Cctde является первой практической реализацией в коде статьи Covert Channel a nd Tunneling over the HTTP protocol Detection : GW implementation theoretical design.

Основная цель этого проекта это создание инструмента позволяющего регистрировать и раскрывать несанкционированные Туннели и Скрытые Каналы, использующие HTTP протокол, однако концепция реализованная в программе может также быть распространена и на обнаружение произвольных потоков данных в других протоколах высокого уровня.

Cctde располагается между HTTP прокси сервером и HTTP клиентами (либо перед Системой Контроля Сетевого Доступа, если прокси сервер не используется) и пытается обнаружить попытки пользователей локальной сети установить Скрытые Каналы или Туннели, нарушающие политику безопасности сети.

Будучи расположенным перед корпоративным сервером в DMZ, Cctde позволяет раскрывать факты использования программ на стороне сервера, таких как WebShell или Firepass и позволяющих несанкционированным потокам данных пересекать границы сетей.

В настоящий момент программа разработана как аналитической дополнение к NIDS Snort. Snort работает как сетевой сенсор, сохраняя или нет потоки данных в бинарные файлы формата tcpdump и обмениваясь с Cctde через Unix сокеты. Cctde читает сообщения Snort и pcap пакеты из Unix сокета, после чего сохраняет их в памяти. После этого возможна дальнейшая обработка полученных данных с целью раскрытия сетевых активностей определенного типа.

Simon Castro
Текущая версия Cctde: 0.2; README, CHANGELOG, EXAMPLES
Загрузить | md5sum: a0fd7e48315d3e38b1c6a3fd689fb47a
http://gray-world.net/projects/cctde/cctde-0.2.tar.gz

Список проектов