Paul Troncone and Carl Albing Cybersecurity Ops with bash Attack, Defend, and Analyze from the Command Line

Download 4,82 Mb.

Pdf ko'rish

bet	95/206
Sana	29.03.2022
Hajmi	4,82 Mb.
	#515317

1 ... 91 92 93 94 95 96 97 98 ... 206

Bog'liq
Bash и кибербезопасность Атака, защита и анализ из командной строки

Пример 7.10.
Пример 7.11.

Глава 7. Анализ данных
129
веру..Во-вторых,.эта.строка.настраивается.конечным.пользователем.и.может.быть.
использована.для.идентификации.систем,.в.которых.не.установлен.стандартный.
браузер.или.вообще.нет.браузера.(то.есть.поисковых.роботов.(web.crawler)).
Вы.можете.определить.необычные.пользовательские.агенты,.предварительно.со-
ставив.список.известных.безопасных.пользовательских.агентов..Для.этого.упраж-
нения.мы.используем.очень.маленький.список.браузеров,.которые.не.являются.
специфичными.для.конкретной.версии.(пример.7.10).
Пример 7.10.
useragents.txt
Firefox
Chrome
Safari
Edge
Список популярных пользовательских агентов можно найти по адресу http://
bit.ly/2WugjXl.
Затем.вы.можете.прочитать.журнал.веб-сервера.и.сравнить.каждую.строку.со.
списком.популярных.пользовательских.агентов.(браузеров),.пока.не.будет.по-
лучено.совпадение..Если.совпадения.не.будет,.строка.должна.рассматриваться.
как.аномалия.и.печататься.в.стандартном.выводе.вместе.с.IP-адресом.системы,.
выполняющей.запрос..Такое.сравнение.дает.нам.дополнительную.информацию,.
связанную.с.рассматриваемыми.данными,.—.с.ее.помощью.мы.сможем.идентифи-
цировать.систему.с.необычным.пользовательским.агентом.и.получим.еще.один.
путь.для.дальнейшего.изучения.
Пример 7.11.
useragents.sh
#!/bin/bash -
#
# Bash и кибербезопасность
# useragents.sh
#
# Описание:
# Чтение журнала и поиск неизвестных пользовательских агентов
#
# Использование: ./useragents.sh <
# Журнал веб-сервера Apache
#
# несовпадение — поиск по массиву известных имен
# возвращает 1 (false), если совпадение найдено
# возвращает 0 (true), если совпадений нет

130
Часть II • Защитные операции с использованием bash
function mismatch ()

{
local -i i

for ((i=0; i<$KNSIZE; i++))
do
[[ "$1" =~ .*${KNOWN[$i]}.* ]] && return 1

done
return 0
}
readarray -t KNOWN < "useragents.txt"

KNSIZE=${#KNOWN[@]}

# предварительная обработка лог-файла (stdin),
# чтобы выбрать IP-адреса и пользовательские агенты
awk -F'"' '{print $1, $6}' | \
while read ipaddr dash1 dash2 dtstamp delta useragent

do
if mismatch "$useragent"
then
echo "anomaly: $ipaddr $useragent"
fi
done

.Сценарий.будет.основан.на.функции.несовпадения..Если.обнаружится.несоот-
ветствие,.будет.возвращено.значение.
success
.или.
true
..Это.значит,.что.совпадение.
со.списком.известных.пользовательских.агентов.не.найдено..Данная.логика.может.
показаться.нестандартной,.но.так.удобнее.читать.оператор.
if
,.содержащий.вызов.
mismatch
.

.Объявление.нашего.цикла.
for
.в.качестве.локальной.переменной.—.хорошая.идея..
Данный.шаг.в.сценарии.не.является.обязательным.

.Здесь.представлены.две.строки.для.сравнения:.входные.данные.из.файла.журна-
ла.и.строка.из.списка.известных.пользовательских.агентов..Для.гибкого.сравнения.
используется.оператор.сравнения.регулярных.выражений.(
the=~
)..Значение.
.*
.
(ноль.или.более.вхождений.любого.символа),.размещенное.по.обе.стороны.ссылки.
массива.
$KNOWN
,.говорит.о.том,.что.совпадение.известной.строки.может.быть.най-
дено.в.любом.месте.другой.строки.

.Каждая.строка.файла.добавляется.как.элемент.к.указанному.имени.массива..
Это.дает.нам.массив.известных.пользовательских.агентов..В.bash.существует.два.
способа.добавить.строки.к.массиву:.использовать.либо.
readarray
,.как.сделано.
в.этом.примере,.либо.
mapfile
..Опция.
-t
.удаляет.завершающий.символ.новой.
строки.из.каждой.прочитанной.строки..Здесь.указан.файл,.содержащий.список.
известных.пользовательских.агентов;.при.необходимости.его.можно.изменить.

Download 4,82 Mb.

Do'stlaringiz bilan baham:

1 ... 91 92 93 94 95 96 97 98 ... 206