Time Based Identification of Web Attackers המעבדה לאבטחת מידע המעבדה לאבטחת מידע סמסטר חורף תשס " ט הטכניון מנחים: עמיחי שולמן אלדד שי מבצעים: גליה סימנובסקי.

Slides:

Advertisements

Similar presentations

ממיבחניםC שאלות ++.

Advertisements

1 Formal Specifications for Complex Systems (236368) Tutorial #4 Refinement in Z: data refinement; operations refinement; their combinations.

Pointers הרצאה קריטית. השאלות הפתוחות מה זה ה- & שמופיע ב scanf מדוע כשמעבירים מחרוזת ל scanf אין צורך ב & האם ניתן להכריז על מערך שגדלו אינו ידוע בתחילת.

מערכות הפעלה ( אביב 2008) חגית עטיה © 1 מערכות קבצים מבוזרות  מבוא : שקיפות ושמירת מצב.  דוגמה : Network File System.

מכונת מצבים תרגול מס' 4 Moshe Malka.

פעולות מילון Insert, Delete, Search Binary Search Tree, AVL, 2-3 Tree, Skip List O(log n) האם יש מבנה עם סבוכיות (1)O? לא למפתח כלשהו.

Linux Embedded Distribution סמסטר חורף תשס"ב הפקולטה להנדסת חשמל המעבדה לתוכנה מבצעים: מיכאל זיסמן אדוארד אסטרין מנחה : גלב נטפוב.

דוד שוורץ, עידן זק, נטע צור וחיה כהן. הפונקציונאליות : המשתמש יבחר קובץ שעליו הוא רוצה לבצע את האנליזה, וילחץ עליו עם כפתור ימני בעכבר. יפתח תפריט ובו.

חורף - תשס " ג DBMS, Design1 שימור תלויות אינטואיציה : כל תלות פונקציונלית שהתקיימה בסכמה המקורית מתקיימת גם בסכמה המפורקת. מטרה : כאשר מעדכנים.

מערכות הפעלה ( אביב 2004) חגית עטיה © 1 מערכות קבצים מבוזרות  מבוא : שקיפות ושמירת מצב.  דוגמה : Network File System.

שאלות חזרה לבחינה. שאלה דיסקים אופטיים מסוג WORM (write-once-read-many) משמשים חברות לצורך איחסון כמויות גדולות של מידע באופן קבוע ומבלי שניתן לשנותו.

Power Consumption Awareness by using a Pedometer המעבדה לרשתות מחשבים המעבדה לרשתות מחשבים סמסטר אביב תשס " ח סמסטר אביב תשס " ח מנחים: איתי דברן – המעבדה.

מה החומר למבחן ? כל החומר שנלמד בהרצאות ובתרגולים. לגבי backtracking: לא תידרשו לממש אלגוריתם, אך כן להבין או להשלים מימוש נתון. אחת משאלות המבחן מבוססת.

מערכות הפעלה ( אביב 2009) חגית עטיה © 1 אפליקציות שרת - לקוח  פרדיגמת שרת לקוח  מושג ה socket  מבנה שרת - לקוח  קצת יותר על רשתות.

הכנת המצגת: מוטי בן ארי ומיכל סמואל המחלקה להוראת המדעים, מכון ויצמן למדע ©

חורף - תשס " ג DBMS, צורות נורמליות 1 צורה נורמלית שלישית - 3NF הגדרה : תהי R סכמה רלציונית ותהי F קבוצת תלויות פונקציונליות מעל R. R היא ב -3NF.

מבנה כללי של דוח הסיור. רקע כללי והצגת מטרות העבודה ושאלת המחקר.

1 Formal Specifications for Complex Systems (236368) Tutorial #5 Refinement in Z: data refinement; operations refinement; their combinations.

מסדי נתונים תשס " ג 1 תכנון סכמות – אלגוריתם פירוק לתבניות בצורת BCNF מסדי נתונים.

