[FUG-BR] [OFF-TOPIC] "Detectando" Ultrasurf

Augusto Ferronato augusto.ferronato em gmail.com
Terça Agosto 26 14:34:59 BRT 2008


Bom pessoal,
 Depois de muito insistir, consegui uma regra pro snort que detecta um
possível ultrasurf, essa regra não é minha :D segue a regra, e a explicação
que me deram:

"
alert udp $HOME_NET any -> !$HOME_NET 53 (msg: "Consulta de DNS Externo -
Possivel Ultrasurf"; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00
00 00 00 00 00 00|"; classtype: policy-violation; sid: 1000059; rev:1; )

Verificamos nos teste de laboratório que o único fator comum em todas as
versões
do Ultrasurf analisadas(até a versão 9.0), é a consulta a servidores DNS
externos com um pacote distinto de uma consulta normal ao DNS, o pacote
possui
554 Bytes sendo 480 Bytes iguais a 0(zero).
Ou seja, sempre que pacotes UDP com destino a porta 53 preenchidos com zeros

forem detectados, alertar como "Consulta de DNS Externo - Possivel
Ultrasurf".
"

Ai aproveitando o gancho, criei um active-response com OSSEC + Snort, ele
automaticamente bloqueia os usuários que possivelmente estão utilizando o
Ultrasurf, eu segui o tutorial do Rodrigo:
http://www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf

Bom, se alguém tiver sugestão ou quiser dar uma melhorada, fique a vontade
:)

Abs[]

-- 
------------------------------
"Segurança da Informação se faz com tecnologia, processos e pessoas, e a
formação destas exige mais que uma seqüência de treinamentos. Porque você
treina macacos. Pessoas,você educa."

FreeBSD: The Freedom to Perform!
http://www.spreadbsd.org/aff/40/1


Mais detalhes sobre a lista de discussão freebsd