1. פרויקט באבטחה מגישים : מרינה יצינה 307046995 שי פרץ 03994428

2. מטרת הפרוייקט פיתוח מערכת שתאפשר לנתח בצורה נוחה את התקשורת המועברת דרך מחשבים המשמשים כ Honey Pots. פיתוח מערכת שתאפשר לנתח בצורה נוחה את התקשורת המועברת דרך מחשבים המשמשים כ Honey Pots. ניתוח כמויות גדולות של מידע בזמן אמת. ניתוח כמויות גדולות של מידע בזמן אמת. יכולת סינון של מידע לא רלוונטי. יכולת סינון של מידע לא רלוונטי.

3. מבנה המערכת תת מערכת שאוספת מידע תת מערכת שאוספת מידע אוספת קבצים שמכילים מידע על תעבורת רשת אוספת קבצים שמכילים מידע על תעבורת רשת מעבירה לתת המערכת שמציגה את המידע מעבירה לתת המערכת שמציגה את המידע תת מערכת שמציגה את המידע תת מערכת שמציגה את המידע מסננת את המידע שנאסף בהתאם לחוקי סינון מסננת את המידע שנאסף בהתאם לחוקי סינון החוקים מחלקים את המידע ל 3 רמות החוקים מחלקים את המידע ל 3 רמות תעבורה שאינה מהווה התקפה תעבורה שאינה מהווה התקפה תעבורה שמהווה התקפה ידועה תעבורה שמהווה התקפה ידועה תעבורה לא ידועה שיש לעבור עליה תעבורה לא ידועה שיש לעבור עליה מציגה את המידע המסונן מציגה את המידע המסונן

4. מבנה המערכת בחרנו לבנות את המערכת שלנו כאתר Web. בחרנו לבנות את המערכת שלנו כאתר Web. המערכת משתמשת בחוקי XSLT לסינון מידע. המערכת משתמשת בחוקי XSLT לסינון מידע. יתרונות : יתרונות : מאפשר גישה מכל מקום. מאפשר גישה מכל מקום. המידע נמצא בצורה מרוכזת בשרת מרוחק. המידע נמצא בצורה מרוכזת בשרת מרוחק. מאפשר התממשקות טבעית לתעבורת הרשת שנאספה. מאפשר התממשקות טבעית לתעבורת הרשת שנאספה. מאפשר התממשקות לחוקי XSLT. מאפשר התממשקות לחוקי XSLT. האתר מאפשר שחזור של בקשות get החשודות כהתקפות. האתר מאפשר שחזור של בקשות get החשודות כהתקפות.

5. סביבת עבודה EC2- סביבה של Cloud Computing של Amazon. EC2- סביבה של Cloud Computing של Amazon. הקמנו בסביבה זו 2 שרתים : הקמנו בסביבה זו 2 שרתים : שרת שמנטר אחר תעבורת רשת בעזרת WireShark. שרת שמנטר אחר תעבורת רשת בעזרת WireShark. שרת שמהווה שרת Web ומארח את האתר שלנו. שרת שמהווה שרת Web ומארח את האתר שלנו. יתרונות : יתרונות : ניתן לשמור Images של מצב המחשב ובכך לבצע גיבוי. ניתן לשמור Images של מצב המחשב ובכך לבצע גיבוי. אין חשש שהדבקה של וירוס תשבית את המערכת. אין חשש שהדבקה של וירוס תשבית את המערכת. חסרונות : חסרונות : איטי. איטי.

6. סביבת עבודה Tor- מספק יכולות של Anonymous Proxy. Tor- מספק יכולות של Anonymous Proxy. דרכו משתמשים שגולשים באתרים יכולים להסתיר את זהותם. דרכו משתמשים שגולשים באתרים יכולים להסתיר את זהותם. כלי זה משמש לעיתים קרובות פורצים והאקרים על מנת לתקוף אתרים לאסוף מידע וכו '. כלי זה משמש לעיתים קרובות פורצים והאקרים על מנת לתקוף אתרים לאסוף מידע וכו '. WireShark- מנטר את תעבורת הרשת. WireShark- מנטר את תעבורת הרשת. מנטר את התעבורה שעוברת דרך המחשב. מנטר את התעבורה שעוברת דרך המחשב. שומר את התעבורה המנוטרת לקבצי מידע. שומר את התעבורה המנוטרת לקבצי מידע.