שאילת שאלות שאלת חקר המפתח למנעול 1. שאילת שאלות – שאלת חקר מה ניתן לשנות ? :  בתנאים : טמפ ' או לחץ או הכלים, או הציוד  בחומרים : איכות או כמות או.

Formal Specifications for Complex Systems (236368) Tutorial #6 appendix Statecharts vs. Raphsody 7 (theory vs. practice)

דוד שוורץ, עידן זק, נטע צור וחיה כהן. הפונקציונאליות:  המשתמש בוחר קובץ שעליו הוא רוצה לבצע את האנליזה, ולוחץ עליו עם כפתור ימני בעכבר.  נפתח תפריט.

מנפה שגיאות - DEBUGGER מבוא למדעי המחשב (234114) רועי מלמד

ספריה וירטואלית בטכנולוגית J2EE הטכניון – מכון טכנולוגי לישראל הפקולטה להנדסת חשמל המעבדה למערכות תוכנה עזרן אייל טרבלסי אורדן סמסטר חורף תשס " ד מנחה.

מערכות הפעלה ( אביב 2009) חגית עטיה ©1 מערכת קבצים log-structured  ה log הוא העותק היחיד של הנתונים  כאשר משנים בלוק (data, header) פשוט כותבים את הבלוק.

מודל ONLINE לומדמורה 1. כל ניתן לחישוב בזמן פולינומיאלי 2. אחרי מספר פולינומיאלי של טעיות ( ) הלומד לא טועה ז"א שווה ל- Littlestone 1988.

01/01/01 אמיר ווינשטוק עירן חוף שקופית מס ’ 1 מימוש ובדיקת אלגוריתם ללמידה ע"י חיזוקים עבור רובוט המשחק הוקי - אויר : מגישים עירן חוף אמיר ווינשטוק : מנחה.

פרויקט שנתי במערכות מידע /6

ערכים עצמיים בשיטות נומריות. משוואה אופינית X מציין וקטור עצמי מציינת ערך עצמי תואם לוקטור.

אביב תשס " ה JCT תיכון תוכנה ד " ר ר ' גלנט / י ' לויאןכל הזכויות שמורות 1 פרק 11 Statecharts תכונות מתקדמות.

Galileo Navigation System Software Systems lab Software Systems lab סמסטר חורף תשס " ט סמסטר חורף תשס " ט מנחה: ולדימיר זדורנוב משה חיות מבצעים: גליה סימנובסקי.

1 Data Structures, CS, TAU, Perfect Hashing בעיה: נתונה קבוצה S של n מפתחות מתחום U השוואה ל- Hash : * טבלה קבועה (Hash רגיל - דינאמי) * רוצים זמן קבוע.

משטר דינמי – © Dima Elenbogen :14. הגדרת cd ו -pd cd - הזמן שעובר בין הרגע שראשון אותות הכניסה יוצא מתחום לוגי עד אשר אות המוצא יוצא מתחום.

עקרון ההכלה וההדחה.

מערכות הפעלה ( אביב 2006) חגית עטיה © 1 סיכום הקורס.

הוספת תקשורת ל - [ תפקידי רוחב בצוות ]. ארכיטקטורת תקשורת מה מבנה האפליקציה ? באילו טכנולוגיות \ ספריות השתמשתם ? מדוע ?

מבוא למדעי המחשב, סמסטר א ', תשע " א תרגול מס ' 1 נושאים  הכרת הקורס  פסאודו - קוד / אלגוריתם 1.

Global Motion Estimation קורס : מבוא לעיבוד מקבילי מרצה: דר' גיא תל צור מגישים: גלעד נרקיס אייר רום אייר רום קבוצה: pp3.

1 By Yuval Sittin & Shay Schlafman Technion 2 יעדי הפרוייקט בנית כלי תקשורת רב-תכליתי בדגש על פשטות הפעלה. הכרת השלבים בתכנון פרויקט תוכנה. לימוד שפת.

