύζεξα από Παλεπηζηεκηαθά Ιδξύκαηα,

Διαβάστε περισσότερα

iii. iv. γηα ηελ νπνία ηζρύνπλ: f (1) 2 θαη

iii. iv. γηα ηελ νπνία ηζρύνπλ: f (1) 2 θαη ΔΠΑΝΑΛΗΠΣΙΚΑ ΘΔΜΑΣΑ ΣΟ ΓΙΑΦΟΡΙΚΟ ΛΟΓΙΜΟ Μάρτιος 0 ΘΔΜΑ Να ππνινγίζεηε ηα όξηα: i ii lim 0 0 lim iii iv lim e 0 lim e 0 ΘΔΜΑ Γίλεηαη ε άξηηα ζπλάξηεζε '( ) ( ) γηα θάζε 0 * : R R γηα ηελ νπνία ηζρύνπλ:

Διαβάστε περισσότερα

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Γ Γυμνασίου ΥΟΛΕΙΟ..

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Γ Γυμνασίου ΥΟΛΕΙΟ.. ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Γ Γυμνασίου ιήμεο 11.00 Κάπνηνο άξρηζε λα δηαβάδεη έλα βηβιίν ηελ 1 ε Δεθεκβξίνπ. Κάζε κέξα δηάβαδε ηνλ ίδην αξηζκό ζειίδσλ

Διαβάστε περισσότερα

Τ ξ ε ύ ο ξ π ς ξ σ ξ ο ί ξ σ _ Ι ε ο α μ ε ι κ ό π

Τ ξ ε ύ ο ξ π ς ξ σ ξ ο ί ξ σ _ Ι ε ο α μ ε ι κ ό π Τ ξ ε ύ ο ξ π ς ξ σ ξ ο ί ξ σ _ Ι ε ο α μ ε ι κ ό π Α ο υ ι ς ε κ ς ξ μ ι κ ή ρ ύ μ θ ε ρ η 6 Τ ξ μ έ α π ΘΘΘ, X ώ ο ξ π κ α ι Δ π ι κ ξ ι μ χ μ ί α Η έ μ α : Διδάρκξμςεπ: Τξ εύοξπ ςξσ ξοίξσ Ιεοαμεικόπ

Διαβάστε περισσότερα

Σ Δ Υ Ν Ι Κ Η Δ Κ Θ Δ Η Π Ρ Ο Μ Η Θ Δ Ι Α Ο Ι Κ Ο Γ Ο Μ Ι Κ Ω Ν Τ Λ Ι Κ Ω Ν Γ Η Μ Ο Τ Β Ο Λ Β Η

Σ Δ Υ Ν Ι Κ Η Δ Κ Θ Δ Η Π Ρ Ο Μ Η Θ Δ Ι Α Ο Ι Κ Ο Γ Ο Μ Ι Κ Ω Ν Τ Λ Ι Κ Ω Ν Γ Η Μ Ο Τ Β Ο Λ Β Η Σ Δ Υ Ν Ι Κ Η Δ Κ Θ Δ Η Π Ρ Ο Μ Η Θ Δ Ι Α Ο Ι Κ Ο Γ Ο Μ Ι Κ Ω Ν Τ Λ Ι Κ Ω Ν Γ Η Μ Ο Τ Β Ο Λ Β Η ΠΔΡΙΔΥΟΜΔΝΑ 1. Τερληθή Έθζεζε 2. Δλδεηθηηθφο Πξνυπνινγηζκφο 3. Έληππν νηθνλνκηθήο πξνζθνξάο ΘΔΜΑ : Πξνκήζεηα

Διαβάστε περισσότερα

ΣΡΑΠΕΖΑ ΘΕΜΑΣΩΝ Α ΛΤΚΕΙΟΤ

ΣΡΑΠΕΖΑ ΘΕΜΑΣΩΝ Α ΛΤΚΕΙΟΤ ΜΑΘΗΜΑ : ΑΡΧΑΙΑ ΕΛΛΗΝΙΚΑ ΣΡΑΠΕΖΑ ΘΕΜΑΣΩΝ Α ΛΤΚΕΙΟΤ Α/Α : 0_1382/153 1. Καη όηαλ έγηλε ε ππνρώξεζε αξγά ην απόγεπκα, επεηδή θνβήζεθαλ νη νιηγαξρηθνί κήπσο νη δεκνθξαηηθνί, αθνύ θάλνπλ επίζεζε, θαηαιάβνπλ

Διαβάστε περισσότερα

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου ΥΟΛΕΙΟ..

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου ΥΟΛΕΙΟ.. ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου έλαξμεο 09.30 ιήμεο 09.45 Σην παξαθάησ ζρήκα θαίλεηαη ηκήκα ελόο πνιενδνκηθνύ ζρεδίνπ κηαο πόιεο. Οη ζθηαζκέλεο

Διαβάστε περισσότερα

Οδηγίες Ασφρματης Πρόσβασης (Wi-Fi) στο Διαδίκτυο

Οδηγίες Ασφρματης Πρόσβασης (Wi-Fi) στο Διαδίκτυο Αγαπηηοί τρήζηες, Με ταρά ζας ανακοινώνοσμε ηη κάλσυη ηφν τώρφν ηοσ κηιριακού ζσγκροηήμαηος ηης Στολής Θεηικών Επιζηημών με αζύρμαηα ζημεία πρόζβαζης ζηο διαδίκησο. Πρόζβαζη ζηην σπηρεζία έτοσν όλα ηα

Διαβάστε περισσότερα

Κόληξα πιαθέ ζαιάζζεο κε δηαζηάζεηο 40Υ40 εθ. Καξθηά 3 θηιά πεξίπνπ κε κήθνο ηξηπιάζην από ην πάρνο ηνπ μύινπ θπξί κεγάιν θαη ππνκνλή

Κόληξα πιαθέ ζαιάζζεο κε δηαζηάζεηο 40Υ40 εθ. Καξθηά 3 θηιά πεξίπνπ κε κήθνο ηξηπιάζην από ην πάρνο ηνπ μύινπ θπξί κεγάιν θαη ππνκνλή Δξγαιεία Καηαζθεπέο 1 Δ.Κ.Φ.Δ. ΥΑΝΙΩΝ ΠΡΩΣΟΒΑΘΜΙΑ ΔΚΠΑΙΓΔΤΗ ΔΝΟΣΗΣΑ 10 ε : ΜΗΥΑΝΙΚΗ ΜΔΡΟ Β ΠΙΔΗ ΔΡΓΑΛΔΙΑ ΚΑΣΑΚΔΤΔ Καηαζθεπή 1: Καξέθια θαθίξε Όξγαλα Τιηθά Κόληξα πιαθέ ζαιάζζεο κε δηαζηάζεηο 40Υ40 εθ.

