Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
outpost - отправленно 0 байт, получено 0 байт? что это 28.09.04 13:44
Автор: чел Статус: Незарегистрированный пользователь
|
задавал эти вопросы на их форуме - глушняк
v 2.1.303.4009
1. Почему то регулярно "меняются компоненты используемые данной программой", раза по два в день и почти исключительно dll. Это нормальное явление (почему так часто). И в чем причина?
2. Что означает запись в журнале разрешенных соединениях в которой отправленно 0 байт, получено 0 байт. Что за явление?
3. Чтой то я не понял что такое динамическая фильтрация - в чем ее суть?
|
|
Outpost считает CRC для загруженных в память процесса... 30.09.04 15:22
Автор: leo <Леонид Юрьев> Статус: Elderman
|
> задавал эти вопросы на их форуме - глушняк
> v 2.1.303.4009
>
> 1. Почему то регулярно "меняются компоненты используемые
> данной программой", раза по два в день и почти
> исключительно dll. Это нормальное явление (почему так
> часто). И в чем причина?
Outpost считает CRC для загруженных в память процесса компонентов. Если dll меняется, подгружаются новые или патчатся в памяти (до полного завершения загрузки dll), то Outpost выдает этот запрос.
> 2. Что означает запись в журнале разрешенных соединениях в
> которой отправленно 0 байт, получено 0 байт. Что за
> явление?
У вас включен "систеный" firewall, в такой ситуации обратите внимание на активность alg.exe (Application Layer Gateway);
> 3. Чтой то я не понял что такое динамическая фильтрация - в
> чем ее суть?
Суть в том, что для каждого процесса могут быть свои правила/разрешения_соединений с учетом компонентов и текущего времени. Outpost отслеживает активные соединения и создает правила фильтрации динамически с учетом "прав" процесса открывшего соединение.
Например пока какой-нибудь процесс имеющий разрешение не откроет сокет для приёма входящих telnet-соединений такие пакеты будут фильтроваться. А после открытия сокета только этот процесс и только по этому telnet-соединению сможет что-либо передавать/принимать.
Т.е конечные правила фильтрации определяются "на ходу", а не задаются жестко как например access-lists.
|
| |
Со всем согласен, кроме динамической фильтрации 30.09.04 16:27
Автор: amirul <Serge> Статус: The Elderman
|
|
В английской версии она называется connection tracking и служит для динамического создания правил, но не в зависимости от процесса (это в outpost-е делается и так), а в зависимости от данных, прошедших по соединению (для которого включается connection tracking)
|
| | |
может я слишком упростил и/или обобщил... 30.09.04 19:50
Автор: leo <Леонид Юрьев> Статус: Elderman
|
"Connecton traking" и "Динамической фильтрацией" можно назваить достаточно разные вещи:
- отслеживание открытых соединений и соответствующая фильтрация;
- отслеживание данных внутри соединения согласно протоколу прикладного уровня и соответствующая фильтрация;
Outpost делает и первое, и как минимум отчасти, второе. Я написал только про первую часть потому, что нет списка (я не нашел) какие именно протоколы умеет анализировать Outpost.
Точно известно, что таким образом обрабатывается ftp для приёма соединений "входящей" составляющей. С ftp иначе жутко неудобно, и хорошо что сделано именно так. А что еще?
Если только ftp то намного логичней назвать это специальной "фичей" для ftp, а не абстрактно "Динамической фильтрацией".
|
| | | |
Я тоже не нашел. Но догадался, что под динамической... 01.10.04 10:49
Автор: amirul <Serge> Статус: The Elderman
|
> Outpost делает и первое, и как минимум отчасти, второе. Я
> написал только про первую часть потому, что нет списка (я
> не нашел) какие именно протоколы умеет анализировать
> Outpost.
Я тоже не нашел. Но догадался, что под динамической фильтрацией понимается в аутпосте, когда решил подправить его автогенеренное правило для фтп-клиента:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт FTP
Разрешить эти данный
и Включить динамическую фильтрацию
---
И больше ничего. Вот тут то я и догадался, что разрешение соединения для данных происходит динамически.
> Точно известно, что таким образом обрабатывается ftp для
> приёма соединений "входящей" составляющей. С ftp иначе
> жутко неудобно, и хорошо что сделано именно так. А что еще?
>
> Если только ftp то намного логичней назвать это
> специальной "фичей" для ftp, а не абстрактно "Динамической
> фильтрацией".
Собственно это фича не только outpost-а. И в идеале не только для фтп. Линуховский iptables тоже поддерживает connection tracking
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
Еще один пример состояния для соединения - icmp echo reply пакеты. Пропускать только те ответы, на которые были запросы.
|
|
Контроль компонентов я вообще отключил - уж больно напрягает 28.09.04 15:58
Автор: amirul <Serge> Статус: The Elderman
|
> задавал эти вопросы на их форуме - глушняк
> v 2.1.303.4009
>
> 1. Почему то регулярно "меняются компоненты используемые
> данной программой", раза по два в день и почти
> исключительно dll. Это нормальное явление (почему так
> часто). И в чем причина?
