Nuova release per il kernel Linux la 2.6.31

glycerin — Fri, 13 Nov 2009 00:42:17 +0000

Anche questa notizia non è delle più recenti ma mi preme mantenere una traccia sul mio blog per due aspetti importanti che riguardano il framework netfilter e il controllo di alterazioni su filesystem.
La parte di netfilter è l’introduzione del “passive OS fingerprinting” ovvero il riconoscimento passivo -parziale- del Sistema Operativo col quale il pacchetto è stato originato. Questo permette come vantaggio il poter scatenare azioni o reazioni in dipendenza del sistema operativo.
L’articolo dal quale ho preso spunto della notizia riporta alcuni link utili all’argomento:

Come riportato nell’articolo di lwn questa feature è presente da tempo in OpenBSD.
Il termine passivo è inerente alla metodologia di detection che viene già utilizzata da p0f ovvero utilizzare i diversi dettagli con cui i pacchetti vengono originati per risalire al sistema operativo. Diversamente da nmap che usa una metodologia attiva ovvero compie delle vere e proprie richieste per avere queste info. Infatti tutti gli IDS sono capaci di individuare i tentativi di nmap sulla rete.

Sul sito web di Evgeniy Polyakov vi è l’esempio di un syslog con l’aggiunta di questa feature che è del seguente tipo:

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3
Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Per la parte inerente il controllo di alterazioni sul filesystem la feature degna di nota è la Fsnotify che va a sostituire Dnotify e Inotify e può essere utilizzata per monitorare cambiamenti sul filesystem come creazione, modifica e cancellazione di file. Lo scopo è di permettere ad esempio la scansione di file su filesystem con strumenti rigorosamente del tipo userspace prima che questi provochino dei danni come ad esempio alla ricerca di virus o worm.

Per ulteriori dettagli per queste come di altre feature della nuova release rimando al link.

Fonte notizia: http://www.h-online.com/open/features/The-Next-Round-The-new-features-of-Linux-2-6-31-746619.html

Installazione delle librerie PF_RING

admin — Thu, 31 May 2007 16:21:59 +0000

In Linux, oltre alla guida messa a disposizione sul sito PF_RING Ã¨ utile anche avere come riferimento la guida scritta da Bjoern Weiland (bjou) reperibile al link Advanced Packet Capturing Howto: PF_RING, NAPI and extended libpcap on Debian Sarge.

Durante l’installazione delle libpcap aggiornate con le pfring Ã¨ necessario prestare attenzione al contenuto del README posto all’interno della directory /PF_RING/userland/libpcap-0.9.4-ring e in piÃ¹ bisogna aggiungere un’opzione al linker nel Makefile delle libpcap alla direttiva per la libpcap.so e cioÃ¨ aggiungere -lpfring nella riga

ld -shared -o $@.`cat VERSION` $(OBJ)

che diventerÃ

ld -shared -o $@.`cat VERSION` $(OBJ) -lpfring.

In questo modo una volta controllate le dipendenze della libpcap.so.VERSION mediante il comando ldd si avrÃ nell’output anche la presenza di libpfring.so.VERSION.

gabcicala » PF_RING

Nuova release per il kernel Linux la 2.6.31

Installazione delle librerie PF_RING