За грань netflow: что получается, если отказаться от ограничений
Здравствуй, Хабр! Уже как 4 года я веду свой небольшой pet-проект в области netflow и его практического применения, и вот сейчас решил поделиться своими результатами. Эта история началась снежным московским днём, когда один уважаемый коллега поделился следующий новостью: ребята прочитали научную публикацию, провели свои эксперименты и написали статью на Хабр. У обеих работ были схожие выводы: определённые вредоносные воздействия, такие как DDoS или сканирования, обнаруживаются с весьма высокой точностью, но что-то менее "грубое" обнаружить уже сложно. Ребята, благодарю вас, что вы мне рассказали про данные штуки! Это стало отправной точкой для моего исследования.
Можно ли не поднимаясь выше транспортного уровня ЭМВОС по данным netflow в сетевом трафике обнаруживать работу определённого приложения, ВПО или применение инструментов redteam? Да, можно! Но есть нюансы. Что у меня получилось будет изложено в этой статье.
Читать далееИсточник: Хабрахабр
Похожие новости
- Шутка на миллион. Когда мемы запускают реальные продажи
- Самые быстрорастущие Instagram*-аккаунты в России за первое полугодие 2025 года
- Отвертка, схема, два патч-корда: командировочные будни сетевого инженера
- «Срочно требуется твоя помощь: войди в мой iCloud»
- Авторизация OAuth 2.0 в PostgreSQL на примере Keycloak
- LNK- и BAT-файлы: фишинговая рассылка
- Стандартизация безопасной разработки: теория и практика
- Строим безопасность, которая работает на бизнес: опыт Dodo Pizza
- (Не) безопасный дайджест: бабушка-хакер, псевдо-ТП и клондайк краденных кредов
- Использование LLM в Access Management на примере OpenAM и Spring AI