Piggymon : Χρησιμοποιώντας το σύστημα ανίχνευσης εισβολών Snort για κατηγοριοποίηση και παρακολούθηση δικτυακής κίνησης Ip
Piggymon: Using Snort IDS for IP Traffic Classification and Throughput Monitoring
Πολιτόπουλος, Πέτρος-Ιωάννης Κων/νος
Μαρκάτος, Ευάγγελος
H παρακολούθηση της κυκλοφορίας είναι ένα από τα πιο πολύτιμα
εργαλεία, που χρησιμοποιείται από τους διαχειριστές δικτύων όσο και τους
μηχανικούς, για να αντιμετωπίσουν αποτελεσματικά το σχεδιασμό, τη
διαχείριση και την επίβλεψη του τεράστιου αριθμού των IP δικτύων που
απαρτίζουν το διαδίκτυο. Ταυτόχρονα, τα συστήματα ανίχνευσης εισβολών
διαδίδονται ευρέως, σε μια προσπάθεια να προστατεύσουν τα
προαναφερθέντα δίκτυα από επιθέσεις, οι οποίες κυμαίνονται από απλά
σκουλήκια εως εξελιγμένες προσπάθειες εισβολής. Το Snort είναι το πιο
ευρέως εγκατεστημένο σύστημα ανίχνευσης και πρόληψης εισβολών
δικτύου (IDS / IPS), με το επιπρόσθετο πλεονέκτημα ότι είναι δωρεάν και
ανοιχτού κώδικα.
Σε αυτή την διατριβή παρουσιάζουμε το Piggymon, ένα παθητικό σύστημα
παρακολούθησης δικτύου το οποίο είναι σχεδιασμένο να τρέχει βασιζόμενο
σε μια αναλλοίωτη εγκατάσταση του Snort. Το Piggymon εκμεταλλεύεται
τη γρήγορη μηχανή ταξινόμησης πακέτων του Snort και κατηγοριοποιεί την
κίνηση με βάση είτε απλώς την θύρα επικοινωνίας, είτε πιο σύνθετους
κανόνες “υπογραφές”. Η μονάδα παρακολούθησης της κυκλοφορίας μπορεί
να τρέχει παράλληλα με την κανονική IDS λειτουργικότητα του Snort με
ελάχιστη επίδραση στην απόδοση. Πέρα από αυτό, το Piggymon είναι
εύκολο στην εγκατάσταση και την προσαρμογή και θα είναι διαθέσιμο ως
εφαρμογή ανοιχτού κώδικα μετά το πέρας της παρουσίασης της διατριβής.
(EL)
Network traffic monitoring is one of the most valuable tools, utilized by
administrators and engineers alike, in order to effectively design, manage
and oversee the vast amount of IP networks that comprise the internet. At
the same time, Intrusion Detection Systems are widely deployed in an effort
to protect the aforementioned networks from attacks ranging from simple
worms to sophisticated hacking attempts. Snort is the most widely installed
network Intrusion Detection and Prevention System (IDS / IPS) with the
added benefit of being free and open-source.
In this thesis we present Piggymon, a passive network monitoring system
built on top of an unaltered Snort installation. Piggymon takes advantage of
Snort’s fast packet classification engine and can categorize traffic based on
simple port-matching or more complex, signature-based rules. The traffic
monitoring module can run alongside the normal IDS functionality of Snort
with minimal performance impact. Besides that, Piggymon is easy to install
and customize and will be available as an open-source project after the
presentation of this thesis.
(EN)