Статистика прошедшего трафика собирается на многих устройствах.
Все без исключения маршрутизаторы, а также многие иные коммуникационные устройства имеют встроенные функции для сбора разнообразной статистики.
Статистика – это, конечно, не перехват трафика, она не дает доступа к его содержимому. Но и из статистики можно немало почерпнуть для расследования и для доказательства компьютерных преступлений.
В простейших случаях на каждом интерфейсе подсчитывается лишь общее количество полученных и отправленных байтов и пакетов. Настройки по умолчанию предполагают более подробную статистику. Полное архивирование всего трафика ведется лишь в редких случаях и не для всех протоколов.
NETFLOW
Часто статистика ведется по формату «netflow». Он предусматривает запись сведений о каждом «потоке» (flow), то есть серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола.
По такой статистике можно установить:
● факт обращения определенного узла (компьютера, идентифицированного IP адресом) к другому узлу;
● время обращения с точностью до интервала дискретизации (от 5 минут до 1 часа);
● количество переданного и полученного трафика;
● протокол;
● номера портов с обеих сторон (для TCP и UDP).
ПРИМЕР
Приведем пример, как при помощи статистики трафика можно получить ценную оперативную информацию Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net».
Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя (подробнее об анонимайзерах – ниже, в параграфе «Анонимные ремейлеры»). Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа.
Для вычисления отправителя можно воспользоваться статистикой трафика.
Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение на этот анонимайзер непосредственно, а не через другой анонимайзер. При таких условиях можно попытаться вычислить отправителя.
IP-адрес анонимайзера «remailer@aarg.net» – 206.132.3.41.
Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IP-адрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools».
Итак, для начала, проверим, на какие IP-адреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная команда берёт хранящуюся на сервере статистику (flow-cat), отфильтровывает из нее протокол TCP (flow-filter -r6), отфильтровывает трафик, направленный на порт 25 (flow-filter -P 25), и агрегирует данные по IP адресу назначения (flow-stat -f8).
Все без исключения маршрутизаторы, а также многие иные коммуникационные устройства имеют встроенные функции для сбора разнообразной статистики.
Статистика – это, конечно, не перехват трафика, она не дает доступа к его содержимому. Но и из статистики можно немало почерпнуть для расследования и для доказательства компьютерных преступлений.
В простейших случаях на каждом интерфейсе подсчитывается лишь общее количество полученных и отправленных байтов и пакетов. Настройки по умолчанию предполагают более подробную статистику. Полное архивирование всего трафика ведется лишь в редких случаях и не для всех протоколов.
NETFLOW
Часто статистика ведется по формату «netflow». Он предусматривает запись сведений о каждом «потоке» (flow), то есть серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола.
По такой статистике можно установить:
● факт обращения определенного узла (компьютера, идентифицированного IP адресом) к другому узлу;
● время обращения с точностью до интервала дискретизации (от 5 минут до 1 часа);
● количество переданного и полученного трафика;
● протокол;
● номера портов с обеих сторон (для TCP и UDP).
ПРИМЕР
Приведем пример, как при помощи статистики трафика можно получить ценную оперативную информацию Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net».
Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя (подробнее об анонимайзерах – ниже, в параграфе «Анонимные ремейлеры»). Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа.
Для вычисления отправителя можно воспользоваться статистикой трафика.
Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение на этот анонимайзер непосредственно, а не через другой анонимайзер. При таких условиях можно попытаться вычислить отправителя.
IP-адрес анонимайзера «remailer@aarg.net» – 206.132.3.41.
Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IP-адрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools».
Итак, для начала, проверим, на какие IP-адреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная команда берёт хранящуюся на сервере статистику (flow-cat), отфильтровывает из нее протокол TCP (flow-filter -r6), отфильтровывает трафик, направленный на порт 25 (flow-filter -P 25), и агрегирует данные по IP адресу назначения (flow-stat -f8).
В списке DST адресов (адресов назначения) мы видим интересующий нас адрес 206.132.3.41 (пятая строка снизу), причем на него зафиксировано 2 обращения (flow), всего 38 пакетов, 27995 байт. Такое небольшое количество пакетов за целые сутки неудивительно. Анонимайзерами пользуются нечасто, поскольку это хоть и относительно безопасно, но не слишком удобно.
Выше мы запрашивали статистику за сутки. Поскольку статистика собирается с интервалом в 15 минут, поинтересуемся, в какой именно интервал времени в течение суток были зафиксированы эти обращения. Поищем их в каждом из четвертьчасовых файлов. То есть произведем поиск, аналогичный предыдущему, но не для всей суточной статистики, а для каждого из 15 минутных интервалов (команда «for f in … do»).
Выше мы запрашивали статистику за сутки. Поскольку статистика собирается с интервалом в 15 минут, поинтересуемся, в какой именно интервал времени в течение суток были зафиксированы эти обращения. Поищем их в каждом из четвертьчасовых файлов. То есть произведем поиск, аналогичный предыдущему, но не для всей суточной статистики, а для каждого из 15 минутных интервалов (команда «for f in … do»).
Упоминание искомого IP-адреса нашлось в 2 из 96 файлов. Оказалось, что обращения происходили в интервале 9:30 9:45 и 14:30 14:45, причем во втором случае было передано лишь 2 пакета, а этого недостаточно для полноценной SMTP-сессии. Таким образом, все данные следует искать в файле, содержащем статистику за 9:30 9:45.
Выберем из полной статистики за указанный интервал те пакеты, которые относятся к интересующему нас анонимайзеру. Для этого вместо упорядочивания данных по IP-адресу назначения, как в предыдущих случаях (flow-stat -f8), запросим полную статистику (flow-print) и выделим из нее утилитой «grep» те потоки, которые относятся к адресу анонимайзера 206.132.3.41.
Мы видим, что у всех относящихся к делу пакетов один и тот же source-адрес – 81.16.118.238. Это, скорее всего, и есть IP-адрес отправителя. Переданный объем информации, 27899 байт, примерно соответствует (с учетом служебных заголовков и шифрования) длине сообщения, полученного потерпевшим, что косвенно подтверждает правильность нашего вывода.
Вот таким образом заурядная статистика провайдера позволила нам раскрыть инкогнито злоумышленника, понадеявшегося на анонимный ремейлер.
Другая задача, выполняемая при помощи статистики трафика, это обнаружение источника DoS-атаки или иной атаки с подделанными адресами источника (source IP). По статистике видно, из какого интерфейса пришел на маршрутизатор такой пакет, то есть каков был предыдущий узел в его пути. Обратившись к статистике этого предыдущего узла, мы можем узнать предпредыдущий узел и так далее. К сожалению, это задача непростая, придется устанавливать контакт с несколькими провайдерами. Если один из них откажется сотрудничать или не сохранит статистику, то цепочка оборвется.
Вот таким образом заурядная статистика провайдера позволила нам раскрыть инкогнито злоумышленника, понадеявшегося на анонимный ремейлер.
Другая задача, выполняемая при помощи статистики трафика, это обнаружение источника DoS-атаки или иной атаки с подделанными адресами источника (source IP). По статистике видно, из какого интерфейса пришел на маршрутизатор такой пакет, то есть каков был предыдущий узел в его пути. Обратившись к статистике этого предыдущего узла, мы можем узнать предпредыдущий узел и так далее. К сожалению, это задача непростая, придется устанавливать контакт с несколькими провайдерами. Если один из них откажется сотрудничать или не сохранит статистику, то цепочка оборвется.
