Cctde jest pierwszą implementacją narzędzia z artykułu Gray-World.net Covert Channel and Tunneling over the HTTP protocol Detection : GW implementation theoretical design' paper.

Głównym celem tego projektu jest umożliwienie rejestrowania i porządkowania informacji prowadzących do wykrycia nieautoryzowanych tuneli i ukrytych kanałów obudowanych protokołem HTTP. Cała koncepcja może być jednak dostosowana do wykrywania przepływów dodatkowych danych także w innych protokołach wysokiego poziomu.

Zlokalizowane pomiędzy obowiązkowym serwerem http proxy a klientami http (albo przed NACS, jeżeli proxy nie istnieje), cctde próbuje wykryć, czy ktoś z lokalnej sieci używa narzędzi CC|T (do ukrytych kanałów lub tunelowania - Covert Channel OR Tunneling) do obchodzenia NACS.

Zlokalizowane przed firmowymi serwerami w DMZ, cctde próbuje wykryć, czy ktoś z Internetu używa narzędzi na serwerze takich jak WebShell albo Firepass unikając ograniczeń NACS.

Cctde jest aktualnie zaprojektowany do współpracy z narzędziem Snort. Snort działa jak sieciowy czujnik - nagrywając bądź nie przepływające dane w binarnych plikach formatu tcpdump - i komunikuje się z cctde używając gniazd dziedziny Unix. Następnie cctde czyta alerty Snorta i pakiety pcap z gniazda dziedziny Unix i składuje je w pamięci. Jest wtedy możliwe przetworzenie nagranych danych w celu wykrycia szczególnej sieciowej aktywności.

Simon Castro
Aktualna wersja Cctde : 0.2; README, CHANGELOG, EXAMPLES
Download | md5sum: a0fd7e48315d3e38b1c6a3fd689fb47a
http://gray-world.net/projects/cctde/cctde-0.2.tar.gz

Indeks projektów