Διαβάστε περισσότερα

ΔΦΑΡΜΟΜΔΝΑ ΜΑΘΗΜΑΣΙΚΑ ΣΗ ΧΗΜΔΙΑ Ι ΘΔΜΑΣΑ Α επηέκβξηνο 2009. 1. Να ππνινγηζηνύλ νη κεξηθέο παξάγσγνη πξώηεο ηάμεο ηεο ζπλάξηεζεο f(x,y) =

ΔΦΑΡΜΟΜΔΝΑ ΜΑΘΗΜΑΣΙΚΑ ΣΗ ΧΗΜΔΙΑ Ι ΘΔΜΑΣΑ Α επηέκβξηνο 2009. 1. Να ππνινγηζηνύλ νη κεξηθέο παξάγσγνη πξώηεο ηάμεο ηεο ζπλάξηεζεο f(x,y) = ΘΔΜΑΣΑ Α επηέκβξηνο 9. Να ππνινγηζηνύλ νη κεξηθέο παξάγσγνη πξώηεο ηάμεο ηεο ζπλάξηεζεο f(,y) = y.. Να ππνινγηζηνύλ ηα νινθιεξώκαηα: a) ln b) a) 3cos b) e sin 4. Να ππνινγηζηεί ην νινθιήξσκα: S ( y) 3

Διαβάστε περισσότερα

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου ΥΟΛΕΙΟ..

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου ΥΟΛΕΙΟ.. ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου έλαξμεο 09.30 ιήμεο 09.45 Σην παξαθάησ ζρήκα θαίλεηαη ηκήκα ελόο πνιενδνκηθνύ ζρεδίνπ κηαο πόιεο. Οη ζθηαζκέλεο

Διαβάστε περισσότερα

Τάπηα με ππάζo, bacon και θέηα by Madame Ginger

Τάπηα με ππάζo, bacon και θέηα by Madame Ginger Τάπηα με ππάζo, bacon και θέηα by Madame Ginger 1 θύιιν ζθνιηάηαο 2 πξάζα 150 γξ. bacon 150 γξ. θέηα ΓΧΓΧΝΗ 100 γξ. γξαβηέξα ΓΧΓΧΝΗ 1 θ.ζ. ειαηόιαδν Κόβνπκε ηα πξάζα ζε ιεπηέο ξνδέιεο. Κόβνπκε ην bacon

Διαβάστε περισσότερα

10). ΣΤΠΟΠΟΙΗΜΕΝΕ ΠΑΡΟΥΕ ΜΣ ΚΑΙ ΥΣ

10). ΣΤΠΟΠΟΙΗΜΕΝΕ ΠΑΡΟΥΕ ΜΣ ΚΑΙ ΥΣ 10). ΣΤΠΟΠΟΙΗΜΕΝΕ ΠΑΡΟΥΕ ΜΣ ΚΑΙ ΥΣ Σσποποιημένες παροτές ΥΣ Γηα ηελ ειεθηξνδόηεζε θάζε εζωηεξηθήο εγθαηάζηαζεο θαηαζθεπάδεηαη κία από ηηο «ηππνπνηεκέλεο» παξνρέο πνπ αλαθέξνληαη παξαθάηω. Γηα θάζε ηππνπνηεκέλε

Διαβάστε περισσότερα

1 Είζοδορ ζηο Σύζηημα ΣΔΕΔ ή BPMS

1 Είζοδορ ζηο Σύζηημα ΣΔΕΔ ή BPMS ΟΤΑ Επισειπηζιακή Νοημοζύνη: Οδεγίεο πξνο ηνπο εθπαηδεπόκελνπο γηα ηε ζύλδεζε κε ην ύζηεκα Γηαρείξηζεο Δπηρεηξεζηαθώλ Γηαδηθαζηώλ γηα ηελ εθηέιεζε ηωλ Πξαθηηθώλ Αζθήζεωλ ηωλ ππν(δλνηήηωλ) Bc1.1.4, Bc1.1.5,

Διαβάστε περισσότερα

Γραφεύα Επικοινωνύασ & Ενημϋρωςησ ϋρρεσ, Τψηλϊντου 4 3οσ Όροφοσ ΣΗΛ 2321023640 ΥΑΦ 2321051861

Γραφεύα Επικοινωνύασ & Ενημϋρωςησ ϋρρεσ, Τψηλϊντου 4 3οσ Όροφοσ ΣΗΛ 2321023640 ΥΑΦ 2321051861 Οπγάνωζη και διοίκηζη ηοςπιζηικών επισειπήζεων (ξενοδοσεία, ηοςπιζηικά γπαθεία ) Α) ΑΔΙ ΣΔΙ και Β) ΑΠΟΦΟΙΣΟΙ ΤΠΟΥΡΔΩΣΙΚΗ ΓΔΤΣΔΡΟΒΑΘΜΙΑ και ΜΔΣΑΓΔΤΣΔΡΟΒΑΘΜΙΑ ΔΚΠΑΙΓΔΤΗ Ρν πξόγξακκα απηό ζρεδηάζηεθε γηα

Διαβάστε περισσότερα

Εηζαγσγή ζηελ επηζηήκε ησλ ππνινγηζηώλ. Λνγηζκηθό Υπνινγηζηώλ Κεθάιαην 7ν Λεηηνπξγηθά Σπζηήκαηα

Εηζαγσγή ζηελ επηζηήκε ησλ ππνινγηζηώλ. Λνγηζκηθό Υπνινγηζηώλ Κεθάιαην 7ν Λεηηνπξγηθά Σπζηήκαηα Εηζαγσγή ζηελ επηζηήκε ησλ ππνινγηζηώλ Λνγηζκηθό Υπνινγηζηώλ Κεθάιαην 7ν Λεηηνπξγηθά Σπζηήκαηα 1 Υπνινγηζηηθό Σύζηεκα 2 Λεηηνπξγηθό Σύζηεκα Απνηειεί ηε δηαζύλδεζε κεηαμύ ηνπ πιηθνύ ελόο ππνινγηζηή θαη

