Электрон почта вируслари орқали бўладиган ҳужумларни аниқлашда пакетларни чуқур ўрганиш усули таҳлили Таҳлил ишини бошлашда эмаил хабарнинг пакетдаги майдон тури ҳақида тушунчага эга бўлиш керак ва у қуйидагича бўлади :
1-Жадвал.
Intrusion Detection System (IDS) – пассив тармоқ анализ тизими бўлиб, тармоқ пакетларини ва траффикни ўқиш орқали ҳужумларни аниқлаш қобилятига эга. Лекин аниқланган ҳужумларни қайд етиш билан чеклангани сабаб уни IPS (Intrusion Prevention System) билан ишлатилади. IPS ўз навбатида тармоқнинг ўтиш тугунларида жойлашган агентлари орқали траффикни назорат қилади. Тармоқ пакетларини таҳлил қилганда биз IPSнинг NIPS (Network Instrusion Prevention System) тури билан ишлаймиз ва шуни инобатга олиш керакки , ҳар қандай NIPS нинг ичида эмаил протоколлари учун керакли сигнатура базаси жойлашган бўлади.
Ҳар бир пакет ёки оқим таҳлил қилинар екан, унинг сарлавҳа ва хабар қисмлари ўрганилиш жараёни мур машинасига асосан ташкил қиланади.Бунда чиқиш натижаси ҳолат ва кирувчи маълумотга боғлиқ шаклда бўлади.
НИПСнинг ишлаш принспи :
Бошланғич ҳолати: SMTP боғланиш қурилади, тизим янги ҳолатни киритади ва IP манзилни қора рўйҳатига текширади.Aгар IP манзил қора рўйҳатда бўлмаса боғланиш нормал деб қаралади.
Тайёргарлик ҳолати: 3 томонлама TCP “handshake” дан кейин Клиентдан “HELO” ёки “EHLO” буйруғини кутиш ҳолатига ўтказилиб вақт муддати белгиланади. Aгар белгиланган вақт оралиғида буйруқлар олинмаса кириш IP манзили динамик ва реал-вақтда блокланган ипларга киритилиб пакет ташлаб юборилади. Aкс ҳолатда кейинги босқичга ўтади.
EHLO ҳолати: RFC2821 га кўра HELO буйруқ ўзгарувчиси FQDN (Full Qualified Domain Name) бўлиши керак. Бу босқичда SMTP клиент HELO/EHLO буйруқни FQDNга кўра ўзгартириб юбориши керак. Узунлиги еса буфферни тўлдириб юбормаслиги учун MaxCommandLength билан чекланган бўлади.
Хабар ҳолати: Юборувчи манзили “<юборувчи@домен>” форматида бўлиши керак. Ва бу домен FQDN билан тасдиқланиши ва унинг мавжудлигига текширилиши керак. Ҳужумчи ва Спаммерлар одатда SMTP серверни алдаш мақсадида ёлғон домендан фойдаланишади.
RCPT ҳолати: Қабул қилувчи манзил “<қабулқилувчи@домен>” форматида бўлиши керак. SMTP сервер ўз навбатида юборучи ёки қабул қилувчини рухсатлик фойдаланувчига текширади.Aгар бу фойдаланувчи рухсациз бўлса SMTP оқими 20 секундга кечиктирилади, агар яна шу ҳолат такрорланса 30 секундга оширилади.Aгар рухсациз фойдаланувчидан бу хабарлар қабул қилинаверса SMTP оқими нормал бўлмаган деб ҳисобланади.
RESET ҳолати: Aгар аввалги хабар юборилиш жараёни бекор қилинса тизим шу ҳолатга ўтади ва юборувчи ҳамда қабул қилувчи ўчирилади. Бу ҳолат нормал бўлмаган деб ҳисобланади қачонки буйруқ 6 байтдан юқори бўлса.
VRFY ҳолати: Aгар фойдаланувчи тасдиқланиши муаффақияцизлиги ёки VRFY буйруғи юборилиши берилган оралиқдан юқори бўлса SMTP оқими нормал бўлмаган деб ҳисобланади.
QUIT ҳолати: Бу босқичга ўтилганда оқим вақтини ҳисоблаш тўхтатилади. Бу оқим нормал деб ҳисобланмайди қачонки буйруқ 6 байтдан юқори бўлса.
NOOP ҳолати: Бу буйруқ аввалги буйруқларга таъсир кўрсатмайди, фақатгина бу буйруқ юборилганда “ОК” юборилмаса.
DATA ҳолати: Бу ҳолатга ўтиш буйруқларни бажарилганини англатади(“Mail From” ва “Rcpt To”). Кейин SMTP клиентлар DATA буйруғини юборишлари мумкин. Aгар SMTP сервер 354 кодини юборса шундагина у SMTP клиентдан хабар контентини қабул қилиб бошлайди.
Бу босқичлардан ҳар бир пакет ўтганлиги сабабли ёлғон маълумот билан киришга уринган ҳужумчи ва спаммерлар ушлаб қолинади. Пакет ичидаги маълумотлар асосида тажоввузкор IP манзиллар ҳақида рўйҳатлар шакилланиб глобал тарзда NIPS бир бирини огоҳлантириб туради. Шундай ҳолатлар ҳам учраб турадики , базида ҳостга вирус эмаил билан кириб келмайди, аммо чиқиш ва тарқалиш учун айнан эмаил тарзда ишламоқчи бўлади. Бу ҳолатда ҳам контакт ишончли бўлса ҳам юборилаётган линк ёки бириктирилган файлни текшириш орқали IDS/IPS тизимдаги ҳужумни блоклайди ва зарарланган ҳост ҳақида маълумотларга ега бўлади.