Таким заниматься любит например lingvo. Ставит хуки - загружает dll-ки и прочее (чтобы хук мог исполняться в любом процессе его модуль должен быть загружен во все адресные пространства именно это и не нравится аутпосту). Непонятно только, почему она этот хук постоянно дергает.
Попробовав побороться с этим некоторое время, решил вообще отключить контроль компонентов.
> 2. Что означает запись в журнале разрешенных соединениях в
> которой отправленно 0 байт, получено 0 байт. Что за
> явление?
Только то и означает, что в этом соединении не передавались данные. Мало ли зачем прога его открывала. Кроме того, эти столбцы вообще не включены в настройках по умолчанию, так как не особо нужны при обычной работе: меня больше интересует какая программа и куда лезла, а не сколько она прокачала через соединение.
> 3. Чтой то я не понял что такое динамическая фильтрация - в
> чем ее суть?
Можешь поискать по запросу connection tracking. Суть в следующем. Возьмем для примера FTP протокол. Управляющее соединение устанавливается подключением к порту 21 сервера. По этому управляющему соединению передаются ТОЛЬКО команды и ответы на них. Для передачи данных (непосредственно файл или листинг каталога) существуют две команды:
PORT - клиент открывает у себя порт и говорит серверу, куда подключаться
PASV - если клиент не может принимать входящие соединения (например, если находится за NAT-ом), то эта команда заставляет сервер открыть новый порт и сообщить клиенту о его номере.
Весь прикол в том, что этот порт может быть любым. И фтп-клиенту надо разрешать весь диапазон портов, причем и на примем и на передачу (если разрешить и активный и пассивный режимы клиента). Способов решения два: у большинства серверов можно назначить диапазон портов из которых выбирается порт для пассивного соединения, ну клиента тоже можно настроить. В этом случае диапазон сужается, но все равно это совсем не то, чего хочется. Второй способ - отслеживать соединение и динамически разрешить клиенту работу с портом, который был указан в команде.
|
| |
т.е. фактически то файл не изменяется? 30.09.04 14:52
Автор: чел Статус: Незарегистрированный пользователь
|
> > 1. Почему то регулярно "меняются компоненты
> используемые
> > данной программой", раза по два в день и почти
> > исключительно dll. Это нормальное явление (почему так
> > часто). И в чем причина?
> Таким заниматься любит например lingvo. Ставит хуки -
> загружает dll-ки и прочее (чтобы хук мог исполняться в
> любом процессе его модуль должен быть загружен во все
> адресные пространства именно это и не нравится аутпосту).
> Непонятно только, почему она этот хук постоянно дергает.
> Попробовав побороться с этим некоторое время, решил вообще
> отключить контроль компонентов.
т.е. фактически то файл не изменяется?
> > 2. Что означает запись в журнале разрешенных
> соединениях в
> > которой отправленно 0 байт, получено 0 байт. Что за
> > явление?
> Только то и означает, что в этом соединении не передавались
> данные. Мало ли зачем прога его открывала. Кроме того, эти
> столбцы вообще не включены в настройках по умолчанию, так
> как не особо нужны при обычной работе: меня больше
> интересует какая программа и куда лезла, а не сколько она
> прокачала через соединение.
я так думаю тут перехват идет, в инет лезет другое приложение (напр. KAV)
ну тогда единственно непонятно следующее, пакет не отправлен а как оутпост другую сторону определяет (адрес и порт)?
> > 3. Чтой то я не понял что такое динамическая
> фильтрация - в
> > чем ее суть?
> Можешь поискать по запросу connection tracking. Суть в
> следующем.
>...
> Второй способ - отслеживать соединение и динамически
> разрешить клиенту работу с портом, который был указан в
> команде.
т.е. при динамической фильтрации разрешается работать с портами которые не прописаны в правиле (с контролем данного)?
|
| | |
Не факт. Просто не всегда, когда outpost кричит об... 30.09.04 16:35
Автор: amirul <Serge> Статус: The Elderman
|
> т.е. фактически то файл не изменяется?
Не факт. Просто не всегда, когда outpost кричит об изменениях что то действительно меняется. Даже более того, контроль компонентов настолько раздражал меня ложными тревогами, что пришлось его отключить.
> ну тогда единственно непонятно следующее, пакет не
> отправлен а как оутпост другую сторону определяет (адрес и
> порт)?