Διαβάστε περισσότερα

ΑΣΚΗΣΔΙΣ ΦΥΣΙΚΗΣ ΚΑΤΑΣΤΑΣΗΣ ΣΤΟ ΓΗΠΔΓΟ

ΑΣΚΗΣΔΙΣ ΦΥΣΙΚΗΣ ΚΑΤΑΣΤΑΣΗΣ ΣΤΟ ΓΗΠΔΓΟ Α. Αεπόβια ικανόηηηα: ΑΣΚΗΣΔΙΣ ΦΥΣΙΚΗΣ ΚΑΤΑΣΤΑΣΗΣ ΣΤΟ ΓΗΠΔΓΟ 1. Φόλλοος ζηα δύο καλάθια: νη αζιεηέο είλαη απέλαληη από ηα ηακπιώ ζε δπν γξακκέο. Οη πξώηνη έρνπλ από κηα κπάια. Με ην ζύλζεκα θάλνπλ θόιιννπ

Διαβάστε περισσότερα

Σύνθεζη ηαλανηώζεων. Έζησ έλα ζώκα πνπ εθηειεί ηαπηόρξνλα δύν αξκνληθέο ηαιαληώζεηο ηεο ίδηαο ζπρλόηεηαο πνπ πεξηγξάθνληαη από ηηο παξαθάησ εμηζώζεηο:

Σύνθεζη ηαλανηώζεων. Έζησ έλα ζώκα πνπ εθηειεί ηαπηόρξνλα δύν αξκνληθέο ηαιαληώζεηο ηεο ίδηαο ζπρλόηεηαο πνπ πεξηγξάθνληαη από ηηο παξαθάησ εμηζώζεηο: Σύνθεζη ηαλανηώζεων Α. Σύλζεζε δύν α.α.η ηεο ίδιας ζστνόηηηας Έζησ έλα ζώκα πνπ εθηειεί ηαπηόρξνλα δύν αξκνληθέο ηαιαληώζεηο ηεο ίδηαο ζπρλόηεηαο πνπ πεξηγξάθνληαη από ηηο παξαθάησ εμηζώζεηο: Η απνκάθξπλζε

Διαβάστε περισσότερα

Εισαγωγή στοςρ κβαντικούρ ςπολογιστέρ και αλγόπιθμοςρ. Γηδάζθωλ : Φνπληνπιάθεο Αληώληνο

Εισαγωγή στοςρ κβαντικούρ ςπολογιστέρ και αλγόπιθμοςρ. Γηδάζθωλ : Φνπληνπιάθεο Αληώληνο Εισαγωγή στοςρ κβαντικούρ ςπολογιστέρ και αλγόπιθμοςρ. Γηδάζθωλ : Φνπληνπιάθεο Αληώληνο Θεματικές Ενότητες 1. Απιέο έλλνηεο θβαληηθήο κεραληθήο θαη ην ζύζηεκα δύν θβαληηθώλ θαηαζηάζεωλ. 2. Qubit θαη θβαληηθόο

Διαβάστε περισσότερα

Πανεπιστήμιο Πειραιώς

Πανεπιστήμιο Πειραιώς Πανεπιστήμιο Πειραιώς Τμήμα Ψηυιακών Σσστημάτων ΠΡΟΓΡΑΜΜΑ ΜΕΣΑΠΣΤΥΙΑΚΧΝ ΠΟΤΔΧΝ «Διδακηικής ηης Σεχνολογίας & Φηθιακών υζηημάηων» Μεταπτυχιακή Διπλωματική εργασία Δπηζέζεηο Distributed Denial of Service

Διαβάστε περισσότερα

ΣΡΑΠΕΖΑ ΘΕΜΑΣΩΝ Α ΛΤΚΕΙΟΤ

ΣΡΑΠΕΖΑ ΘΕΜΑΣΩΝ Α ΛΤΚΕΙΟΤ Α/Α : 0_1379/50 1. Όηαλ ινηπόλ ήξζαλ [νη πξέζβεηο ζηελ Αζήλα], αθνύ ζπλέιαβαλ νη Αζελαίνη θαη ηνπο πξέζβεηο σο ππνθηλεηέο ζηάζεο θαη όζνπο έπεηζαλ [νη πξέζβεηο], ηνπο ζπγθέληξσζαλ γηα αζθάιεηα ζηελ Αίγηλα.

Διαβάστε περισσότερα

Ξενάγηζη ζηο πεπιβάλλον ηος Excel

Ξενάγηζη ζηο πεπιβάλλον ηος Excel Ξενάγηζη ζηο πεπιβάλλον ηος Excel Τν πεξηβάιινλ εξγαζίαο ηνπ Excel απνηειείηαη βαζηθά απφ έλα θχιιν εξγαζίαο. Απηφ θαηαιακβάλεη ην κεγαιχηεξν κέξνο ηεο νζφλεο θαη ην απαξηίδνπλ πνιιά θειηά. Απηά πνπ είλαη

Διαβάστε περισσότερα

ΕΚΠΑΙΔΕΤΣΙΚΟ ΤΛΙΚΟ ΑΝΑΥΟΡΑ

ΕΚΠΑΙΔΕΤΣΙΚΟ ΤΛΙΚΟ ΑΝΑΥΟΡΑ ΕΚΠΑΙΔΕΤΣΙΚΟ ΤΛΙΚΟ ΑΝΑΥΟΡΑ Ενόηηηα: Υποενόηηηα: Ubuntu Linux Τ1. Ση είλαη ην Linux θαη ην Ubuntu πξνυπνζέζεηο θαη εγθαηάζηαζε ύνηομη Περιγραθή Θα θάλνπκε γεληθφηεξε αλαθνξά ζηελ ηζηνξία ηνπ Linux. Πψο

Διαβάστε περισσότερα

ΗΛΕΚΤΡΟΝΙΚΗ ΜΝΗΜΗ ΚΑΙ ΜΙΚΡΟΕΛΕΓΚΤΕΣ

ΗΛΕΚΤΡΟΝΙΚΗ ΜΝΗΜΗ ΚΑΙ ΜΙΚΡΟΕΛΕΓΚΤΕΣ ΗΛΕΚΤΡΟΝΙΚΗ ΜΝΗΜΗ ΚΑΙ ΜΙΚΡΟΕΛΕΓΚΤΕΣ Η ζεκεξηλή ξαγδαία εμέιημε ηεο ηερλνινγίαο ηεο κηθξνειεθηξνληθήο επέηξεςε ηελ θαηαζθεπή εηδηθώλ νινθιεξσκέλσλ θπθισκάησλ απνζήθεπζεο δεδνκέλσλ θαη πιεξνθνξηώλ θαηαιακβάλνπλ