A. Frank File Organization Hardware Size Parameters.

1 Spring Semester 2007, Dept. of Computer Science, Technion Internet Networking recitation #3 Internet Control Message Protocol (ICMP)

מה היום ? - - חזרה מהירה. - קריאה וכתיבה לקבצים. - בניית תוכנית כתיבה low-level - בניית ערוץ גלובלי והדגמה מול חומרה - low-level DAQ, פולימורפיזם וטריגר.

1 מבוא למדעי המחשב סיבוכיות. 2 סיבוכיות - מוטיבציה סידרת פיבונאצ'י: long fibonacci (int n) { if (n == 1 || n == 2) return 1; else return (fibonacci(n-1)

Safari On-line books. מה זה ספארי ספארי זו ספריה וירטואלית בנושא מחשבים היא כוללת יותר מ כותרים כל הספרים הם בטקסט מלא ניתן לחפש ספר בנושא מסוים.

Points on a perimeter (Convex Hull) קורס – מבוא לעבוד מקבילי מבצעים – אריאל פנדלר יאיר ברעם.

1 Space Complexity Non-Deterministic Space אליעזר מדבד

Interpolation Functions in Matlab By Dmitriy Katsif.

WEB OF SCIENCE. WEB OF SCIENCE  Science Citation Index ExpandedTM  Social Sciences Citation Index®  Art & Humanities Citation Index®

- אמיר רובינשטיין מיונים - Sorting משפט : חסם תחתון על מיון ( המבוסס על השוואות בלבד ) של n מפתחות הינו Ω(nlogn) במקרה הגרוע ובממוצע. ניתן לפעמים.

מטא-מודלים Metamodels. מטא-מודל - דגשים לפתרון לקרוא את הכל – זה ארוך אבל הכל נמצא בפנים ! להסתכל על התרשימים הויזואליים ולראות מה מזהים. לקשר בין התמונה.

פיתוח מערכות מידע Class diagrams Aggregation, Composition and Generalization.

הטכניון - מכון טכנולוגי לישראל המעבדה למערכות ספרתיות מהירות הפקולטה להנדסת חשמל שם הפרויקט : חיבור מצלמת וידאו אל PC דרך DSP מגישים : ירובוי בוריס

Yaron Doweck Yael Einziger Supervisor: Mike Sumszyk 1.

The replication or duplication of DNA depends on one main idea, namely that the nitrogen bases of the nucleotides are complementary to each other on opposite.

הרצאה 1 מסחר אלקטרוני ובסיסי נתונים. דרישות הקורס  ציון הקורס יינתן על תרגילים ופרויקט ( אין מבחן )  תרגילים 1-8 ביחד 40% (5 % כל אחד )  תרגיל 9 10%

Visual Studio Team System Visual Studio Team System הילה להב רייס מנהלת תחום Life Cycle Management מנהלת תחום Life Cycle

Contents Building Web Services כתב אקת'ם חאג' יחיא BuildingWeb Services Building Web Services

מבנה נתונים ואלגוריתמים ) לשעבר - עיבוד מידע( ד"ר אבי רוזנפלד ד"ר אריאלה ריכרדסון.

דוח אמצע סמסטר אביב תשס"ב 2002 שם הפרויקט :סביבת בדיקה ל PCIX PCIX environment מנחה : איתי אדר מגישים : שמיל ניסימוב גוילי יואב הטכניון.

קצת היסטוריה 1981דיווח ראשון על תסמונת כשל חיסוני נרכש בקרב מספר הומוסקסואלים. 1981דיווח על ביטויים שונים של איידס בקרב מזריקי סמים, חולי המופיליה, מקבלי.

© Keren Kalif JDBC קרן כליף.

XML מבוא כללי MCSD Doron Amir

מבוא למדעי המחשב סיבוכיות.

