Utilité de l'APS

L'utilitaire APS est un utilitaire de détection des attaques de pirates informatiques. Comme vous le savez, la première phase de la plupart des attaques de pirates est un inventaire du réseau et un balayage des ports sur les hôtes détectés. L'analyse des ports permet de déterminer le type de système d'exploitation et de localiser les services potentiellement vulnérables (tels que la messagerie ou un serveur web). Après avoir analysé les ports, de nombreux scanners déterminent le type de service en envoyant des demandes de test et en analysant la réponse du serveur. L'utilitaire APS communique avec l'attaquant et peut identifier de manière unique une attaque.

En outre, l'utilitaire est conçu pour

• Pour détecter différents types d'attaques (principalement le balayage des ports et l'identification des services) et l'apparition de chevaux de Troie et de vers de réseau (APS dispose de plus d'une centaine de ports utilisés par les vers et les composants de porte dérobée) ;
• Pour tester les scanners de port et la sécurité du réseau. Pour tester un scanner, vous devez exécuter APS sur un ordinateur de test et scanner les ports - les protocoles APS montrent quels scans le scanner exécute et dans quel ordre ;
• Pour le test et le contrôle opérationnel du fonctionnement du pare-feu. Dans ce cas, l'utilitaire APS s'exécute sur l'ordinateur sur lequel le pare-feu est installé et effectue des analyses de ports et (ou autres attaques) contre le PC.

Si l'APS génère une alarme, cela indique que le Pare-feu ne fonctionne pas ou n'est pas correctement configuré. L'APS peut être exécuté en continu derrière un ordinateur protégé par un pare-feu pour vérifier le bon fonctionnement du pare-feu en temps réel - Blocage et détection des vers de réseau et des modules Backdoor - Le principe de détection et de blocage est basé sur le fait qu'un même port ne peut être ouvert à l'écoute qu'une seule fois. Par conséquent, l'ouverture des ports utilisés par les chevaux de Troie et les portes dérobées avant leur lancement les empêchera de s'exécuter et, après leur lancement, détectera le port utilisé par un autre programme - Test des logiciels anti-trojans et antivirus, IDS - APS dispose de plus de cent ports pour les chevaux de Troie les plus répandus.

Certains logiciels anti chevaux de Troie peuvent analyser les ports du PC testé (ou construire une liste de ports sans analyse, en utilisant l'API de Windows) - un tel logiciel devrait signaler un cheval de Troie suspect (avec une liste de ports "suspects" affichée) - la liste peut être comparée avec la liste des ports dans la base de données APS et des conclusions sur la fiabilité de l'outil utilisé. Le logiciel fonctionne sur la base de l'écoute des ports décrits dans la base de données.

La base de données des ports est mise à jour et si vous connaissez le port utilisé par un Trojan ou un Backdoor, envoyez-le moi - je l'ajouterai à la base de données. La base de données contient une brève description de chaque port - les brèves descriptions contiennent soit le nom des virus qui utilisent le port, soit le nom du service par défaut auquel le port correspond. Lorsque le programme détecte une tentative de connexion au port d'écoute, il enregistre la connexion, analyse les données reçues après la connexion et, pour certains services, transmet ce qu'on appelle une bannière - un ensemble de données textuelles ou binaires transmises par le service réel après la connexion.