Διαβάστε περισσότερα

Δεμιοσργία Ιζηοζελίδας Κένηροσ Ξένων Γλωζζών και Φσζικής Αγωγής

Δεμιοσργία Ιζηοζελίδας Κένηροσ Ξένων Γλωζζών και Φσζικής Αγωγής Τ.Ε.Ι. Καβάλας Στολή Διοίκησης και Οικονομίας Τμήμα Λογιστικής Θέμα Πηστιακής Εργαζίας : Δεμιοσργία Ιζηοζελίδας Κένηροσ Ξένων Γλωζζών και Φσζικής Αγωγής Φοιτήτρια: Γανωηίδοσ Αικαηερίνε Υπεύθσνος Καθηγητής:

Διαβάστε περισσότερα

Οινθιεξωκέλεο ιύζεηο γηα ηελ γαιαθηνβηνκεραλία

Οινθιεξωκέλεο ιύζεηο γηα ηελ γαιαθηνβηνκεραλία ΧΗΜΙΚΑ ΠΡΟΪΟΝΤΑ Α.Ε Οινθιεξωκέλεο ιύζεηο γηα ηελ γαιαθηνβηνκεραλία Πνηνί είκαζηε Η ΜΙΝΔΡΑΛ ΥΗΜΙΚΑ ΠΡΟΪΟΝΣΑ Α.Δ. μεθίλεζε ηελ πνξεία ηεο ην 1976. Από ηελ αξρή ζπλεξγαζηήθακε κε πξωηνπόξνπο εηαηξείεο ζηνλ

Διαβάστε περισσότερα

Η ΜΗΧΑΝΗ ΑΝΑΖΗΣΗΗ GOOGLE Περιγραφή λειτουργίασ, επιθέςεισ και τρόποι αντιμετώπιςησ

Η ΜΗΧΑΝΗ ΑΝΑΖΗΣΗΗ GOOGLE Περιγραφή λειτουργίασ, επιθέςεισ και τρόποι αντιμετώπιςησ ΠΑΝΕΠΙΣΗΜΙΟ ΠΕΙΡΑΙΩ Σμήμα Ψηφιακών υςτημάτων Κατεύθυνςη «Δικτυοκεντρικά υςτήματα» Η ΜΗΧΑΝΗ ΑΝΑΖΗΣΗΗ GOOGLE Περιγραφή λειτουργίασ, επιθέςεισ και τρόποι αντιμετώπιςησ Λαμπρόπουλος Μιχάλης Επιβλέπων Καθηγητήσ:

Διαβάστε περισσότερα

Η Ύςσζε ηνπ Τηκίνπ Σηαπξνύ. 14 Σεπηεκβξίνπ

Η Ύςσζε ηνπ Τηκίνπ Σηαπξνύ. 14 Σεπηεκβξίνπ Η Ύςσζε ηνπ Τηκίνπ Σηαπξνύ 14 Σεπηεκβξίνπ Ση γηνξηάδνπκε ηελ εκέξα ηεο ύςσζεο ηνπ Σηκίνπ ηαπξνύ (1/6) Τν έηνο 326 ε Αγία Ειέλε πήγε ζηελ Ιεξνπζαιήκ γηα λα πξνζθπλήζεη ηνπο Αγίνπο Τόπνπο θαη λα επραξηζηήζεη

Διαβάστε περισσότερα

ΙΣΤΟΡΙΑ ΤΟΥ ΑΡΧΑΙΟΥ ΚΟΣΜΟΥ

ΙΣΤΟΡΙΑ ΤΟΥ ΑΡΧΑΙΟΥ ΚΟΣΜΟΥ ΙΣΤΟΡΙΑ ΤΟΥ ΑΡΧΑΙΟΥ ΚΟΣΜΟΥ Α ΛΤΚΕΙΟΤ ΓΕΝΙΚΗ ΠΑΙΔΕΙΑ Σχολικό έτος: 2011-2012 Καθηγήτριες: Κεφαλληνού Λουκία- Καλλία Αθηνά ΙΙ. ΟΙ ΑΧΑΙΟΙ ΕΛΛΗΝΕΣ ΑΠΟ ΣΟΤ ΠΡΟΙΣΟΡΙΚΟΤ ΥΡΟΝΟΤ ΕΩ ΚΑΙ ΣΟ Μ. ΑΛΕΞΑΝΔΡΟ 1. ΕΛΛΗΝΙΚΗ

Διαβάστε περισσότερα

Παραγωγή και Μελέηη Κίνηζης - 2

Παραγωγή και Μελέηη Κίνηζης - 2 ΠΑΝΔΠΙΣΗΜΙΟ ΘΔΑΛΙΑ ΥΟΛΗ ΘΔΣΙΚΩΝ ΔΠΙΣΗΜΩΝ ΣΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ ΓΙΚΤΥΑ ΥΠΟΛΟΣΤΙΣΤΩΝ Παραγωγή και Μελέηη Κίνηζης - 2 1. Διζαγωγή-Περιγραθή ICMP ηε εξγαζηεξηαθή απηή άζθεζε ζα ρξεζηκνπνηήζνπκε ην Wireshark γηα

Διαβάστε περισσότερα

Γίθησα ποσ παρέτοληαη από τρήζηες: Κίλεηρα, ηετλοιογίες θαη αλοητηά δεηήκαηα Λεσηέρες Μακάηας (lmamatas@ee.ucl.ac.uk)

Γίθησα ποσ παρέτοληαη από τρήζηες: Κίλεηρα, ηετλοιογίες θαη αλοητηά δεηήκαηα Λεσηέρες Μακάηας (lmamatas@ee.ucl.ac.uk) Σεκηλάξην Τνκέα Λνγηζκηθνύ Γίθησα ποσ παρέτοληαη από τρήζηες: Κίλεηρα, ηετλοιογίες θαη αλοητηά δεηήκαηα Λεσηέρες Μακάηας (lmamatas@ee.ucl.ac.uk) Περίιευε παροσζίαζες Τη είλαη ηα «Γίθηπα πνπ παξέρνληαη

Διαβάστε περισσότερα

Σημειώζεις Οδηγίες για ηη τρήζη ηοσ προγράμμαηος Acronis True Image Home

Σημειώζεις Οδηγίες για ηη τρήζη ηοσ προγράμμαηος Acronis True Image Home Σημειώζεις Οδηγίες για ηη τρήζη ηοσ προγράμμαηος Acronis True Image Home Προαπαιηούμενα: Acronis True Image Home 11 Bootable CD Γύο ή περιζζόηεροσς δίζκοσς ζσνδεδεμένοσς ζηον σπολογιζηή. Οι δίζκοι μπορεί

Διαβάστε περισσότερα

Πνηα λνκίδεηο όηη ζα είλαη ε ζπλνιηθή αληίζηαζε κηαο ζπλδεζκνινγίαο δύν αληηζηαηώλ ζπλδεδεκέλεο ζε ζεηξά; Γηαηί;...

