פרויקט באבטחהפרויקט באבטחה

: :מגישיםמגישים307046995307046995מרינה יצינה מרינה יצינה

0399442803994428שי פרץ שי פרץ

מטרת הפרוייקטמטרת הפרוייקט פיתוח מערכת שתאפשר לנתח בצורה נוחה פיתוח מערכת שתאפשר לנתח בצורה נוחה

את התקשורת המועברת דרך מחשבים את התקשורת המועברת דרך מחשבים ..Honey PotsHoney Potsהמשמשים כ המשמשים כ

.ניתוח כמויות גדולות של מידע בזמן אמת.ניתוח כמויות גדולות של מידע בזמן אמת.יכולת סינון של מידע לא רלוונטי.יכולת סינון של מידע לא רלוונטי

מבנה המערכתמבנה המערכתתת מערכת שאוספת מידעתת מערכת שאוספת מידע

אוספת קבצים שמכילים מידע על תעבורת רשתאוספת קבצים שמכילים מידע על תעבורת רשתמעבירה לתת המערכת שמציגה את המידעמעבירה לתת המערכת שמציגה את המידע

תת מערכת שמציגה את המידע תת מערכת שמציגה את המידע מסננת את המידע שנאסף בהתאם לחוקי סינוןמסננת את המידע שנאסף בהתאם לחוקי סינון

רמות רמות33החוקים מחלקים את המידע ל החוקים מחלקים את המידע ל תעבורה שאינה מהווה התקפהתעבורה שאינה מהווה התקפהתעבורה שמהווה התקפה ידועהתעבורה שמהווה התקפה ידועהתעבורה לא ידועה שיש לעבור עליהתעבורה לא ידועה שיש לעבור עליה

מציגה את המידע המסונןמציגה את המידע המסונן

מבנה המערכתמבנה המערכת בחרנו לבנות את המערכת שלנו כאתר בחרנו לבנות את המערכת שלנו כאתרWebWeb.. המערכת משתמשת בחוקי המערכת משתמשת בחוקיXSLTXSLT.לסינון מידע. לסינון מידע

:יתרונות: יתרונות.מאפשר גישה מכל מקום.מאפשר גישה מכל מקום .המידע נמצא בצורה מרוכזת בשרת מרוחק. המידע נמצא בצורה מרוכזת בשרת מרוחק.מאפשר התממשקות טבעית לתעבורת הרשת שנאספה.מאפשר התממשקות טבעית לתעבורת הרשת שנאספה מאפשר התממשקות לחוקי מאפשר התממשקות לחוקיXSLTXSLT.. האתר מאפשר שחזור של בקשות האתר מאפשר שחזור של בקשותgetget .החשודות כהתקפות. החשודות כהתקפות

סביבת עבודהסביבת עבודהEC2EC2 סביבה של - סביבה של -Cloud ComputingCloud Computing של של

AmazonAmazon.. שרתים: שרתים:22הקמנו בסביבה זו הקמנו בסביבה זו

שרת שמנטר אחר תעבורת רשת בעזרת שרת שמנטר אחר תעבורת רשת בעזרתWireSharkWireShark.. שרת שמהווה שרת שרת שמהווה שרתWebWeb.ומארח את האתר שלנו. ומארח את האתר שלנו

:יתרונות: יתרונות ניתן לשמור ניתן לשמורImagesImages.של מצב המחשב ובכך לבצע גיבוי. של מצב המחשב ובכך לבצע גיבוי .אין חשש שהדבקה של וירוס תשבית את המערכת.אין חשש שהדבקה של וירוס תשבית את המערכת

:חסרונות: חסרונות.איטי.איטי

סביבת עבודהסביבת עבודהTorTor מספק יכולות של - מספק יכולות של -Anonymous ProxyAnonymous Proxy..

דרכו משתמשים שגולשים באתרים יכולים להסתיר דרכו משתמשים שגולשים באתרים יכולים להסתיראת זהותם. את זהותם.

כלי זה משמש לעיתים קרובות פורצים והאקרים על כלי זה משמש לעיתים קרובות פורצים והאקרים עלמנת לתקוף אתרים לאסוף מידע וכו'.מנת לתקוף אתרים לאסוף מידע וכו'.