תקשורת ומחשוב תרגול 1 IP, Classes and Masks.

עבודה עם נתונים באמצעות ADO.NET

© Keren Kalif Servlet קרן כליף.

קצוות תמונה Edge Detection

תקשורת ומחשוב תרגול סוקטים.

תזכורת על מה דיברנו שיעור שעבר? בנינו אתר אינטרנט עם כותרות

עבודה מול שרת המצגות – Win XP

Presentation transcript:

Time Based Identification of Web Attackers המעבדה לאבטחת מידע המעבדה לאבטחת מידע סמסטר חורף תשס " ט הטכניון מנחים: עמיחי שולמן אלדד שי מבצעים: גליה סימנובסקי אדוארד סינלניקוב

מבוא TCP/IP  לחיצת יד משולשת  מודל השכבות: לחיצת יד משולשת

מוטיבציה לפרויקט  האם ההתקפה עברה דרך proxy? התקפה נגד אפליקציית Web התקפה נגד אפליקציית Web מי עומד מאחורי ההתקפה ? מי עומד מאחורי ההתקפה ? בדר " כ נעשה שימוש Proxy Server Anonymous להעלמת כתובת ה -IP. בדר " כ נעשה שימוש Proxy Server Anonymous להעלמת כתובת ה -IP. כדי לגלות את התוקף האמיתי – כדי לגלות את התוקף האמיתי – עלינו לדעת להגיד האם הבקשה הגיעה דרך Proxy או לא.

הגדרת הפרויקט ומטרותיו  נושא הפרויקט :  Time Based Identification of Web Attackers.  מטרות הפרויקט :  איסוף מידע של בקשות לדפי HTML לפי גרסת HTTP/עבר Proxy?/גודל דף.  יצירת כלי גנרי שנוח לעבד איתו את המידע ולמדוד את זמני הבקשה והתגובה.  אלגוריתם לזיהוי האם הבקשה עברה דרך Proxy על-סמך מדידות הזמנים.  מתודולוגיה : שפת C#,.NET Frame 2 שפת C#,.NET Frame 2

שלבי הפרויקט שלב א ': הקמת סביבת הניסוי. שלב א ': הקמת סביבת הניסוי. שלב ב ': איסוף נתונים. שלב ב ': איסוף נתונים. שלב ג ': אנליזה של המידע. שלב ג ': אנליזה של המידע. שלב ד ': אלגוריתמים לזיהוי האם עבר דרך Proxy? שלב ד ': אלגוריתמים לזיהוי האם עבר דרך Proxy?או ?

שלב א ' – הקמת סביבת ניסוי שלב א ' – הקמת סביבת ניסוי יצירת דף HTML ( עם פרמטר לגודל ) שמכיל 2 תמונות. יצירת דף HTML ( עם פרמטר לגודל ) שמכיל 2 תמונות. על מכונה א ' - הקמת web server ( בלי caching)+ התקנת WireShark. על מכונה א ' - הקמת web server ( בלי caching)+ התקנת WireShark. על מכונה ב ' - הקמת Client. על מכונה ב ' - הקמת Client. איתור כתובות IP של Proxy- ים ממדינות ברחבי בעולם. איתור כתובות IP של Proxy- ים ממדינות ברחבי בעולם.

 סידרה של עשרות בקשות לפי הפרמטרים הבאים :  גודל דף ה -HTML המבוקש.  גירסת הפרוטוקול : http 1.0, http 1.1.  תקשורת ישירה בין ה -Client ל -Server.  תקשורת עקיפה בין ה -Client ל -Server דרך ה -Proxy.  מיקום ה -Proxy לפי המדינה בה נמצא. שלב ב ' – איסוף נתונים שלב ב ' – איסוף נתונים