Πνηα λνκίδεηο όηη ζα είλαη ε ζπλνιηθή αληίζηαζε κηαο ζπλδεζκνινγίαο δύν αληηζηαηώλ ζπλδεδεκέλεο ζε ζεηξά; Γηαηί;... ΦΥΛΛΟ ΕΡΓΑΣΙΑΣ: Ιζοδύναμη ανηίζηαζη ζύνδεζηρ ανηιζηαηών Η δηδαζθαιία ηεο ηζνδύλακεο αληίζηαζεο γηα ζύλδεζε αληηζηαηώλ ζε ζεηξά θαη παξάιιεια ππάξρεη ζην Αλαιπηηθό Πξόγξακκα Σπνπδώλ ζηα καζήκαηα Φπζηθήο

Διαβάστε περισσότερα

Σμήμα Ψηφιακών υςτημάτων. «Διδακτική τησ Σεχνολογίασ και Ψηφιακά υςτήματα» ΠΡΟΓΡΑΜΜΑ ΜΕΣΑΠΣΤΧΙΑΚΩΝ ΠΟΤΔΩΝ ΘΕΜΑ. Honeypots & Honeyd

Σμήμα Ψηφιακών υςτημάτων. «Διδακτική τησ Σεχνολογίασ και Ψηφιακά υςτήματα» ΠΡΟΓΡΑΜΜΑ ΜΕΣΑΠΣΤΧΙΑΚΩΝ ΠΟΤΔΩΝ ΘΕΜΑ. Honeypots & Honeyd Πανεπιςτήμιο Πειραιώσ χολή Βιομηχανικών πουδών Σμήμα Ψηφιακών υςτημάτων «Διδακτική τησ Σεχνολογίασ και Ψηφιακά υςτήματα» ΠΡΟΓΡΑΜΜΑ ΜΕΣΑΠΣΤΧΙΑΚΩΝ ΠΟΤΔΩΝ ΘΕΜΑ Honeypots & Honeyd Υλοποίηζη δικησακής σπηρεζίας

Διαβάστε περισσότερα

ΑΙΟΛΙΚΑ ΠΑΡΚΑ. Δρώτηση 1

ΑΙΟΛΙΚΑ ΠΑΡΚΑ. Δρώτηση 1 ΑΙΟΛΙΚΑ ΠΑΡΚΑ Πνιινί άλζξσπνη πηζηεύνπλ όηη ν άλεκνο ζα έπξεπε λα αληηθαηαζηήζεη ην πεηξέιαην θαη ην θάξβνπλν σο πεγή ελέξγεηαο γηα ηελ παξαγσγή ειεθηξηζκνύ. Οη θαηαζθεπέο πνπ θαίλνληαη ζηελ εηθόλα είλαη

Διαβάστε περισσότερα

Πηπρηαθή εξγαζία. Σίηινο: Καηαζθεπή ειεθηξνληθνχ θαηαζηήκαηνο. Πίθαο Αζαλάζηνο Θσκάο Βαζίιεηνο

Πηπρηαθή εξγαζία. Σίηινο: Καηαζθεπή ειεθηξνληθνχ θαηαζηήκαηνο. Πίθαο Αζαλάζηνο Θσκάο Βαζίιεηνο Σερλνινγηθφ Δθπαηδεπηηθφ Ίδξπκα Καβάιαο ρνιή Σερλνινγηθψλ Δθαξκνγψλ Σκήκα Βηνκεραληθήο Πιεξνθνξηθήο Πηπρηαθή εξγαζία Σίηινο: Καηαζθεπή ειεθηξνληθνχ θαηαζηήκαηνο Πίθαο Αζαλάζηνο Θσκάο Βαζίιεηνο Δπηβιέπσλ

Διαβάστε περισσότερα

ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ. Εισαγωγή στη Φωτογραυία. Χριζηάκης Σαζεΐδης - EFIAP

ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ. Εισαγωγή στη Φωτογραυία. Χριζηάκης Σαζεΐδης - EFIAP ΜΑΘΗΜΑΣΑ ΦΩΣΟΓΡΑΦΙΑ Εισαγωγή στη Φωτογραυία Χριζηάκης Σαζεΐδης - EFIAP 1 ΜΑΘΗΜΑ 3 ο ΚΛΕΙΣΡΟ ΣΑΥΤΣΗΣΑ ΚΛΕΙΣΡΟΤ-ΕΠΙΛΟΓΗ ΚΑΣΑΛΛΗΛΗ ΣΑΥΤΣΗΣΑ Σι είναι υωτογραυική μητανή; Από πνηα κέξε απνηειείηαη: 1. Φαθό

Διαβάστε περισσότερα

ΔΛΔΓΥΟ ΔΜΒΟΛΙΑΣΙΚΗ ΚΑΛΤΦΗ Δ ΠΑΙΓΙΑ ΠΡΟΥΟΛΙΚΗ ΚΑΙ ΥΟΛΙΚΗ ΗΛΙΚΙΑ ΣΟΤ ΝΟΜΟΤ ΚΔΡΚΤΡΑ

ΔΛΔΓΥΟ ΔΜΒΟΛΙΑΣΙΚΗ ΚΑΛΤΦΗ Δ ΠΑΙΓΙΑ ΠΡΟΥΟΛΙΚΗ ΚΑΙ ΥΟΛΙΚΗ ΗΛΙΚΙΑ ΣΟΤ ΝΟΜΟΤ ΚΔΡΚΤΡΑ ΔΛΔΓΥΟ ΔΜΒΟΛΙΑΣΙΚΗ ΚΑΛΤΦΗ Δ ΠΑΙΓΙΑ ΠΡΟΥΟΛΙΚΗ ΚΑΙ ΥΟΛΙΚΗ ΗΛΙΚΙΑ ΣΟΤ ΝΟΜΟΤ ΚΔΡΚΤΡΑ 24 ο ΠΑΝΔΛΛΗΝΙΟ ΤΝΔΓΡΙΟ ΔΛΛΗΝΙΚΗ ΔΣΑΙΡΔΙΑ ΚΟΙΝΧΝΙΚΗ ΠΑΙΓΙΑΣΡΙΚΗ ΚΑΙ ΠΡΟΑΓΧΓΗ ΣΗ ΤΓΔΙΑ ΠΙΝΟΤΛΑ ΔΤΡΤΓΙΚΗ ΒΑΡΚΑΡΗ ΠΟΛΤΚΡΙΣΗ