В TCP используется трехшаговая установка соединения: SYN-SYN/ACK-ACK
Outpost ставит TDI-фильтр, поэтому может фильтровать только сами соединения, а не отдельные пакеты.
> т.е. при динамической фильтрации разрешается работать с
> портами которые не прописаны в правиле (с контролем
> данного)?
Да, по данным для некоторых протоколов при включенной динамической фильтрации для правила, новые правила могут добавляться динамически, в зависимости от данных, прошедших по соединению ранее.
|
| | | |
Уточнение про TDI 30.09.04 19:56
Автор: leo <Леонид Юрьев> Статус: Elderman
|
> Outpost ставит TDI-фильтр, поэтому может фильтровать только
> сами соединения, а не отдельные пакеты.
Не только TDI фильтр, но и "прокладку" между NDIS и всем что выше. Поэтому фильтруется все, например фрагментация ICMP.
|
| | | | |
Уточнение про уточнение про TDI 01.10.04 10:59
Автор: amirul <Serge> Статус: The Elderman
|
> > Outpost ставит TDI-фильтр, поэтому может фильтровать
> только
> > сами соединения, а не отдельные пакеты.
> Не только TDI фильтр, но и "прокладку" между NDIS и всем
> что выше. Поэтому фильтруется все, например фрагментация
> ICMP.
В свое время я поковырялся в этом самом аутпосте и могу сказать, что никаких intermediate miniport-ов он не ставит. ICMP он фильтрует тоже на TDI уровне - путем перехвата TDI_ACTION-ов к \Device\Ip. Собственно у outpost-а нет фильтрации ARP-ов (весьма полезная штука) именно потому, что они дальше tcpip.sys не выходят. То бишь обрабатываются и исчезают именно в промежутке между минипортом и протоколом.
Кроме того, по номеру IP-протокола фильтровать можно (так как \Device\RawIp тоже фильтруется), а вот по типу ethernet фрейма или mac-адресу - нельзя.
|
| | | | | |
Я особо не ковырялся (времени нету), но по его отладочным... 01.10.04 11:15
Автор: leo <Леонид Юрьев> Статус: Elderman
|
> В свое время я поковырялся в этом самом аутпосте и могу
> сказать, что никаких intermediate miniport-ов он не ставит.
> ICMP он фильтрует тоже на TDI уровне - путем перехвата
> TDI_ACTION-ов к \Device\Ip. Собственно у outpost-а нет
> фильтрации ARP-ов (весьма полезная штука) именно потому,
> что они дальше tcpip.sys не выходят. То бишь обрабатываются
> и исчезают именно в промежутке между минипортом и
> протоколом.
Я особо не ковырялся (времени нету), но по его отладочным сообщениям (а они меня ух как достали) сложилось впечатление что "прослойка" всё же есть. Может они не ставят miniport, а правят адреса в таблицах вызовов?
|
| | | | | | |
Да я тоже не особо [updated] 01.10.04 13:22
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 01.10.04 16:25 Количество правок: 1
|
> Я особо не ковырялся (времени нету), но по его отладочным
> сообщениям (а они меня ух как достали) сложилось
> впечатление что "прослойка" всё же есть. Может они не
Впечатление не подвело. Только что проверил. Из ndis-овской EthFilterDprIndicateReceive идет вызов в filtnt и уже потом идет дальше
> ставят miniport, а правят адреса в таблицах вызовов?
Скорее всего так и делают. Как нибудь на досуге попробую разобраться кому именно правят.
--------------
Все правильно. Он меняет хендлеры в NDIS_OPEN_BLOCK-е
Гы. Я в свое время до того же самого додумался, потому как установка ndis im - довольно муторное дело, требующее перезагрузки и постоянно висящее в настройках сети. Эх. А я то надеялся что самый умный типа :-(
|
| | | | | | | |
вижу человек в теме глубоко понимает 02.10.04 23:33
Автор: чел Статус: Незарегистрированный пользователь
|
вижу человек в теме глубоко понимает
если не секрет чем пользуетесь (файервол) и может еще какие мероприятия?
|
| | | | | | | | |
Да вот аутпостом и пользуюсь. Ну еще весь софт, которому не... 04.10.04 12:06
Автор: amirul <Serge> Статус: The Elderman
|
> вижу человек в теме глубоко понимает
> если не секрет чем пользуетесь (файервол) и может еще какие
> мероприятия?
Да вот аутпостом и пользуюсь. Ну еще весь софт, которому не доверяю сначала запускаю только в виртуальной машине. Весь сетевой софт - не микрософт (особенно в свете появления jpeg/bmp троянов). Антивирус стоит (монитор выключаю сразу после установки - зачем зазря ресурсы тратить), при необходимости пользуюсь сканером (но реально необходимость была не меньше, чем полгода назад).
|
|
|
подробно о проекте
Анализ криптографических сетевых...
