Upload File

data mining for nmap acceleration

22
Data Mining in the service of nmap Sergey Ignatov, Omar “beched” Ganiev [email protected], [email protected]

Upload: beched

Post on 12-Apr-2017

1.272 views

Category:

Internet


2 download

Report

TRANSCRIPT

Page 1: Data mining for nmap acceleration

Data Mining in the service of nmap

Sergey Ignatov, Omar “beched” [email protected], [email protected]

Page 2: Data mining for nmap acceleration

Data Mining in the service of nmap$who

Page 3: Data mining for nmap acceleration

Data Mining in the service of nmapПроблема

Мир не стоит не месте, все развивается, сетевые сканеры в том числе. Начиная от дедушки nmap 1.0 (September 1, 1997), сканеры развиваются в раличных направлениях.

● Сканирование всего интернета (zmap)● Сканирование уязвимостей в сервисах (nmap scripting

engine и другие коммерческие сканеры безопаности)● Интегрированный TCP стек (polarbear from IOActive)

Page 4: Data mining for nmap acceleration

Data Mining in the service of nmap

Но сканирования обнаруживаются IDS/IPS :(

Page 5: Data mining for nmap acceleration

Data Mining in the service of nmapОбход

● Сканирование через сторонние сервисы (ftp bounce, proxy)● Уязвимости в самом IDS/IPS● Всякие сетевые хитрости (https://nmap.org/book/man-

bypass-firewalls-ids.html)● Сканировать медленнее чем IDS хранит историю● Рассмотрим именно такой подход сканирования с

задержками, мы хотим его сделать эффективнее

https://nmap.org/book/man-bypass-firewalls-ids.html
https://nmap.org/book/man-bypass-firewalls-ids.html
https://nmap.org/book/man-bypass-firewalls-ids.html
Page 6: Data mining for nmap acceleration

Data Mining in the service of nmap

Как найти максимальное количество портов за минимальное количество

запросов?

Page 7: Data mining for nmap acceleration

Data Mining in the service of nmapInternet Census 2012

● http://internetcensus2012.bitbucket.org● 420K взломанных домашних маршрутизаторов (пароли по

умолчанию)● Просканировали весь интернет!● Dataset: 9TB of raw logfiles (500Gb in zpaq)

http://internetcensus2012.bitbucket.org/paper.html
http://internetcensus2012.bitbucket.org/paper.html
Page 8: Data mining for nmap acceleration
Page 9: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● На основе данных о всех хостах в интернете строим оракул, который будет предсказывать наиболее вероятные порты

● Идея очень проста: порты не встречаются сами по себе, они встречаются группами, так давайте хранить не список самых вероятных портов, а список самых вероятных групп

Page 10: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● По сути группы соответствуют различным классам сетевых устройств/сервисов

● Если нашли открытые порты X,Y и закрытый Z, то вероятнее всего будут открыты порты из групп где есть порты X или Y, и нет Z

Page 11: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● Сначала мы пытались применить всякие умные алгоритмы и machine learning, делая вид, что умеем это

● Но дерево решений для сканирования будет экспоненциального размера, значит, его построение тоже экспоненциально

● Алгоритмы классификации не в тему

Page 12: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● Что ещё можно? Можно пробовать кластеризовать результаты скана и получить классы сервисов (“сайт”, “циска”, “винда”, …)

● Проблема: в датасете интернет-скана много NAT-узлов, отравляющих обучение

● Проблема: в датасете много зафаерволенных хостов, в которых виден только порт 80

Page 13: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● Для кластеризации нужно метрическое пространство● Можно взять какой-нибудь simhash, или можно взять длину

LCS, которая динамически вычисляется за произведение длин последовательностей

● Но у нас около 10^7 уникальных последовательностей, а подходящая кластеризация работает не лучше чем за квадрат

● К тому же из NAT-последовательностей надо вычленять разумные подпоследовательности портов

Page 14: Data mining for nmap acceleration

Data Mining in the service of nmapМетодика

● Keep It Simple, Stupid!● Давайте просто сортировать статистику =)● В качестве базовой статистики, по которой начинаем

сканировать без предварительных знаний, для начала возьмём топ портов

Page 15: Data mining for nmap acceleration

Data Mining in the service of nmapСколько открытых портов в интернете?