Διαβάστε περισσότερα

Γιπθόδε + Ομπγόλν Δηνμείδην ηνπ άλζξαθα + Νεξό + Ελέξγεηα

Γιπθόδε + Ομπγόλν Δηνμείδην ηνπ άλζξαθα + Νεξό + Ελέξγεηα 4. ΑΝΑΠΝΟΗ Η δηάζπαζε ηεο γιπθόδεο γίλεηαη κέζα ζηα θύηηαξα, νλνκάδεηαη θπηηαξηθή αλαπλνή θαη εμαζθαιίδεη ηελ ελέξγεηα πνπ είλαη απαξαίηεηε ζην θύηηαξν. Η δηάζπαζε γίλεηαη κε ηελ παξνπζία νμπγόλνπ θαη

Διαβάστε περισσότερα

Η απνξξόθεζε ηνπ νξαηνύ θσηόο γίλεηαη κέζσ ρξσζηηθώλ νπζηώλ πνπ νλνκάδνληαη τλωροθύλλες.

Η απνξξόθεζε ηνπ νξαηνύ θσηόο γίλεηαη κέζσ ρξσζηηθώλ νπζηώλ πνπ νλνκάδνληαη τλωροθύλλες. ΦΩΣΟΤΝΘΔΗ Δλαιιαθηηθή δηεξγαζία παξαγσγήο ελέξγεηαο Υξεζηκνπνηείηαη από ηνπο νλνκαδόκελνπο θσηνζπλζεηηθνύο νξγαληζκνύο Οπζηαζηηθά ε αληίζηξνθε δηεξγαζία ηεο αλαπλνήο πλίζηαηαη ζηελ δέζκεπζε ειηαθήο ελέξγεηαο

Διαβάστε περισσότερα

ΣΔΥΝΟΛΟΓΗΚΟ ΔΚΠΑΗΓΔΤΣΗΚΟ ΗΓΡΤΜΑ ΑΝ. ΜΑΚΔΓΟΝΗΑ ΚΑΗ ΘΡΑΚΖ ΣΜΖΜΑ ΓΗΟΗΚΖΖ ΔΠΗΥΔΗΡΖΔΩΝ ΠΣΤΥΗΑΚΖ ΔΡΓΑΗΑ ΒΑΖ ΑΝΑΕΖΣΖΖ ΑΓΝΟΟΤΜΔΝΩΝ

ΣΔΥΝΟΛΟΓΗΚΟ ΔΚΠΑΗΓΔΤΣΗΚΟ ΗΓΡΤΜΑ ΑΝ. ΜΑΚΔΓΟΝΗΑ ΚΑΗ ΘΡΑΚΖ ΣΜΖΜΑ ΓΗΟΗΚΖΖ ΔΠΗΥΔΗΡΖΔΩΝ ΠΣΤΥΗΑΚΖ ΔΡΓΑΗΑ ΒΑΖ ΑΝΑΕΖΣΖΖ ΑΓΝΟΟΤΜΔΝΩΝ ΣΔΥΝΟΛΟΓΗΚΟ ΔΚΠΑΗΓΔΤΣΗΚΟ ΗΓΡΤΜΑ ΑΝ. ΜΑΚΔΓΟΝΗΑ ΚΑΗ ΘΡΑΚΖ ΣΜΖΜΑ ΓΗΟΗΚΖΖ ΔΠΗΥΔΗΡΖΔΩΝ ΠΣΤΥΗΑΚΖ ΔΡΓΑΗΑ ΒΑΖ ΑΝΑΕΖΣΖΖ ΑΓΝΟΟΤΜΔΝΩΝ ΥΑΡΑΛΑΜΠΟ ΣΑΞΗΓΖ (Α.Δ.Μ.: 2525) ΔΠΟΠΣΖ ΚΑΘΖΓΖΣΖ ΥΑΣΕΖ ΒΑΗΛΔΗΟ Μάιορ 2015 ΔΤΥΑΡΗΣΖΡΗΟ

Διαβάστε περισσότερα

ΠΑΝΕΠΙΣΗΜΙΟ ΜΑΚΕΔΟΝΙΑ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΣΜΗΜΑ ΕΦΑΡΜΟΜΕΝΗ ΠΛΗΡΟΦΟΡΙΚΗ ΣΕΥΝΗΣΗ ΝΟΗΜΟΤΝΗ

ΠΑΝΕΠΙΣΗΜΙΟ ΜΑΚΕΔΟΝΙΑ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΣΜΗΜΑ ΕΦΑΡΜΟΜΕΝΗ ΠΛΗΡΟΦΟΡΙΚΗ ΣΕΥΝΗΣΗ ΝΟΗΜΟΤΝΗ ΘΕΜ 1 ο (2.5 κνλάδεο) ΠΝΕΠΙΣΗΜΙΟ ΜΚΕΔΟΝΙ ΟΙΚΟΝΟΜΙΚΩΝ ΚΙ ΚΟΙΝΩΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΣΜΗΜ ΕΦΡΜΟΜΕΝΗ ΠΛΗΡΟΦΟΡΙΚΗ ΣΕΥΝΗΣΗ ΝΟΗΜΟΤΝΗ Σελικέρ εξετάσειρ Σετάπτη 21 Ιανοςαπίος 2009 13:00-16:00 Έζησ ν θόζκνο ηεο ειεθηξηθήο

Διαβάστε περισσότερα

DOM. Γηδάζθνληεο: Π. Αγγειάηνο, Γ. Εήλδξνο Δπηκέιεηα δηαθαλεηώλ: Π. Αγγειάηνο. Σρνιή Ζιεθηξνιόγωλ Μεραληθώλ θαη Μεραληθώλ Υπνινγηζηώλ

