banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành Windows Ý tưởng phát hiện 1 user trong mạng đang chat  XML
  [Discussion]   Ý tưởng phát hiện 1 user trong mạng đang chat 06/06/2009 04:24:27 (+0700) | #1 | 182861
woodenhouse
Member

[Minus]    0    [Plus]
Joined: 12/06/2008 14:18:49
Messages: 25
Offline
[Profile] [PM]
Hiện tại cty yêu cầu khi phát hiện 1 user trong mạng online = 1 trong những phần mềm sau thì phải ghi log và cảnh báo:
# YIM
# AIM
# MSN
# ICQ
# Skype
# Gtalk
em mới khảo sát thì biết được có phần mềm Wireshark and Ethereal có thể sniff được tất cả các gói tin trong mạng nội bộ ... và e thấy trong phần mềm này có phần filter ... nhưng vẫn chưa hiểu rõ phần này ... vậy ai có tài liệu về phần filter này cho em xin với ... vì E nghỉ là mình sẽ filter những gói tin bắt được khi truy cập vào ip của các IM chat trên từ đó mình biết được máy nào đang chat ... Em có các câu hỏi sau:
1) Theo các anh có khả thi ko ạ?
2) ai có list IP của các IM chat trên ko cho em xin với ạ.. e chỉ biết mỗi yahoo hình như là 68.142.194.14 vì e ping cái domain messenger.yahoo.com thì ra ip này hihihi ...
3) nếu có cách nào hay hơn thì chỉ e luôn ạ thanks nhiều nhiều ....
[Up] [Print Copy]
  [Discussion]   Ý tưởng phát hiện 1 user trong mạng đang chat 06/06/2009 23:44:46 (+0700) | #2 | 182901
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

woodenhouse wrote:

em mới khảo sát thì biết được có phần mềm Wireshark and Ethereal có thể sniff được tất cả các gói tin trong mạng nội bộ ... và e thấy trong phần mềm này có phần filter ... nhưng vẫn chưa hiểu rõ phần này ... vậy ai có tài liệu về phần filter này cho em xin với ...
 

http://wiki.wireshark.org/DisplayFilters
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Ý tưởng phát hiện 1 user trong mạng đang chat 07/06/2009 00:04:30 (+0700) | #3 | 182903
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

woodenhouse wrote:
Hiện tại cty yêu cầu khi phát hiện 1 user trong mạng online = 1 trong những phần mềm sau thì phải ghi log và cảnh báo:
# YIM
# AIM
# MSN
# ICQ
# Skype
# Gtalk
em mới khảo sát thì biết được có phần mềm Wireshark and Ethereal có thể sniff được tất cả các gói tin trong mạng nội bộ ... và e thấy trong phần mềm này có phần filter ... nhưng vẫn chưa hiểu rõ phần này ... vậy ai có tài liệu về phần filter này cho em xin với ... vì E nghỉ là mình sẽ filter những gói tin bắt được khi truy cập vào ip của các IM chat trên từ đó mình biết được máy nào đang chat ... Em có các câu hỏi sau:
1) Theo các anh có khả thi ko ạ?
2) ai có list IP của các IM chat trên ko cho em xin với ạ.. e chỉ biết mỗi yahoo hình như là 68.142.194.14 vì e ping cái domain messenger.yahoo.com thì ra ip này hihihi ...
3) nếu có cách nào hay hơn thì chỉ e luôn ạ thanks nhiều nhiều .... 


1) Tìm hiểu cổng dịch vụ của từng loại chat ở trên.
2) Thiết lập luật tạo alert trên snort để gởi cảnh báo mỗi khi một máy nào đó trong mạng nội bộ liên hệ với một trong các cổng dịch vụ ấy.
3) Nếu muốn đi xa hơn, có thể thiết lập chính snort "gọi" một ứng dụng khác để hủy bỏ xuất truy cập.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Ý tưởng phát hiện 1 user trong mạng đang chat 10/06/2009 04:21:16 (+0700) | #4 | 183152
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]

conmale wrote:

1) Tìm hiểu cổng dịch vụ của từng loại chat ở trên.
2) Thiết lập luật tạo alert trên snort để gởi cảnh báo mỗi khi một máy nào đó trong mạng nội bộ liên hệ với một trong các cổng dịch vụ ấy.
3) Nếu muốn đi xa hơn, có thể thiết lập chính snort "gọi" một ứng dụng khác để hủy bỏ xuất truy cập. 

Hiện nay các chương trình chat đều có hỗ trợ proxy anh ạ. Còn vd như Y!M thì khi mình khóa cổng 5050 thì nó tự detect một cổng khác để kết nối lại (vd: 80) . Còn như skype khi chat thì nó lại dùng cổng 80 và 443. vậy mình làm sao biết được anh?
Bên ISA thì ngoài cấm các port trên còn phải lọc theo signature nữa. Vậy trên snort mình có cách nào không anh?
[Up] [Print Copy]
  [Discussion]   Ý tưởng phát hiện 1 user trong mạng đang chat 10/06/2009 05:35:39 (+0700) | #5 | 183155
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

protectHat wrote:

conmale wrote:

1) Tìm hiểu cổng dịch vụ của từng loại chat ở trên.
2) Thiết lập luật tạo alert trên snort để gởi cảnh báo mỗi khi một máy nào đó trong mạng nội bộ liên hệ với một trong các cổng dịch vụ ấy.
3) Nếu muốn đi xa hơn, có thể thiết lập chính snort "gọi" một ứng dụng khác để hủy bỏ xuất truy cập. 

Hiện nay các chương trình chat đều có hỗ trợ proxy anh ạ. Còn vd như Y!M thì khi mình khóa cổng 5050 thì nó tự detect một cổng khác để kết nối lại (vd: 80) . Còn như skype khi chat thì nó lại dùng cổng 80 và 443. vậy mình làm sao biết được anh?
Bên ISA thì ngoài cấm các port trên còn phải lọc theo signature nữa. Vậy trên snort mình có cách nào không anh? 


Cho dù có đi qua proxy thì cổng đích vẫn có giá trị nhất định. Nếu dịch vụ chat ấy dùng cổng khá phổ biến và thường được firewall cho phép đi xuyên qua thì phải đối phó bằng cách tìm những dấu hiệu cụ thể của từng loại chat (YIM, AIM...). Cách cổ điển là dùng một sniffer trong điều kiện giới hạn traffic ra vào nhất để phân tích và thu thập dấu hiệu. Từ đó mới có thể dùng nó để hình thành "signature". Tất nhiên phải biết cách sử dụng sniffer đó và hiểu thông tin của các packets đã sniff được.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|