Выявляем повторную передачу пакетов в сети

Медленная работа сети — проблема, с которой сталкиваются многие специалисты. В отличие от очевидных обрывов связи, «тормоза» зачастую трудно диагностировать, и найти их причину может быть не так просто. В этой статье мы разберем механизмы, лежащие в основе одного из таких случаев — повторной передачи пакетов в TCP-сети. Вы узнаете, как работает этот процесс, какие инструменты можно использовать для диагностики, а также как на практике выявлять и устранять проблемы с производительностью сети, связанные с потерей пакетов.

https://habr.com/ru/companies/otus/articles/900992/

#wireshark #tcp #retransmission #Повторная_передача_пакетов #сетевые_ошибки #Диагностика_сети #Сетевые_протоколы #сетевой_трафик

Как снять трафик, когда нельзя, но очень хочется

Мониторинг сетевого трафика является одной из важнейших задач как для специалистов по сетевой безопасности, так и для пентестеров. Первым важно узнать какие пакеты бродят по их сети, какие протоколы используются для взаимодействия между узлами, какие реальные каналы присутствуют в сети и многое другое. Вторых тоже интересует трафик, но для того, чтобы извлечь из него хэши паролей, перехватить нешифрованные данные и т.д. Так или иначе и тем и другим нужна копия трафика, и в этой статье мы поговорим о том, как ее можно получить различными способами, от вполне легальных, до практически хакерских.

https://habr.com/ru/companies/otus/articles/901054/

#tap #span #diy #wireshark #сетевой_трафик #мониторинг_трафика #копия_трафика

В погоне за неизведанным: как ML-модель вредоносы искать училась

Всем привет! С вами Ксения Наумова. В Positive Technologies я исследую вредоносный сетевой трафик и совершенствую инструменты его анализа в экспертном центре безопасности. Недавно перед нами встала задача — создать ML-модель для обнаружения вредоносного ПО в сети. Причем распознавать она должна была не только уже ранее детектированное нами вредоносное ПО, но и совсем новые угрозы, которые появляются в большом количестве ежедневно. В качестве первого эксперимента решили сделать модель для работы с трафиком, который передается по протоколу HTTP, поскольку наши продукты успешно расшифровывают TLS-сессии, а внутри них частенько можно найти много интересного. В статье я подробно расскажу, как мы обучали модель, и поделюсь информацией о допущенных ошибках.

https://habr.com/ru/companies/pt/articles/883954/

#ml #машинное_обучение #песочница #sandbox #сетевой_трафик #детектирование #вредоносное_по #обнаружение_вредоносного_по #lightgbm #датасет

Wireshark на службе защитников

Как узнать, что происходит в вашей сети, если внешние защитные рубежи не спасают от внутренних угроз? Анализ сетевого трафика — мощный инструмент, который позволяет выявлять подозрительную активность, расследовать инциденты и настраивать системы защиты так, чтобы злоумышленникам не осталось лазеек. В этой статье мы разберём, как использовать Tcpdump и Wireshark для сбора и анализа трафика, фильтровать лишние данные, выявлять атаки вроде ARP Spoofing и SYN Flood, а также находить уязвимости в сети до того, как ими воспользуются.

https://habr.com/ru/companies/otus/articles/891980/

#wireshark #arpspoofing #synflood #сетевой_трафик #анализ_трафика #Tcpdump #уязвимости

Хьюстон, у нас проблема, или Чего не договаривают производители HDD

Однажды к нам обратился клиент с проблемой: имеется 2 HDD с производительностью записи 250 MБ/с. Из них делается хранилище RAID 0. Начинаем записывать трафик, скорость — 350 MБ/с. Он успешно пишется, но через некоторое время утилизация дисков подходит к 100% и начинаются потери при записи. Вывод клиента: проблема в PT NAD, так как диски должны все успевать. Думаю, многие уже догадываются, в чем соль. У нас тоже имелись догадки, но тем не менее мы решили их проверить. Из этой проблемы и родилось небольшое исследование по записи трафика в хранилище. Под катом — наше расследование «заговора» разработчиков HDD. Читать

https://habr.com/ru/companies/pt/articles/883372/

#hdd #тестирование #pt_nad #сетевой_трафик #запись_трафика #wireshark #fio #seagate #raid #wd