7. מאפייני המערכת הצגת תעבורת הרשת. הצגת תעבורת הרשת. התעבורה מסוננת לפי החוקים הפעילים. התעבורה מסוננת לפי החוקים הפעילים. ניתן לבחור בין מספר תצורות הצגה שונות : ניתן לבחור בין מספר תצורות הצגה שונות : תעבורה שזוהתה ע " י חוקי סינון כהתקפה ידועה. תעבורה שזוהתה ע " י חוקי סינון כהתקפה ידועה. תעבורה לא ידועה. תעבורה לא ידועה. תעבורה שזוהתה כהתקפה ותעבורה לא ידועה יחד. תעבורה שזוהתה כהתקפה ותעבורה לא ידועה יחד.

8. מאפייני המערכת ניהול חוקי סינון ניהול חוקי סינון ניהול ב 2 רמות : ניהול ב 2 רמות : רמה גלובאלית - חוקים הפועלים על כל קבצי המידע. רמה גלובאלית - חוקים הפועלים על כל קבצי המידע. רמה לוקאלית – חוקים הפועלים על קובץ מידע מסויים. רמה לוקאלית – חוקים הפועלים על קובץ מידע מסויים. קביעת החוקים הפעילים. קביעת החוקים הפעילים. יצירה, מחיקה ועריכה של חוקים סינון. יצירה, מחיקה ועריכה של חוקים סינון. יצירה אוטומטית של חוק סינון מתוך קובץ מידע. יצירה אוטומטית של חוק סינון מתוך קובץ מידע.

9. Demo סרטון הדגמה סרטון הדגמה

10. Design קבצי המידע עלולים להיות גדולים. קבצי המידע עלולים להיות גדולים. להפעיל את אותם חוקי סינון על אותו קובץ זה יקר. להפעיל את אותם חוקי סינון על אותו קובץ זה יקר. אופטימיזציה של זמן גישה לקבצי המידע : אופטימיזציה של זמן גישה לקבצי המידע : בעת הצגת קובץ מידע בפעם הראשונה יופעלו עליו החוקים הפעילים. בעת הצגת קובץ מידע בפעם הראשונה יופעלו עליו החוקים הפעילים. לאחר הפעלת החוקים נוצר ונשמר קובץ XML זמני. לאחר הפעלת החוקים נוצר ונשמר קובץ XML זמני. בגישות הבאות נציג את המידע לפי קובץ ה XML. בגישות הבאות נציג את המידע לפי קובץ ה XML. שינויי של החוקים הפעילים או עריכה שלהם תמחק את ה XML ותגרום ליצירת קובץ חדש בגישה הבאה. שינויי של החוקים הפעילים או עריכה שלהם תמחק את ה XML ותגרום ליצירת קובץ חדש בגישה הבאה.

11. Design חוקי הסינון רשומים בעזרת XSLT חוקי הסינון רשומים בעזרת XSLT בעת יצירת חוק סינון חדש דרך האתר, נוצר קובץ XML שמכיל metadata לגבי החוק. בעת יצירת חוק סינון חדש דרך האתר, נוצר קובץ XML שמכיל metadata לגבי החוק. מקובץ XML זה נוצר חוק סינון XSLT. מקובץ XML זה נוצר חוק סינון XSLT. ניתן ליצור חוקים בצורה ידנית ולמקם תחת היררכיית הספריות. ניתן ליצור חוקים בצורה ידנית ולמקם תחת היררכיית הספריות. האתר יזהה ויפעיל חוקים אלה. האתר יזהה ויפעיל חוקים אלה.

12. Design ישנן 3 קטגוריות של חוקים : ישנן 3 קטגוריות של חוקים : חוקי Exclude- תעבורה שזיהינו כלא התקפה. חוקי Exclude- תעבורה שזיהינו כלא התקפה. אנו איננו מעוניים לראות או לשמור אותה. אנו איננו מעוניים לראות או לשמור אותה. שליחה תמונה, התכתבות ב chat וכו '... שליחה תמונה, התכתבות ב chat וכו '... חוקי Include- תעבורה שזיהינו כהתקפה ידועה. חוקי Include- תעבורה שזיהינו כהתקפה ידועה. תעבורה שאנו מעוניינים לשמור, אך לא תמיד מעוניינים לראות אותה. תעבורה שאנו מעוניינים לשמור, אך לא תמיד מעוניינים לראות אותה. Scrapping על אתרים של מילונים. Scrapping על אתרים של מילונים. חוקי Tagging- תעבורה שאנו מעוניינים לתייג. חוקי Tagging- תעבורה שאנו מעוניינים לתייג. תעבורה שאנו מעוניינים לשמור, לראות ולהפיק דו " חות. תעבורה שאנו מעוניינים לשמור, לראות ולהפיק דו " חות. אוטמטיזציה. אוטמטיזציה.