DOM. Γηδάζθνληεο: Π. Αγγειάηνο, Γ. Εήλδξνο Δπηκέιεηα δηαθαλεηώλ: Π. Αγγειάηνο. Σρνιή Ζιεθηξνιόγωλ Μεραληθώλ θαη Μεραληθώλ Υπνινγηζηώλ DOM Γηδάζθνληεο: Π. Αγγειάηνο, Γ. Εήλδξνο Δπηκέιεηα δηαθαλεηώλ: Π. Αγγειάηνο Σρνιή Ζιεθηξνιόγωλ Μεραληθώλ θαη Μεραληθώλ Υπνινγηζηώλ Σηόρνο ηεο ώξαο Δμνηθείωζε κε ην DOM Γέληξν DOM: Γηάζρηζε Τξνπνπνίεζε

Διαβάστε περισσότερα

ΠΑΡΔΜΒΑΔΙ ΔΤΑΙΘΗΣΟΠΟΙΗΗ ΚΑΙ ΠΡΟΛΗΨΗ ΓΙΑ ΣΟΝ HIV/AIDS ΣΗΝ ΑΚΣΟΓΡΑΜΜΗ ΣΩΝ ΠΔΡΙΦΔΡΔΙΑΚΩΝ ΔΝΟΣΗΣΩΝ ΣΗ ΚΔΝΣΡΙΚΗ ΜΑΚΔΓΟΝΙΑ ΑΤΓΟΤΣΟ 2014

ΠΑΡΔΜΒΑΔΙ ΔΤΑΙΘΗΣΟΠΟΙΗΗ ΚΑΙ ΠΡΟΛΗΨΗ ΓΙΑ ΣΟΝ HIV/AIDS ΣΗΝ ΑΚΣΟΓΡΑΜΜΗ ΣΩΝ ΠΔΡΙΦΔΡΔΙΑΚΩΝ ΔΝΟΣΗΣΩΝ ΣΗ ΚΔΝΣΡΙΚΗ ΜΑΚΔΓΟΝΙΑ ΑΤΓΟΤΣΟ 2014 ΠΑΡΔΜΒΑΔΙ ΔΤΑΙΘΗΣΟΠΟΙΗΗ ΚΑΙ ΠΡΟΛΗΨΗ ΓΙΑ ΣΟΝ HIV/AIDS ΣΗΝ ΑΚΣΟΓΡΑΜΜΗ ΣΩΝ ΠΔΡΙΦΔΡΔΙΑΚΩΝ ΔΝΟΣΗΣΩΝ ΣΗ ΚΔΝΣΡΙΚΗ ΜΑΚΔΓΟΝΙΑ ΑΤΓΟΤΣΟ 2014 Σν ΚΔ.ΔΛ.Π.ΝΟ., Γξαθείν Θεζζαινλίθεο θαη ε Γηεύζπλζε Γεκόζηαο Τγείαο ηεο

Διαβάστε περισσότερα

ΣΔΥΝΟΛΟΓΙΚΟ ΔΚΠΑΙΓΔΤΣΙΚΟ ΙΓΡΤΜΑ (ΣΔΙ) ΓΤΣΙΚΗ ΜΑΚΔΓΟΝΙΑ

ΣΔΥΝΟΛΟΓΙΚΟ ΔΚΠΑΙΓΔΤΣΙΚΟ ΙΓΡΤΜΑ (ΣΔΙ) ΓΤΣΙΚΗ ΜΑΚΔΓΟΝΙΑ ΣΔΥΝΟΛΟΓΙΚΟ ΔΚΠΑΙΓΔΤΣΙΚΟ ΙΓΡΤΜΑ (ΣΔΙ) ΓΤΣΙΚΗ ΜΑΚΔΓΟΝΙΑ ΠΑΡΑΡΣΗΜΑ ΚΑΣΟΡΙΑ ΣΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗ & ΣΔΥΝΟΛΟΓΙΑ ΤΠΟΛΟΓΙΣΩΝ ΠΣΤΥΙΑΚΗ ΔΡΓΑΙΑ Σνπ Ρνχζζνπ Γεψξγηνπ Α.Δ.Μ. 304 «Αλάπηπμε Portal & Forum γηα ην Σ.Δ.Ι.

Διαβάστε περισσότερα

IV Ο ΕΛΛΗΝΙΜΟ ΣΗ ΔΤΗ,ΠΟΛΙΣΙΜΟΙ Δ.ΜΕΟΓΕΙΟΤ ΚΑΙ ΡΩΜΗ

IV Ο ΕΛΛΗΝΙΜΟ ΣΗ ΔΤΗ,ΠΟΛΙΣΙΜΟΙ Δ.ΜΕΟΓΕΙΟΤ ΚΑΙ ΡΩΜΗ IV Ο ΕΛΛΗΝΙΜΟ ΣΗ ΔΤΗ,ΠΟΛΙΣΙΜΟΙ Δ.ΜΕΟΓΕΙΟΤ ΚΑΙ ΡΩΜΗ Να σαπακηηπίζεηε ηιρ πποηάζειρ, πος ακολοςθούν, υρ ππορ ηην οπθόηηηά ηοςρ, με ηην ένδειξη Σωστό ή Λάθος 1. ηελ αξραία Ρώκε νη πιεβείνη δελ είραλ αξρηθά

Διαβάστε περισσότερα

ΕΜΠΟΡΙΚΑ ΣΙΜΟΛΟΓΙΑ ΣΗ ΧΑΜΗΛΗ ΣΑΗ

ΕΜΠΟΡΙΚΑ ΣΙΜΟΛΟΓΙΑ ΣΗ ΧΑΜΗΛΗ ΣΑΗ ΗΡΩΝ ΘΕΡΜΟΗΛΕΚΣΡΙΚΗ Α.Ε. ΜΕ ΙΧΤ ΣΗΝ ΑΓΟΡΑ ΣΗ ΗΛΕΚΣΡΙΚΗ ΕΝΕΡΓΕΙΑ 2011 ΕΜΠΟΡΙΚΑ ΣΙΜΟΛΟΓΙΑ ΣΗ ΧΑΜΗΛΗ ΣΑΗ Ρο εργοστάσιο παραγωγής ηλεκτρικής ενέργειας στη Θήβα ΔΙΕΤΘΤΝΗ ΠΩΛΗΕΩΝ 1/1/2011 TA ΔΚΞΝΟΗΘΑ ΡΗΚΝΙΝΓΗΑ