Чем заменить F5 и А10? Обзор рынка балансировщиков нагрузки и наши рекомендации по выбору решения

Без балансировщиков нагрузки не может стабильно работать ни одно высоконагруженное приложение. Поэтому уход с рынка западных вендоров, решениями которых все спокойно пользовались, озадачил огромное число заказчиков. Нас, как интегратора, признаться, тоже. Чтобы понимать, что дальше предлагать компаниям, мы постоянно следим за рынком и составляем свои шорт-листы производителей, которые сопоставимы по уровню своей продукции с ушедшими вендорами и активно развивают свои продукты. У нас есть испытательная лаборатория, где мы тестируем оборудование и ПО в сценариях наших клиентов. И, конечно, многие решения мы уже внедряем в проектах. В этой статье я расскажу, какие продукты сейчас вообще есть на рынке, приведу сравнение ключевых вендоров и поделюсь нашим мнением о том, как выбрать оптимальное решения под свои задачи.

https://habr.com/ru/companies/k2tech/articles/867656/

#балансировщик_нагрузки #отказоустойчивость_сетей #импортозамещение #тестирование #сетевой_трафик #f5

Сеть знает все, или Как найти пробив с помощью анализа трафика

Столько слов было сказано, столько копий сломано в попытках защитить свою инфраструктуру, но одним из частых векторов проникновения в сеть все еще остается эксплуатация уязвимостей сервисов на периметре. Можно долго рассуждать о причинах такой ситуации, а можно максимально защитить компанию от кибератак. Сегодня я, Виктор Еременко, лидер продуктовой практики нашей системы поведенческого анализа трафика, расскажу, как вовремя выявить злоумышленника и не допустить инцидента.

https://habr.com/ru/companies/pt/articles/867042/

#pt_nad #сетевой_трафик #обнаружение_атак #эксплуатация_уязвимостей #алерты #автоматизация #полезная_нагрузка #анализ_трафика #шифрование #false_positive

SPANCheck – проверка безопасности сетевого трафика на уровне ядра (или почему NGFW недостаточно?)

Когда речь заходит о безопасности сетевого трафика, большинство сразу вспоминает про решения класса NGFW (Check Point, UserGate, Fortinet, Континент и т. д.). Это логично: защита периметра сети — это одна из ключевых задач «безопасника». Однако стоит понимать, что NGFW на периметре проверяет именно интернет‑трафик, или, как еще принято его называть, «Север‑Юг». Но типовая сеть компании состоит не только из периметра. Практически всегда есть ядро сети или большой сегмент внутренних серверов, где объемы трафика значительно выше. Этот тип трафика принято называть «Запад‑Восток» и весьма часто он вообще никак НЕ контролируется и НЕ проверяется .

https://habr.com/ru/companies/tssolution/articles/803207/

#pt_nad #pt_nad_positive_technologies #ngfw #check_point #usergate #fortinet #континент #сетевой_трафик #проверка #периметр

Без про-v-ода. Поднимаем точку доступа ловушку, тестируем сети на проникновение

Введение Снова рад приветствовать всех читателей статьи! Продолжаю рубрику "Без про-v-ода" в которой я рассказываю про беспроводные технологии, сети, устройства, их эксплуатацию и тестирование на безопасность. Сегодня хочу рассмотреть с вами так же некоторые инструменты для тестирования на безопасность, а так же любопытный инструмент против любителей халявы. Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

https://habr.com/ru/articles/800853/

#сетевой_трафик #беспроводные_сети #анализ_трафика #перехват_данных #хакинг #взлом #взлом_wifi #wpa #wpa2

SafeRAT: так ли он безопасен?

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО. В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность. Залетайте под кат

https://habr.com/ru/companies/pt/articles/793440/

#rat #cybersecurity #sandbox #стилер #кража_данных #malware #шифрование_данных #сетевой_трафик #впо #загрузчик