จาก keeplog.org มีแนวคิดสนุกๆ เพื่อเสริมสร้างให้เกิดนักสืบทางไอที
แบบทดสอบการวิเคราะห์ Log สำหรับระบบเครือข่าย โดยต้องหาคำตอบให้ได้ว่าใครเป็นผู้บุกรุกระบบ และบุกรุกด้วยวิธีการใด รายละเอียดลองมาดูกัน
โจทย์:
สมาชิกจากทีม South Florida Honeynet ได้ทำการสแกนพอร์ต 5 วิธีด้วยกันจากอินเทอร์เน็ตไปที่ honeypot ตัวหนึ่ง ซึ่งไม่ใช่การสแกนพอร์ตเพื่อตรวจจับจาก the wild (โฮสต์ต่างๆ ที่อยู่นอกระบบเน็ตเวิร์กของเราซึ่งเราไม่รู้จัก) ในขณะที่สแกนแต่ละครั้ง ระบบตรวจจับการบุกรุก(NIDS) ของเราตรวจจับการสแกนแต่ละครั้งและบันทึกลงใน binary log file เราใช้ snort ในการตรวจจับการสแกนในรูปแบบ tcpdump (note: tcpdump และ snort ใช้ไลบรารี่ชื่อ libpcap ในการจับและบันทึกแพกเก็ตจากตัวส่งสัญญาณ) คุณสามารถเรียนรู้เกี่ยวกับเทคโนโลยีการตรวจจับแพกเก็ตเพื่อใช้ในการตรวจจับ การสแกนพอร์ตในระหว่างการทำโจทย์ เราได้เตรียม link เพื่อช่วยให้คุณแก้โจทย์ได้ถูกทาง คุณสามารถที่จะถอดรหัส binary file ด้วย tcpdump หรือ ethereal ในการวิเคราะห์การสแกนแต่ละครั้ง เป้าหมายของคุณคือตอบคำถามจากโจทย์ของล่างให้ดีที่สุดเท่าที่คุณทำได้.
เครื่องมือที่สามารถใช้ในโจทย์นี้:
http://www.tcpdump.org (tcpdump and libpcap)
http://www.snort.org (snort, NIDS )
http://www.ethereal.com (ethereal)
http://www.gbtech.co.th/th/product (SRAN Technology)ดาวโหลด์ Binary file (sotm23.tar.gz):
Note: ตรวจสอบว่า binary file ก่อนที่จะแตกไฟล์ด้วย MD5 checksum จากข้างล่างนี้
MD5 (sotm23.tar.gz) = 9d28c5ee9ce7b77e3099a07ad303811f
คำถาม
1. Binary log file คืออะไรและสร้างขึ้นมาได้อย่างไร ?
2. MD5 คืออะไร และค่าที่เตรียมไว้คืออะไร ?
3. IP address ของผู้โจมตีคืออะไร ?
4. IP address ของปลายทางคืออะไร ?
5. เราได้สแกน the honeypot ด้วยกัน 5 วิธี คุณสามารถที่จะบอกการสแกนพอร์ตทั้ง 5 วิธีและอธิบายแต่ละวิธีได้หรือไม่ ?
6. เครื่องมือตัวไหนที่ใช้ในการสแกน honeypot คุณจะกำหนดได้อย่างไร ?
7. เป้าหมายของการสแกนพอร์ตคืออะไร ?
8. พอร์ตที่พบว่าเปิดอยู่ใน honeypot คืออะไร ?
9. ระบบปฏิบัติการที่ผู้โจมตีใช้คืออะไร ?
ร่วมสนุกกันใครวิเคราะห์ Log นี้ได้คำตอบอย่างไร บอกเล่าสู่กันผ่านช่อง comment หรือ Direct message มาที่ SRAN @ twiiter
คำตอบโดนใจ หางาน MSSP (Management Security Services Provider) ให้ทำ ..