Διαβάστε περισσότερα

Βιομησανικόρ ζσεδιαζμόρ πποϊόνηων από ανακςκλωμένερ ζςζκεςαζίερ

Βιομησανικόρ ζσεδιαζμόρ πποϊόνηων από ανακςκλωμένερ ζςζκεςαζίερ Βιομησανικόρ ζσεδιαζμόρ πποϊόνηων από ανακςκλωμένερ ζςζκεςαζίερ ΤΕΙ Δσηικής Μακεδονίας Τμήμα Βιομητανικού Στεδιαζμού Εργαζηήριο C 3 www.c3.teiwm.gr C 3 LAB www.c3.teiwm.gr 1 Εηζαγσγή Πεπιεσόμενα ύκβνια

Διαβάστε περισσότερα

γηα ηνλ Άξε Κσλζηαληηλίδε

γηα ηνλ Άξε Κσλζηαληηλίδε γηα ηνλ Άξε Κσλζηαληηλίδε γηα «ην θνηλό θαη ην θύξην» (Γ.νισκόο) γηα λα ρηίδω πάληα κε ηνλ ίδηνλε ηξόπν, κε ηηο ίδηεο θαηαζθεπαζηηθέο θαη πιαζηηθέο πξννπηηθέο, κε ηελ ίδηαλε πάληνηε πίζηε θαη αγάπε.. Α.Κ.

Διαβάστε περισσότερα

ΠΡΩΣΟΚΟΛΛΑ ΓΙΑΥΔΙΡΗΗ ΣΩΝ ΣΔΡΗΓΟΝΙΚΩΝ ΒΛΑΒΩΝ Δ ΔΝΗΛΙΚΔ

ΠΡΩΣΟΚΟΛΛΑ ΓΙΑΥΔΙΡΗΗ ΣΩΝ ΣΔΡΗΓΟΝΙΚΩΝ ΒΛΑΒΩΝ Δ ΔΝΗΛΙΚΔ ΠΡΩΣΟΚΟΛΛΑ ΓΙΑΥΔΙΡΗΗ ΣΩΝ ΣΔΡΗΓΟΝΙΚΩΝ ΒΛΑΒΩΝ Δ ΔΝΗΛΙΚΔ Σν ζύγρξνλν πξόηππν αληηκεηώπηζεο ηεο ηεξεδόλαο ελειίθσλ δελ εζηηάδεηαη κόλν ζηελ απνθαηάζηαζε ησλ ηεξεδνληθώλ βιαβώλ πνπ έρνπλ εθδεισζεί, αιιά έρεη

Διαβάστε περισσότερα

ΣΔΥΝΟΛΟΓΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΚΤΠΡΟΤ ΥΟΛΗ ΓΔΩΣΔΥΝΙΚΩΝ ΔΠΙΣΗΜΩΝ ΚΑΙ ΓΙΑΥΔΙΡΙΗ ΠΔΡΙΒΑΛΟΝΣΟ. Πτυχιακή διατριβή ΟΛΟΚΛΗΡΩΜΔΝΗ ΑΠΟΡΡΤΠΑΝΗ ΚΑΤΑΔΡΙΩΝ ΠΛΟΙΩΝ

ΣΔΥΝΟΛΟΓΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΚΤΠΡΟΤ ΥΟΛΗ ΓΔΩΣΔΥΝΙΚΩΝ ΔΠΙΣΗΜΩΝ ΚΑΙ ΓΙΑΥΔΙΡΙΗ ΠΔΡΙΒΑΛΟΝΣΟ. Πτυχιακή διατριβή ΟΛΟΚΛΗΡΩΜΔΝΗ ΑΠΟΡΡΤΠΑΝΗ ΚΑΤΑΔΡΙΩΝ ΠΛΟΙΩΝ ΣΔΥΝΟΛΟΓΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΚΤΠΡΟΤ ΥΟΛΗ ΓΔΩΣΔΥΝΙΚΩΝ ΔΠΙΣΗΜΩΝ ΚΑΙ ΓΙΑΥΔΙΡΙΗ ΠΔΡΙΒΑΛΟΝΣΟ Πτυχιακή διατριβή ΟΛΟΚΛΗΡΩΜΔΝΗ ΑΠΟΡΡΤΠΑΝΗ ΚΑΤΑΔΡΙΩΝ ΠΛΟΙΩΝ Αργσρώ Ιωάννοσ Λεμεσός 2012 ΣΔΥΝΟΛΟΓΙΚΟ ΠΑΝΔΠΙΣΗΜΙΟ ΚΤΠΡΟΤ

Διαβάστε περισσότερα

Παλεπηζηήκην Πεηξαηψο Σκήκα Πιεξνθνξηθήο Πξφγξακκα Μεηαπηπρηαθψλ πνπδψλ «Πξνεγκέλα πζηήκαηα Πιεξνθνξηθήο»

Παλεπηζηήκην Πεηξαηψο Σκήκα Πιεξνθνξηθήο Πξφγξακκα Μεηαπηπρηαθψλ πνπδψλ «Πξνεγκέλα πζηήκαηα Πιεξνθνξηθήο» Παλεπηζηήκην Πεηξαηψο Σκήκα Πιεξνθνξηθήο Πξφγξακκα Μεηαπηπρηαθψλ πνπδψλ «Πξνεγκέλα πζηήκαηα Πιεξνθνξηθήο» Μεηαπηπρηαθή Γηαηξηβή Σίηινο Γηαηξηβήο Ολνκαηεπψλπκν Φνηηεηή Παηξψλπκν Αξηζκφο Μεηξψνπ Δπηβιέπσλ

Διαβάστε περισσότερα

Ανάπτυξη Ελληνικής τεχνολογίας μηχανών ηλεκτροπαραγωγής ORC

Ανάπτυξη Ελληνικής τεχνολογίας μηχανών ηλεκτροπαραγωγής ORC Εθνικό Συνέδριο «Γεωθερμική Ηλεκτροπαραγωγή» Ξενοδοχείο Divani Caravel Αθήνα 20 Νοεμβρίου 2013 Ανάπτυξη Ελληνικής τεχνολογίας μηχανών ηλεκτροπαραγωγής ORC Α.Μπένου, Ι. Χωροπανίτης Τμήμα Γεωθερμικής Ενέργειας

Διαβάστε περισσότερα