 ניתוח הנתונים שאספנו כולל 3 בדיקות : הזמן שלוקח מה-first SYN ל- first data from server (הזמן מ-1 ל- 2) הזמן שלוקח מה –first data from server ל- first data second request from Client (הזמן מ-2 ל- 3) הזמן שלוקח מה -first data from server ל-first data third request from Client (הזמן מ-2 ל- 4). שלב ג ' – אנליזה של המידע שלב ג ' – אנליזה של המידע Client Proxy Server SYN SYN + ACK ACK + data Request Response With Html page 1 2 Request for image1.jpg Request for image2.jpg image1.jpg Image2.jpg 3 4

שלב ד ' – אלגוריתמים לזיהוי האם עבר דרך Proxy? שלב ד ' – אלגוריתמים לזיהוי האם עבר דרך Proxy? אלגוריתם ראשון – מבוסס על מדידות הזמנים : אלגוריתם ראשון – מבוסס על מדידות הזמנים :   מתקינים Sniffer על השרת + שמים תמונה בדף HTML.   מודדים זמני הגישה –   מדידה 1: הזמן מה - SYN הראשון לבין שליחת הדף מהשרת.   מדידה 2: הזמן משליחת הדף מהשרת לבקשת התמונה.   אם מדידה 1 << מדידה 2 יש מעבר דרך Proxy.   הרעיון מאחורי האלגוריתם :   בתעבורה ישירה - המדידה ה -1 קרובה למדידה ה -2.   בתעבורה עקיפה - המדידה ה -1 קטנה משמעותית מהמדידה ה -2. למה ? במדידה השנייה ישנו מעבר נוסף מה -proxy ל -Client ומה -Proxy לשרת. על - ידי השוואת זמנים בין מדידות נדע – האם היה מעבר דרך Proxy.

שלב ד ' – המשך   אלגוריתם שני :   יצירת סקריפט שמבצע פעמיים פתיחה וסגירה של חלון WEB, כך שמתבצעת פתיחת קשר כל פעם מחדש. מורץ באופן שקוף ללקוח בכל פעם שמבקש דף HTML.   האם היה פתיחת קשר עבור כל בקשת דף HTML ?   אם לא יש מעבר דרך ה -Proxy.   הרעיון מאחורי האלגוריתם : ה -Proxy פותח קשר פעם אחת בלבד מול ה -Server בתחילת כל session של מס ' בקשות, ל -Client אין יכולת שליטה על כך. אם היו פתיחות קשר בכל בקשה לדף נדע בוודאות : מדובר בבקשה שהגיעה מה -Client ישירות ולא דרך Proxy.

מבנה התוכנה - Proxy_detector כללי : התוכנה משמשת לזיהוי משתמשים דרך proxy. כללי : התוכנה משמשת לזיהוי משתמשים דרך proxy. קלט : התוכנה מקבלת כקלט קובץ מסוג *.pcap. קלט : התוכנה מקבלת כקלט קובץ מסוג *.pcap. פלט : פלט : 1. קובץ CSV המכיל זמני מדידות וכן את סוג הבדיקה. 2. ממוצע זמני מדידות ל -session של כמה עשרות פניות. 3. הרצת האלגוריתמים ובדיקת נכונותם. התוכנה מחולקת לשישה חלקים : התוכנה מחולקת לשישה חלקים :  קריאת הקובץ וניתוח ה -header הראשי.  קריאת מידע מהקובץ, ניתוח מידע זה ויצירת packet- ים.  ניתוח הזמנים של ה -packet- ים.  כתיבת הסטטיסטיקה לקובץ csv.  חישוב ממוצעים של הבדיקות לפי session.  הרצת האלגורתמים שהוצגו בשלב ד '.

מבט על ה -GUI מבט על ה -GUI ממוצע הזמנים של המדידה האחרונה האם הלקוח עבר דרך Proxy? כפתור הפעלה – בחירת קובץ ההרצה מה מנבא כל אלגוריתם האם אלגוריתם צדק?

פלט לדוגמא

שאלות ? תודה.