admin / 26.11.2017
Детальный анализ действий злоумышленника в системе ДБО можно осуществить на основе анализа архивных файлов дампа трафика (см. также раздел 5.1.8 «Подсистема журналирования»).
В штатном режиме работы, модуль фильтрации трафика формирует единый файл дампа трафика всех клиентов. В процессе еженочного переключения журналов событий, ранее созданный файл дампа переименовывается, а новое имя файла содержит информацию о времени переключения файла во временной зоне UTC.
В целях экономии места на архивном носителе, после переименования файл дампа сжимается архиватором rar (если установлен) либо tar (со сжатием bzip2), которые перед анализом необходимо распаковать во временную директорию.
Для удобства анализа действий злоумышленников, которые были в момент создания мошеннического документа, в FraudWall предусмотрена возможность создания на основе большого файла дампа нескольких небольших файлов, содержащих информацию только по заданному клиенту банка (либо по заданному компьютеру клиента банка).
Извлеченные файлы дампа трафика создаются с учетом времени аутентификации (как успешной, так и не успешной) по маске:
Содержание
Значение поля «ЛогинЮрЛица» указывается только в том случае, если в ДБО предусмотрен не только логин пользователя клиента, но и логин юридического лица (например, в этом случае для разных логинов юр.лиц CORP1 и CORP2 могут быть созданы пользователи с одинаковыми логинами director).
Дата и время, указанные в имени файла, являются временем аутентификации во временной зоне UTC.
Файлы дампа, как правило, занимают на диске много места. Поэтому работу с ними лучше осуществлять в директории .
Предварительно убедитесь, что на соответствующем разделе достаточно места командой: df /var -H
Перед началом анализа данных необходимо определить, за какой период будут обрабатываться данные:
дамп за текущий день находится в директории
дамп за предыдущие периоды помещаются в архивные файлы (один файл архива содержит дампы всех сайтов за одни сутки) в директорию .
При восстановлении архивов с дампами трафика необходимо учитывать, что время, указанное в имени архивного файла, является не началом времени формирования архива, а временем его завершения (во временной зоне UTC).
Согласно разделу 5.1.9 «Регламентные процедуры», файлы из директории /var/log/archive должны переносится на внешний носитель (сетевой диск, DVD-диск и т.д.)
в кластерной установке (если один и тот же сайт системы ДБО обслуживается несколькими серверами FraudWall с модулем анализа трафика), дампы за текущий день и их архивы необходимо скопировать на один сервер.
Для разархивирования файлов с расширением , в SSH-консоли необходимо выполнить команду: tar -x -j -f ИмяФайла.tar.bz2 -C ДиректорияАнализа
Пример 1.
tar -x -j -f srv1-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv1
tar -x -j -f srv2-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv2
В кластерной установке распакованные файлы дампов разных серверов называются одинаково (например, ). Поэтому при распаковке архивов разных серверов необходимо указывать разные поддиректории (например, и ).
Файл дампа содержит информацию по сессиям всех клиентов банка. Чтобы работать только с нужной информацией, необходимо выбрать критерии извлечения данных.
Критерии фильтрации указываются как опции в командной строке при вызове утилиты формирования файлов дампа.
Можно указать один или одновременно несколько фильтров:
Таблица 16. Критерии фильтрации сессий клиентов
Критерий фильтрации | Опция |
---|---|
логин пользователя клиента | -u ЛогинПользователяКлиента |
логин юр. лица | -g ЛогинЮрЛица |
IP адрес компьютера клиента | -i IP_адрес |
CID (внутренний ID компьютера клиента) | -c CID_компьютера |
Обратите внимание, что для некоторых систем ДБО логин пользователя и юр.лица могут быть регистрозависимы (например, это ДБО BSClient), поэтому их необходимо указывать в соответствующем регистре.
Если указано два и более критерия отбора, они работают по принципу «ИЛИ».
Фильтрация сессий для извлечения из архива
В зависимости от системы ДБО, используются разные утилиты обработки файлов дампа:
Таблица 17. Утилиты анализа файлов дампов
Система ДБО | Наименование утилиты |
---|---|
BS-Client | fw_bsclient |
iSimpleBank 2.0 | fw_isimple |
Finacle eBanking | fw_finacle |
При вызове утилиты анализа дампов необходимо указать следующие опции:
Таблица 18. Обязательные опции запуска утилиты анализа файлов дампов
Опция | Назначение |
---|---|
-w | Признак того, что необходимо записать файл дампа в соответствии с критериями |
-s ДиректорияАнализа | Директория, в которой находятся распакованные файлы (внутри нее могут находится поддиректории, например, от разных серверов системы FraudWall) |
-d ДиректорияРезультата | Директория, в которую будут записаны результирующие файлы |
-l ЛогФайл | (опционально) файл журнала событий обработки файлов дампа. Если опция не указывается, журнал событий будет выведен на экран |
Необходимо убедится, что директория, в которую будут сохранены обработанные данные, пуста, или вообще отсутствует.
Результатом работы утилиты будет набор файлов, содержащих дамп работы каждой из сессий клиентов с учетом заданных критериев фильтрации.
Примеры использования утилиты обработки файла дампа:
Пример 2. Создание файла с сессиями клиента с логином user01
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01
Пример 3. Создание файла с сессиями клиентов с логинами user01 или user02
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -u user02
Пример 4. Создание файла с сессиями клиента с логином user01 или с IP адреса 198.3.45.89
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -i 198.3.45.89
Пример 5. Создание файла с сессиями всех клиентов, которые были с IP адреса 198.3.45.89
fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -i 198.3.45.89
После обработки данных не забудьте удалить директорию с распакованными дампами трафика, т.к. они занимают много места и не нужны для работы системы FraudWall в штатном режиме.
Авторские права © 2018 ООО «Фродекс»
|
|
|
|
|
|
|
|
|
(c) 2010 by packetlevel.ch / last update: 18.12.2010
When you’re debugging a tough problem you sometimes need to analyze the HTTP traffic flowing between your machine and a webserver or proxy. Sometimes you can use firebug or chrome inspector for that. But here’s a lowlevel alternative that I’m pretty excited about. Meet Tshark.
Because it’s low level, it will run nicely in a separate console.
And it will catch any request. That can be useful when you want to find out what 3rd party apps are communicating. In my case it was a Flash app that we assumed didn’t respect some redirect headers while downloading static files. Since it had it’s own HTTP implementation, firebug was unable to shed any light on the matter.
I knew tcpdump but was never really happy with it. And then I found TShark.
On Ubuntu I typed:
But I found implementations for other systems as well.
Tshark can analyze any kind of network traffic, but in my case I was particularly helped by a command I found on stackoverflow:
Run that, and browsing to google will dump:
Nice and clean.
The above was all I needed, but I soon found examples that demonstrate some other capabilites.
The command below counts the number of GIF images downloaded through HTTP (from codealias):
The command below captures all port 110 traffic and filters out the ‘user’ command and saves it to a text file (from Mark’s notes):
One from superuser
Ok that’s it for now. If you have some juicy tshark commands yourself, just post a comment and I’ll update the article.
FILED UNDER : IT