[FUG-BR] [OFF-TOPIC] "Detectando" Ultrasurf
Augusto Ferronato
augusto.ferronato em gmail.com
Terça Agosto 26 14:34:59 BRT 2008
Bom pessoal,
Depois de muito insistir, consegui uma regra pro snort que detecta um
possível ultrasurf, essa regra não é minha :D segue a regra, e a explicação
que me deram:
"
alert udp $HOME_NET any -> !$HOME_NET 53 (msg: "Consulta de DNS Externo -
Possivel Ultrasurf"; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00
00 00 00 00 00 00|"; classtype: policy-violation; sid: 1000059; rev:1; )
Verificamos nos teste de laboratório que o único fator comum em todas as
versões
do Ultrasurf analisadas(até a versão 9.0), é a consulta a servidores DNS
externos com um pacote distinto de uma consulta normal ao DNS, o pacote
possui
554 Bytes sendo 480 Bytes iguais a 0(zero).
Ou seja, sempre que pacotes UDP com destino a porta 53 preenchidos com zeros
forem detectados, alertar como "Consulta de DNS Externo - Possivel
Ultrasurf".
"
Ai aproveitando o gancho, criei um active-response com OSSEC + Snort, ele
automaticamente bloqueia os usuários que possivelmente estão utilizando o
Ultrasurf, eu segui o tutorial do Rodrigo:
http://www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
Bom, se alguém tiver sugestão ou quiser dar uma melhorada, fique a vontade
:)
Abs[]
--
------------------------------
"Segurança da Informação se faz com tecnologia, processos e pessoas, e a
formação destas exige mais que uma seqüência de treinamentos. Porque você
treina macacos. Pessoas,você educa."
FreeBSD: The Freedom to Perform!
http://www.spreadbsd.org/aff/40/1
Mais detalhes sobre a lista de discussão freebsd