1. Time Based Identification of Web Attackers המעבדה לאבטחת מידע המעבדה לאבטחת מידע סמסטר חורף תשס " ט הטכניון מנחים: עמיחי שולמן אלדד שי מבצעים: גליה סימנובסקי אדוארד סינלניקוב

2. מבוא TCP/IP  לחיצת יד משולשת  מודל השכבות: לחיצת יד משולשת

3. מוטיבציה לפרויקט  האם ההתקפה עברה דרך proxy? התקפה נגד אפליקציית Web התקפה נגד אפליקציית Web מי עומד מאחורי ההתקפה ? מי עומד מאחורי ההתקפה ? בדר " כ נעשה שימוש Proxy Server Anonymous להעלמת כתובת ה -IP. בדר " כ נעשה שימוש Proxy Server Anonymous להעלמת כתובת ה -IP. כדי לגלות את התוקף האמיתי – כדי לגלות את התוקף האמיתי – עלינו לדעת להגיד האם הבקשה הגיעה דרך Proxy או לא.

4. הגדרת הפרויקט ומטרותיו  נושא הפרויקט :  Time Based Identification of Web Attackers.  מטרות הפרויקט :  איסוף מידע של בקשות לדפי HTML לפי גרסת HTTP/עבר Proxy?/גודל דף.  יצירת כלי גנרי שנוח לעבד איתו את המידע ולמדוד את זמני הבקשה והתגובה.  אלגוריתם לזיהוי האם הבקשה עברה דרך Proxy על-סמך מדידות הזמנים.  מתודולוגיה : שפת C#,.NET Frame 2 שפת C#,.NET Frame 2

5. שלבי הפרויקט שלב א ': הקמת סביבת הניסוי. שלב א ': הקמת סביבת הניסוי. שלב ב ': איסוף נתונים. שלב ב ': איסוף נתונים. שלב ג ': אנליזה של המידע. שלב ג ': אנליזה של המידע. שלב ד ': אלגוריתמים לזיהוי האם עבר דרך Proxy? שלב ד ': אלגוריתמים לזיהוי האם עבר דרך Proxy?או ?

6. שלב א ' – הקמת סביבת ניסוי שלב א ' – הקמת סביבת ניסוי יצירת דף HTML ( עם פרמטר לגודל ) שמכיל 2 תמונות. יצירת דף HTML ( עם פרמטר לגודל ) שמכיל 2 תמונות. על מכונה א ' - הקמת web server ( בלי caching)+ התקנת WireShark. על מכונה א ' - הקמת web server ( בלי caching)+ התקנת WireShark. על מכונה ב ' - הקמת Client. על מכונה ב ' - הקמת Client. איתור כתובות IP של Proxy- ים ממדינות ברחבי בעולם. איתור כתובות IP של Proxy- ים ממדינות ברחבי בעולם.

7.  סידרה של עשרות בקשות לפי הפרמטרים הבאים :  גודל דף ה -HTML המבוקש.  גירסת הפרוטוקול : http 1.0, http 1.1.  תקשורת ישירה בין ה -Client ל -Server.  תקשורת עקיפה בין ה -Client ל -Server דרך ה -Proxy.  מיקום ה -Proxy לפי המדינה בה נמצא. שלב ב ' – איסוף נתונים שלב ב ' – איסוף נתונים

8.  ניתוח הנתונים שאספנו כולל 3 בדיקות : 1. 1. הזמן שלוקח מה-first SYN ל- first data from server (הזמן מ-1 ל- 2). 2. 2. הזמן שלוקח מה –first data from server ל- first data second request from Client (הזמן מ-2 ל- 3). 3. 3. הזמן שלוקח מה -first data from server ל-first data third request from Client (הזמן מ-2 ל- 4). שלב ג ' – אנליזה של המידע שלב ג ' – אנליזה של המידע Client Proxy Server SYN SYN + ACK ACK + data Request Response With Html page 1 2 Request for image1.jpg Request for image2.jpg image1.jpg Image2.jpg 3 4

9. שלב ד ' – אלגוריתמים לזיהוי האם עבר דרך Proxy? שלב ד ' – אלגוריתמים לזיהוי האם עבר דרך Proxy? אלגוריתם ראשון – מבוסס על מדידות הזמנים : אלגוריתם ראשון – מבוסס על מדידות הזמנים :   מתקינים Sniffer על השרת + שמים תמונה בדף HTML.   מודדים זמני הגישה –   מדידה 1: הזמן מה - SYN הראשון לבין שליחת הדף מהשרת.   מדידה 2: הזמן משליחת הדף מהשרת לבקשת התמונה.   אם מדידה 1 << מדידה 2 יש מעבר דרך Proxy.   הרעיון מאחורי האלגוריתם :   בתעבורה ישירה - המדידה ה -1 קרובה למדידה ה -2.   בתעבורה עקיפה - המדידה ה -1 קטנה משמעותית מהמדידה ה -2. למה ? במדידה השנייה ישנו מעבר נוסף מה -proxy ל -Client ומה -Proxy לשרת. על - ידי השוואת זמנים בין מדידות נדע – האם היה מעבר דרך Proxy.

10. שלב ד ' – המשך   אלגוריתם שני :   יצירת סקריפט שמבצע פעמיים פתיחה וסגירה של חלון WEB, כך שמתבצעת פתיחת קשר כל פעם מחדש. מורץ באופן שקוף ללקוח בכל פעם שמבקש דף HTML.   האם היה פתיחת קשר עבור כל בקשת דף HTML ?   אם לא יש מעבר דרך ה -Proxy.   הרעיון מאחורי האלגוריתם : ה -Proxy פותח קשר פעם אחת בלבד מול ה -Server בתחילת כל session של מס ' בקשות, ל -Client אין יכולת שליטה על כך. אם היו פתיחות קשר בכל בקשה לדף נדע בוודאות : מדובר בבקשה שהגיעה מה -Client ישירות ולא דרך Proxy.

11. מבנה התוכנה - Proxy_detector כללי : התוכנה משמשת לזיהוי משתמשים דרך proxy. כללי : התוכנה משמשת לזיהוי משתמשים דרך proxy. קלט : התוכנה מקבלת כקלט קובץ מסוג *.pcap. קלט : התוכנה מקבלת כקלט קובץ מסוג *.pcap. פלט : פלט : 1. קובץ CSV המכיל זמני מדידות וכן את סוג הבדיקה. 2. ממוצע זמני מדידות ל -session של כמה עשרות פניות. 3. הרצת האלגוריתמים ובדיקת נכונותם. התוכנה מחולקת לשישה חלקים : התוכנה מחולקת לשישה חלקים :  קריאת הקובץ וניתוח ה -header הראשי.  קריאת מידע מהקובץ, ניתוח מידע זה ויצירת packet- ים.  ניתוח הזמנים של ה -packet- ים.  כתיבת הסטטיסטיקה לקובץ csv.  חישוב ממוצעים של הבדיקות לפי session.  הרצת האלגורתמים שהוצגו בשלב ד '.

12. מבט על ה -GUI מבט על ה -GUI ממוצע הזמנים של המדידה האחרונה האם הלקוח עבר דרך Proxy? כפתור הפעלה – בחירת קובץ ההרצה מה מנבא כל אלגוריתם האם אלגוריתם צדק?

13. פלט לדוגמא

14. שאלות ? תודה.