13. תוצאות במהלך שבוע וחצי אספנו 2 ג ' יגה של תעבורת רשת ברמת HTTP. במהלך שבוע וחצי אספנו 2 ג ' יגה של תעבורת רשת ברמת HTTP. בעזרת אוסף בסיסי של חוקי סינון אנו מסננים קרוב ל 50 אחוז מהתעבורה בעזרת אוסף בסיסי של חוקי סינון אנו מסננים קרוב ל 50 אחוז מהתעבורה אנו מזהים תעבורה זו כתעבורה שאינה מהווה התקפה. אנו מזהים תעבורה זו כתעבורה שאינה מהווה התקפה. האתר שלנו יכול להביא תועלת ב 2 כיוונים : האתר שלנו יכול להביא תועלת ב 2 כיוונים : מציאת נקודות תורפה של אתרים קיימים מציאת נקודות תורפה של אתרים קיימים אתרים החושפים שם משתמש וסיסמא של משתמשיהם,... אתרים החושפים שם משתמש וסיסמא של משתמשיהם,... איתור התקפות איתור התקפות Scrapping,Clicks Forgery,... Scrapping,Clicks Forgery,...

14. תוצאות חשיפת שם משתמש וסיסמא. חשיפת שם משתמש וסיסמא. mixi.jp – רשת חברתית יפנית מאוד גדולה mixi.jp – רשת חברתית יפנית מאוד גדולה megaupload.com – אתר שיתוף קבצים megaupload.com – אתר שיתוף קבצים uploading.com – אתר שיתוף קבצים uploading.com – אתר שיתוף קבצים ועוד... ועוד...

15. תוצאות התקפות : התקפות : Scrapping: Scrapping: מאות פניות לאתרים שונים של מילונים מקוונים והורדה שיטתית של המידע. מאות פניות לאתרים שונים של מילונים מקוונים והורדה שיטתית של המידע.

16. תוצאות Scrapping: Scrapping: עשרות פניות לאתרי מאמרים והורדה שיטתית של המידע. עשרות פניות לאתרי מאמרים והורדה שיטתית של המידע. rabota.mail.ru הורדה שיטתית של קורות חיים. rabota.mail.ru הורדה שיטתית של קורות חיים. www.pagesjaunes.fr ( דפי זהב הצרפתי ) – הורדה שיטתית של מידע לגבי מסעדות. www.pagesjaunes.fr ( דפי זהב הצרפתי ) – הורדה שיטתית של מידע לגבי מסעדות. www.pagesjaunes.fr Ameblo.jp – סריקה שיטתית של המשתמשים ברשת חברתית יפנית. Ameblo.jp – סריקה שיטתית של המשתמשים ברשת חברתית יפנית. classified.washingtoncitypaper.com – מאות פניות לאתר. classified.washingtoncitypaper.com – מאות פניות לאתר. www.booking.com - עשרות פניות לאתר. www.booking.com - עשרות פניות לאתר. www.booking.com carsok.newsok.com- עשרות פניות לאתר. carsok.newsok.com- עשרות פניות לאתר. www.warez-bb.org - עשרות פניות לאתר. www.warez-bb.org - עשרות פניות לאתר. www.warez-bb.org

17. תוצאות Clicks Forgery: Clicks Forgery: Balatorin.com Balatorin.com www.digitoday.fi www.digitoday.fi

18. תוצאות התקפה על אתר Yahoo: התקפה על אתר Yahoo: פנייה לכתובת IP שמהוות שרתים של Yahoo. פנייה לכתובת IP שמהוות שרתים של Yahoo. 209.191.81.84, 66.163.169.178, 68.142.241.132, ועוד... 209.191.81.84, 66.163.169.178, 68.142.241.132, ועוד... חלק מהבקשות חושפות שם משתמש וסיסמא. חלק מהבקשות חושפות שם משתמש וסיסמא. התקפה זו כנראה מנצלת לרעה את פעולת ה Account Re- activation של Yahoo. התקפה זו כנראה מנצלת לרעה את פעולת ה Account Re- activation של Yahoo. http://209.191.81.84/config/login?.patner=sbc&login=_ sammie_&passwd=owner&.save=1 http://209.191.81.84/config/login?.patner=sbc&login=_ sammie_&passwd=owner&.save=1 http://209.191.81.84/config/login?.patner=sbc&login=_ sammie_&passwd=owner&.save=1 http://209.191.81.84/config/login?.patner=sbc&login=_ sammie_&passwd=owner&.save=1

19. תוצאות התקפה על אתר Yahoo: התקפה על אתר Yahoo:

20. תוצאות Proxy Checker חשוד : Proxy Checker חשוד : http://212.117.172.80/proxy5/check.php http://212.117.172.80/proxy5/check.php http://212.117.172.80/proxy5/check.php