Herkeios
Système de détection des intrusions
- Introduction
- Herkeios
- Failles applicatives
- Exploits système
- Backdoors et Virus
- Attaques par le réseau
- Comportement erratique
- Annexes
Annexes
Afin de comprendre l'architecture de nos programmes et les technologies utilisées, voici quelques rappels, compléments et informations sur
la manière dont nous avons codé le noyau de chaque application :
Rootkits
Cet article vous décrit comment nous avons codé notre rootkit, en rentrant dans les profondeurs du kernel et les mécanismes trop peu connus des appels systèmes et des symboles exportés du kernel.
Sniffing avec libpcap
Libpcap est la très célèbres librairie de sniffing réseau et est utilisée dans tous les sniffers connus, comme tcpdump, ethereal ou wireshark. Nous n'y avons donc pas coupé et avons du utiliser cette librairie pour l'analyse en temps réel du flux de données.
Forge et Injection de paquets avec libnet
Nous avons eu plusieurs fois recours à la forge et à l'injection de paquet sur le réseau tout au long de notre développement. Tout d'abord, afin de tester la très grande majorité des attaques réseau, il était indispensable de savoir fabriquer nos propres paquets. De plus, l'IDS se sert parfois d'injections quand une intrusion est détectée et qu'une injection maligne peut limiter les dégats.
Statistique des sockets entrants/sortants
Nous détaillons ici l'organisation des fichiers /proc/net/tcp et /proc/net/udp où sont inscrites les statistiques d'utilisation des sockets par le système.
Rootkits
Cet article vous décrit comment nous avons codé notre rootkit, en rentrant dans les profondeurs du kernel et les mécanismes trop peu connus des appels systèmes et des symboles exportés du kernel.
Sniffing avec libpcap
Libpcap est la très célèbres librairie de sniffing réseau et est utilisée dans tous les sniffers connus, comme tcpdump, ethereal ou wireshark. Nous n'y avons donc pas coupé et avons du utiliser cette librairie pour l'analyse en temps réel du flux de données.
Forge et Injection de paquets avec libnet
Nous avons eu plusieurs fois recours à la forge et à l'injection de paquet sur le réseau tout au long de notre développement. Tout d'abord, afin de tester la très grande majorité des attaques réseau, il était indispensable de savoir fabriquer nos propres paquets. De plus, l'IDS se sert parfois d'injections quand une intrusion est détectée et qu'une injection maligne peut limiter les dégats.
Statistique des sockets entrants/sortants
Nous détaillons ici l'organisation des fichiers /proc/net/tcp et /proc/net/udp où sont inscrites les statistiques d'utilisation des sockets par le système.