Original title:
Aktivní reakce na vybrané typy síťových útoků
Translated title:
Active Response to Selected Network Attacks
Authors:
Wysoglad, Jaromír ; Martínek, Tomáš (referee) ; Žádník, Martin (advisor) Document type: Master’s theses
Year:
2023
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Cílem této práce je navrhnout a implementovat aktivní reakci na zvolený síťový útok. V práci je vyjmenováno několik různých reakcí na různé útoky vedené po síťi. Tyto reakce jsou následně porovnány pomocí několika různých kritérií a je z nich vybrána nejvhodnější reakce pro následnou implementaci. Tato reakce je nejdříve detailně popsána a je detailně navržen návrh její implementace. V pozdějších fázích této práce je zvolená reakce implementována a otestována. Zvolená reakce dokáže reagovat na dva druhy útoků. Prvním z nich je skenování portů, kdy implementovaný projekt dokáže na sken libovolně odpovídat místo původně zamýšlené oběti. Druhým druhem útoku je situace, kdy se útočník pokouší přihlásit na SSH server oběti. Implementovaný projekt dokáže tyto pokusy přesměrovat na honeypot, který zaznamenává použité přihlašovací údaje. Dále je možnost útočníka nechat úspěšně přihlásit. V této situaci honeypot útočníka přesměruje do docker kontejneru, takže si útočník bude myslet, že je na skutečném SSH serveru. Honeypot následně zaznamenává veškerý útočníkův pohyb v kontejneru. V rámci práce byla také vytvořena jednoduchá aplikace umožňující přehrát takto zaznamenaný útok tak, jak jej viděl a provedl útočník.
The goal of this thesis is to design and implement an active response to a chosen network attack. In the thesis are mentioned a few different possible responses to network attacks. These reactions are then compared using a few different criteria and the most appropriate response is then chosen for implementation. This response is then described in detail and its implementation is proposed. In the later fazes of the thesis the reaction is implemented and tested. The chosen reaction can react to two types of attacks. The first type is a port scan. The implemented project can answer a port scan instead of the original victim. The second type is a situation, when an attacker is trying to log into an SSH server of the victim. The project can reroute these login attempts to a honeypot, which can record the used login credentials. After this, it's possible to let the attacker to successfuly login. In this sitation the honeypot will reroute the attacker to a docker container, so the attacker will think, that this is a real ssh server. The honeypot will then record attacker's every move on the container. As a part of the thesis, there is also a simple application, which allows the defender to replay the recorded attack. The defender will se exactly the same output as the attacker saw during the attack.
Keywords:
active response; computer network; cyber security; defense; honeypot; port scan; aktivní reakce; honeypot; obrana; počítačová bezpečnost; počítačová síť; skenování portů
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/211925