WireSharkWireShark.מנטר את תעבורת הרשת.- מנטר את תעבורת הרשת -.מנטר את התעבורה שעוברת דרך המחשב.מנטר את התעבורה שעוברת דרך המחשב .שומר את התעבורה המנוטרת לקבצי מידע. שומר את התעבורה המנוטרת לקבצי מידע

מאפייני המערכתמאפייני המערכת .הצגת תעבורת הרשת. הצגת תעבורת הרשת

.התעבורה מסוננת לפי החוקים הפעילים.התעבורה מסוננת לפי החוקים הפעילים:ניתן לבחור בין מספר תצורות הצגה שונות:ניתן לבחור בין מספר תצורות הצגה שונות

.תעבורה שזוהתה ע"י חוקי סינון כהתקפה ידועה.תעבורה שזוהתה ע"י חוקי סינון כהתקפה ידועה.תעבורה לא ידועה.תעבורה לא ידועה.תעבורה שזוהתה כהתקפה ותעבורה לא ידועה יחד.תעבורה שזוהתה כהתקפה ותעבורה לא ידועה יחד

מאפייני המערכתמאפייני המערכת ניהול חוקי סינון ניהול חוקי סינון

רמות: רמות:22ניהול ב ניהול ב .רמה גלובאלית - חוקים הפועלים על כל קבצי המידע.רמה גלובאלית - חוקים הפועלים על כל קבצי המידע.רמה לוקאלית – חוקים הפועלים על קובץ מידע מסויים.רמה לוקאלית – חוקים הפועלים על קובץ מידע מסויים

.קביעת החוקים הפעילים.קביעת החוקים הפעילים.יצירה, מחיקה ועריכה של חוקים סינון.יצירה, מחיקה ועריכה של חוקים סינון.יצירה אוטומטית של חוק סינון מתוך קובץ מידע.יצירה אוטומטית של חוק סינון מתוך קובץ מידע

DemoDemoסרטון הדגמהסרטון הדגמה

DesignDesign.קבצי המידע עלולים להיות גדולים.קבצי המידע עלולים להיות גדולים

.להפעיל את אותם חוקי סינון על אותו קובץ זה יקר.להפעיל את אותם חוקי סינון על אותו קובץ זה יקר:אופטימיזציה של זמן גישה לקבצי המידע:אופטימיזציה של זמן גישה לקבצי המידע

בעת הצגת קובץ מידע בפעם הראשונה יופעלו עליו בעת הצגת קובץ מידע בפעם הראשונה יופעלו עליוהחוקים הפעילים.החוקים הפעילים.

לאחר הפעלת החוקים נוצר ונשמר קובץ לאחר הפעלת החוקים נוצר ונשמר קובץXMLXML.זמני. זמני בגישות הבאות נציג את המידע לפי קובץ ה בגישות הבאות נציג את המידע לפי קובץ הXMLXML..

שינויי של החוקים הפעילים או עריכה שלהם תמחק את ה שינויי של החוקים הפעילים או עריכה שלהם תמחק את הXMLXML.ותגרום ליצירת קובץ חדש בגישה הבאה. ותגרום ליצירת קובץ חדש בגישה הבאה

DesignDesign חוקי הסינון רשומים בעזרת חוקי הסינון רשומים בעזרתXSLTXSLT בעת יצירת חוק סינון חדש דרך האתר, נוצר בעת יצירת חוק סינון חדש דרך האתר, נוצר

לגבי החוק. לגבי החוק.metadatametadata שמכיל שמכיל XMLXMLקובץ קובץ מקובץמקובץXMLXML זה נוצר חוק סינון זה נוצר חוק סינון XSLTXSLT . . ניתן ליצור חוקים בצורה ידנית ולמקם תחת ניתן ליצור חוקים בצורה ידנית ולמקם תחת

היררכיית הספריות.היררכיית הספריות..האתר יזהה ויפעיל חוקים אלה.האתר יזהה ויפעיל חוקים אלה

DesignDesign קטגוריות של חוקים: קטגוריות של חוקים:33ישנן ישנן

חוקי חוקיExcludeExclude.תעבורה שזיהינו כלא התקפה.- תעבורה שזיהינו כלא התקפה -.אנו איננו מעוניים לראות או לשמור אותה.אנו איננו מעוניים לראות או לשמור אותה

שליחה תמונה, התכתבות ב שליחה תמונה, התכתבות בchatchat...'וכו'... וכו חוקי חוקיIncludeInclude.תעבורה שזיהינו כהתקפה ידועה.- תעבורה שזיהינו כהתקפה ידועה -

תעבורה שאנו מעוניינים לשמור, אך לא תמיד מעוניינים תעבורה שאנו מעוניינים לשמור, אך לא תמיד מעונייניםלראות אותה.לראות אותה.

