За грань netflow: что получается, если отказаться от ограничений

Все блоги / Про интернет 9 января 2025 97   

Здравствуй, Хабр! Уже как 4 года я веду свой небольшой pet-проект в области netflow и его практического применения, и вот сейчас решил поделиться своими результатами. Эта история началась снежным московским днём, когда один уважаемый коллега поделился следующий новостью: ребята прочитали научную публикацию, провели свои эксперименты и написали статью на Хабр. У обеих работ были схожие выводы: определённые вредоносные воздействия, такие как DDoS или сканирования, обнаруживаются с весьма высокой точностью, но что-то менее "грубое" обнаружить уже сложно. Ребята, благодарю вас, что вы мне рассказали про данные штуки! Это стало отправной точкой для моего исследования.

Можно ли не поднимаясь выше транспортного уровня ЭМВОС по данным netflow в сетевом трафике обнаруживать работу определённого приложения, ВПО или применение инструментов redteam? Да, можно! Но есть нюансы. Что у меня получилось будет изложено в этой статье.

Читать далее
  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Архив публикаций