Cctde est une première implémentation de l'article Covert Channel and Tunneling over the HTTP protocol Detection : GW implementation theoretical design.

L'objectif principal de ce projet est de fournir une méthode pour enregistrer et présenter des informations permettant de détecter les tunnels non autorisés et les canaux cachés quand ceux-ci sont basés sur le protocole HTTP mais les concepts mis en oeuvre pourraient également être appliqués à la détection de flots de données arbitraires dans d'autres protocoles applicatifs.

Situé entre un serveur HTTP proxy et les clients http (ou devant le NACS si aucun proxy n'est présent), cctde tente de détecter si un outil de type CC|T (Covert Channel OR Tunneling) est utilisé sur le réseau internet pour franchir le NACS.

Situé en frontal de serveurs d'entrprise en DMZ, cctde tente de détecter si des outils orientés serveur comme WebShell ou Firepass sont utilisés à partir de stations connectés sur Internet pour passer au travers des flux autorisés par le NACS.

Cctde est actuellement conçu pour servir d'outil d'analyse au NIDS Snort. Snort est employé comme une sonde réseau - il enregistre les flux de données ou non au format tcpdump - et communique avec cctde via une socket Unix. Cctde peut ensuite lire les alertes et les paquets pcap Snort depuis la socket Unix et les enregistre. Il est alors possible de correler les données enregistrées pour détecter des activités réseau spécifiques.

Simon Castro
Current Cctde version: 0.2; README, CHANGELOG, EXAMPLES
Download | md5sum: a0fd7e48315d3e38b1c6a3fd689fb47a
http://gray-world.net/projects/cctde/cctde-0.2.tar.gz

Projects index