Page 16: Data mining for nmap acceleration

Data Mining in the service of nmapTOP13 самых встречаемых групп

Page 17: Data mining for nmap acceleration

Data Mining in the service of nmapTOP13 самых встречаемых групп

Page 18: Data mining for nmap acceleration

Data Mining in the service of nmapЧем плох NMap?

● Чем плох NMap? Много чем, там много наследия прошлого● Главное - он медленный● По умолчанию NMap сканит по топу портов (4243 порта),

при полном наборе сканит случайным образом

Page 19: Data mining for nmap acceleration

Data Mining in the service of nmapРезультаты

● Пока что с лобовым алгоритмом и предварительной статой уже получилось ускорение на 42% относительно NMap

● Статистику измеряли путём имитации сканирования● При этом сравнивалось, за какое количество запросов наш

алгоритм находит столько же портов, сколько всего нашёл NMap (по умолчанию он не ищет дальше своего топа)

Page 20: Data mining for nmap acceleration

Data Mining in the service of nmapРезультаты

Page 21: Data mining for nmap acceleration

Data Mining in the service of nmapПланы на будущее

● Патч для nmap, изменяемая стратегия сканирования● Данные по интранету (внутренние пентесты)● Компактный словарь

(сейчас 150Мб и самый полный 666Мб)● Более точная кластеризация на основе данных протокола

(Тип сервиса, версия, ОС и т.д.)● ...

Page 22: Data mining for nmap acceleration

Data Mining in the service of nmapВопросы

[email protected]

[email protected]

mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]

09. NMap [Iniciacion Al Port Scanning]

Practica 3 nmap entregable

SeguridadRedes(Pruebas NMAP en Knoppix)

Genial 112 pags uso de nmap en linux consola manual oficial gobierno-207920199-guia-avanzada-nmap

Port Scanning (NMAP)

Ping, Nmap y Nessus

Huong Dan Su Dung Nmap

Examinando redes com Nmap

Que es y como usar nmap

[kmasecurity.net] - Nmap

Nmap Basics

Network Mapper (NMAP)

CIS 700/002 : Special Topics : NMap · Introduction to NMap • Nmap: A free and open source utility for network discovery and security auditing • Nmap can check – what hosts

Nmap - Mapeador de Redes

Praktikum 4 - nmap dan hping

Perintah-perintah Di Nmap

Tutorial. Nmap IndiceEscanear nuestra Ip-----pag11 Programar nmap-----pag12. Introducción a Nmap Nmap (‘Network Mapper’), es una herramienta open source, diseñada para explorar

NOMBRE SINOPSIS nmap especificación de objetivo · 2018. 10. 2. · NMAP(1) [FIXME: manual] NMAP(1) NOMBRE nmap − Herramienta de exploración de redes y de sondeo de seguridad

guía avanzada de nmap

Nmap, the free scanner

Automatizando o Nmap com NSE

Hping dan nmap

Lapres nmap & hping

EJECUCION NMAP

Unbalanced Forces. Acceleration Lab I : Acceleration Lab II :

Nmap - Scanning the Internet

Temel Nmap Kullanımı

1-D Constant Acceleration Review Why constant acceleration? Constant acceleration equations. Example 1 - runway. Problem solving strategy. Example 2 -

Pruebas de penetración nmap

Guia Avanzada Nmap

Nmap Kullanım Kitapçığı

Understanding NMAP

52374874 Tutorial Nmap

Nmap ve Nessus

Automatizando Nmap com NSE