Security Forum Usenet Archiv Mailing List Archive  
IDS Firewall Honeypot Honeynet Web Security Linux Security Microsoft Security Virus - Wurm Backdoors - Trojaner Links
I-EYE Security Exploits Security Dokumentationen Security Online Scanner Security Scanner Security Tools Trojaner Portliste Impressum

ngrep als IDS






Beschreibung
Ngrep ist an sich kein IDS Programm, aber es ist möglich dieses als solches zu benutzen. Ngrep lauscht an einem Netzwerkinterface und vergleicht die Daten aus dem Datenpaketen mit dem von Benutzer eingegebenen Suchstring. Das bedeutet wenn wir wissen wollen in welchen Paketen und damit auch Verbindungen was Wort “exploit“ vorkommt, dann kann man mit Hilfe von ngrep die entsprechenden Pakete abfangen und zu späteren Analyse in eine Datei speichern.

Installation
Ngrep baut wie die meisten Netzwerktools unter Linux auf der libpcap Bibliothek auf. Sollte ngrep nicht als Bestandteil Ihrer Distribution schon installiert worden sein, können Sie es von der Entwickler Homepage herunterladen und auf Ihrem System installieren.
Sie finden das Programm unter http://ngrep.sourceforge.net .
Nachdem Sie die Datei entpackt haben können sie das Programm kompilieren und installieren.

./configure
make
make install

Fertig!

Übergabeparameter
Wenn Sie in der Shell ngrep mit dem Parameter –h eingeben werden Sie die kompletten von ngrep akzeptierten Parameter bekommen.

usage: ngrep <-hXViwqpevxlDtT> <-IO pcap_dump> <-n num> <-d dev> <-A num>
                <-s snaplen> <-S limitlen> <match expression>
                <bpf filter>

Hier sind die wichtigsten und die interessantesten Parameter.
-A5  Nachdem ein Suchstring gefunden wurde, sollen 5 weitere Pakete gesammelt werden.
-O Dateiname  Name der Datei in die alles geloggt werden soll.
-i  Die Groß- und Kleinschreibung wird ignoriert.
-v  Invertierung. Alles außer die Pakete in denen ein Suchstring gefunden wurde.


Anwendung als IDS
Nehmen wir einmal an das auf einem Server ständige fehlerhafte Einloggversuche existieren. So ist es ein leichtes mit dem Programm ngrep sämtliche Einloggversuche in eine Datei mit zuloggen um später zu erfahren welche Benutzernamen und Passwörter ausprobiert wurden.
Mit dem folgenden Kommando werden alle die Datenpakete angezeigt in denen das Wort USER oder PASS vorkommen.
ngrep -q 'USER|PASS'

Auswertung der Logdatei

T 217.2.250.190:1026 -> 213.13.10.156:21 [AP]
 USER root..

T 217.2.250.190:1026 -> 213.13.10.156:21 [AP]
 PASS geheim..

T 195.117.250.70:1960 -> 213.13.10.156:21 [AP]
 USER anonymous..

T 195.117.250.70:1960 -> 213.13.10.156:21 [AP]
 PASS IEUser@..

T 195.117.250.70:1961 -> 213.13.10.156:21 [AP]
 USER anonymous..

T 195.117.250.70:1961 -> 213.13.10.156:21 [AP]
 PASS IEUser@..

T 195.117.250.70:1962 -> 213.13.10.156:21 [AP]
 USER anonymous..

T 195.117.250.70:1962 -> 213.13.10.156:21 [AP]
 PASS IEUser@..

Wie man hier deutlich sehen kann, werden alle Verbindungen zur dem Port 21 aufgenommen. Bei den ersten beiden Einträgen von der IP 217.2.250.190 wird als Benutzername root und als Passwort geheim eingegeben. Bei den letzten vier Eintragungen wird ein Standart Benutzereingaben von Internet Explorer benutzt.