ScrappingScrapping.על אתרים של מילונים. על אתרים של מילונים חוקי חוקיTaggingTagging.תעבורה שאנו מעוניינים לתייג.- תעבורה שאנו מעוניינים לתייג -

.תעבורה שאנו מעוניינים לשמור, לראות ולהפיק דו"חות.תעבורה שאנו מעוניינים לשמור, לראות ולהפיק דו"חות.אוטמטיזציה.אוטמטיזציה

תוצאותתוצאות ג'יגה של תעבורת רשת ג'יגה של תעבורת רשת 22במהלך שבוע וחצי אספנו במהלך שבוע וחצי אספנו

..HTTPHTTPברמת ברמת בעזרת אוסף בסיסי של חוקי סינון אנו מסננים קרוב ל בעזרת אוסף בסיסי של חוקי סינון אנו מסננים קרוב ל

אחוז מהתעבורה אחוז מהתעבורה 5050.אנו מזהים תעבורה זו כתעבורה שאינה מהווה התקפה.אנו מזהים תעבורה זו כתעבורה שאינה מהווה התקפה

כיוונים: כיוונים:22האתר שלנו יכול להביא תועלת ב האתר שלנו יכול להביא תועלת ב מציאת נקודות תורפה של אתרים קיימים מציאת נקודות תורפה של אתרים קיימים

... ,אתרים החושפים שם משתמש וסיסמא של משתמשיהם, ...אתרים החושפים שם משתמש וסיסמא של משתמשיהםאיתור התקפותאיתור התקפות

ScrappingScrapping,,Clicks ForgeryClicks Forgery... ,... ,

תוצאותתוצאות.חשיפת שם משתמש וסיסמא.חשיפת שם משתמש וסיסמא

mixi.jpmixi.jpרשת חברתית יפנית מאוד גדולה – רשת חברתית יפנית מאוד גדולה – megaupload.commegaupload.comאתר שיתוף קבצים – אתר שיתוף קבצים – uploading.comuploading.comאתר שיתוף קבצים – אתר שיתוף קבצים – ...ועוד...ועוד

תוצאותתוצאות:התקפות:התקפות

ScrappingScrapping:: מאות פניות לאתרים שונים של מילונים מקוונים והורדה מאות פניות לאתרים שונים של מילונים מקוונים והורדה

שיטתית של המידע.שיטתית של המידע.

תוצאותתוצאותScrappingScrapping::

.עשרות פניות לאתרי מאמרים והורדה שיטתית של המידע.עשרות פניות לאתרי מאמרים והורדה שיטתית של המידעrabota.mail.rurabota.mail.ru.הורדה שיטתית של קורות חיים. הורדה שיטתית של קורות חיים www.pagesjaunes.frwww.pagesjaunes.fr דפי זהב הצרפתי( – הורדה )דפי זהב הצרפתי( – הורדה(

שיטתית של מידע לגבי מסעדות.שיטתית של מידע לגבי מסעדות.Ameblo.jpAmeblo.jp סריקה שיטתית של המשתמשים ברשת – סריקה שיטתית של המשתמשים ברשת –

חברתית יפנית.חברתית יפנית.classified.washingtoncitypaper.comclassified.washingtoncitypaper.com מאות פניות – מאות פניות –

לאתר.לאתר.www.booking.comwww.booking.com.עשרות פניות לאתר. - עשרות פניות לאתר - carsok.newsok.comcarsok.newsok.com.עשרות פניות לאתר.- עשרות פניות לאתר -www.warez-bb.orgwww.warez-bb.org.עשרות פניות לאתר. - עשרות פניות לאתר -

תוצאותתוצאותClicks ForgeryClicks Forgery::

Balatorin.comBalatorin.com www.digitoday.fiwww.digitoday.fi

תוצאותתוצאות התקפה על אתר התקפה על אתרYahooYahoo::

פנייה לכתובת פנייה לכתובתIPIP שמהוות שרתים של שמהוות שרתים של YahooYahoo..209.191.81.84209.191.81.84 , ,66.163.169.17866.163.169.178 , ,68.142.241.13268.142.241.132...ועוד..., ועוד ,

.חלק מהבקשות חושפות שם משתמש וסיסמא.חלק מהבקשות חושפות שם משתמש וסיסמא התקפה זו כנראה מנצלת לרעה את פעולת ה התקפה זו כנראה מנצלת לרעה את פעולת הAccount Account

Re-activationRe-activation של של YahooYahoo..http://209.191.81.84/config/login?.patner=sbc&logihttp://209.191.81.84/config/login?.patner=sbc&logi

n=_sammie_&passwd=n=_sammie_&passwd=owner&.saveowner&.save=1=1

תוצאותתוצאות התקפה על אתר התקפה על אתרYahooYahoo::

תוצאותתוצאותProxy CheckerProxy Checker:חשוד: חשוד

httphttp://://212.117.172.80212.117.172.80//proxy5proxy5//checkcheck..phpphp