| Author: |
Admin |
| Dated: |
Monday, 27 February 2006 @ 03:49 PM CET |
| Viewed: |
623 times |
|
 C'est en lisant la mailing-list Full
Disclosure que je suis
tombé sur une réflexion intéressante
d'un des protagonistes.
Pourquoi ne pas utiliser un collecteur statistique sur des
requêtes DNS afin de détecter des comportements
anormaux (Projet
de recherche de l’université
d’Amsterdam par Antoine Schonewille et Dirk-Jan van Helmond).
En effet à partir d’un échantillon
‘normal’ on peut en déduire des
comportements anormaux, comme des requêtes vers des sites
réputés dangereux, ou des demandes pour des
requêtes non autorisées comme AXFR ou IXFR (je
verrouille personnellement ces requêtes entre mes deux NS).
Ou, si on voit passer des requêtes pour des serveurs MX
ne provenant pas d’un serveur de mail interne, on peut
s’interroger sur la possibilité que le PC faisant
les requêtes soit infecté par un logiciel de spam
ou un virus.
J’utilise déjà pas mal les logs des
firewalls pour ce genre d’analyse en me basant sur les ports
bloqués, on découvre assez facilement des
machines infectées comme ça (requêtes
sur le port 135 par exemple pour Blaster) et ça a permis
d’éradiquer nombres d’infections virales
dans mon
travail (comment ça il n’y a pas un antivirus sur
tous les postes ??? ;)).
A une plus grande échelle (au niveau d’un ISP), ce
système permettrait de détecter des
réseaux de Zombies.
Par conséquent je me suit lancé dans
l’installation de DSC – DNS Statistics Collector.
L’installation est relativement simple si l’on suit
le manuel (disponible dans l’archive) mais demande quelques
prérequis au niveau des librairies perl.
Je ne me suis heurté qu’à un seul petit
souci, en effet DSC est basé sur ploticus
dans sa version
« compilée » pour afficher ses
graphiques.
Or j’utilise une debian, et quand je le peux,
j’utilise les paquets debian (c’est plus simple
pour la
maintenance).
Donc par défaut, le script perl « ploticus
» est recherché dans le répertoire
« /usr/local/bin » alors que chez moi, il
était dans « /usr/bin », ce diagnostic
fait, un simple « ln –s » a
corrigé le soucis.
J’ai aussi installé le collector et le presenter
sur la même machine (et oui je n’ai qu’un
seul serveur ;)), pour cela il suffit de positionner la variable
« run_dir » au même endroit que le
répertoire « /usr/local/dsc/data/serveur/dns
»
Un peu de configuration apache, quelques remaniements dans les
répertoires et voilà que j’ai
de jolis
graphiques qui s’affichent !
Il faut maintenant, que je le laisse tourner un peu et que je regarde
ces statistiques de temps en temps pour essayer de détecter
des anomalies.
|
Trackback URL for this entry: http://www.sioban.net/trackback.php/20060227154907792
No trackback comments for this entry.
|
