6.5. Анализ дампов трафика клиентов в ручном режиме

Детальный анализ действий злоумышленника в системе ДБО можно осуществить на основе анализа архивных файлов дампа трафика (см. также раздел 5.1.8 «Подсистема журналирования»).

В штатном режиме работы, модуль фильтрации трафика формирует единый файл дампа трафика всех клиентов. В процессе еженочного переключения журналов событий, ранее созданный файл дампа переименовывается, а новое имя файла содержит информацию о времени переключения файла во временной зоне UTC.

В целях экономии места на архивном носителе, после переименования файл дампа сжимается архиватором rar (если установлен) либо tar (со сжатием bzip2), которые перед анализом необходимо распаковать во временную директорию.

Для удобства анализа действий злоумышленников, которые были в момент создания мошеннического документа, в FraudWall предусмотрена возможность создания на основе большого файла дампа нескольких небольших файлов, содержащих информацию только по заданному клиенту банка (либо по заданному компьютеру клиента банка).

Извлеченные файлы дампа трафика создаются с учетом времени аутентификации (как успешной, так и не успешной) по маске: ЛогинПользователяКлиента[_ЛогинЮрЛица ]-ГГГГММДД_ЧЧММСС_UTC.dat

Примечание

Значение поля «ЛогинЮрЛица» указывается только в том случае, если в ДБО предусмотрен не только логин пользователя клиента, но и логин юридического лица (например, в этом случае для разных логинов юр.лиц CORP1 и CORP2 могут быть созданы пользователи с одинаковыми логинами director).

Дата и время, указанные в имени файла, являются временем аутентификации во временной зоне UTC.

6.5.1. Подготовка файлов для обработки

Примечание

Файлы дампа, как правило, занимают на диске много места. Поэтому работу с ними лучше осуществлять в директории /var/tmp.

Предварительно убедитесь, что на соответствующем разделе достаточно места командой: df /var -H

Перед началом анализа данных необходимо определить, за какой период будут обрабатываться данные:

  • дамп за текущий день находится в директории /var/log/fraudwall

  • дамп за предыдущие периоды помещаются в архивные файлы (один файл архива содержит дампы всех сайтов за одни сутки) в директорию /var/log/archive.

    Внимание

    При восстановлении архивов с дампами трафика необходимо учитывать, что время, указанное в имени архивного файла, является не началом времени формирования архива, а временем его завершения (во временной зоне UTC).

    Примечание

    Согласно разделу 5.1.9 «Регламентные процедуры», файлы из директории /var/log/archive должны переносится на внешний носитель (сетевой диск, DVD-диск и т.д.)

  • в кластерной установке (если один и тот же сайт системы ДБО обслуживается несколькими серверами FraudWall с модулем анализа трафика), дампы за текущий день и их архивы необходимо скопировать на один сервер.

Для разархивирования файлов с расширением .tar.bz2, в SSH-консоли необходимо выполнить команду: tar -x -j -f ИмяФайла.tar.bz2 -C ДиректорияАнализа

Пример 1.

tar -x -j -f srv1-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv1

tar -x -j -f srv2-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv2


Внимание

В кластерной установке распакованные файлы дампов разных серверов называются одинаково (например, site1-dump.dat). Поэтому при распаковке архивов разных серверов необходимо указывать разные поддиректории (например, /var/tmp/dump/srv1 и /var/tmp/dump/srv2).

6.5.2. Фильтрация сессий для извлечения из архива

Файл дампа содержит информацию по сессиям всех клиентов банка. Чтобы работать только с нужной информацией, необходимо выбрать критерии извлечения данных.

Критерии фильтрации указываются как опции в командной строке при вызове утилиты формирования файлов дампа.

Можно указать один или одновременно несколько фильтров:

Таблица 16. Критерии фильтрации сессий клиентов

Критерий фильтрации Опция
логин пользователя клиента -u ЛогинПользователяКлиента
логин юр. лица -g ЛогинЮрЛица
IP адрес компьютера клиента -i IP_адрес
CID (внутренний ID компьютера клиента) -c CID_компьютера

Внимание

Обратите внимание, что для некоторых систем ДБО логин пользователя и юр.лица могут быть регистрозависимы (например, это ДБО BSClient), поэтому их необходимо указывать в соответствующем регистре.

Если указано два и более критерия отбора, они работают по принципу "ИЛИ".

6.5.3. Запуск утилиты формирования файлов дампов сессий клиентов

В зависимости от системы ДБО, используются разные утилиты обработки файлов дампа:

Таблица 17. Утилиты анализа файлов дампов

Система ДБО Наименование утилиты
BS-Client fw_bsclient
iSimpleBank 2.0 fw_isimple
Finacle eBanking fw_finacle

При вызове утилиты анализа дампов необходимо указать следующие опции:

Таблица 18. Обязательные опции запуска утилиты анализа файлов дампов

Опция Назначение
-w Признак того, что необходимо записать файл дампа в соответствии с критериями
-s ДиректорияАнализа Директория, в которой находятся распакованные файлы (внутри нее могут находится поддиректории, например, от разных серверов системы FraudWall)
-d ДиректорияРезультата Директория, в которую будут записаны результирующие файлы
-l ЛогФайл (опционально) файл журнала событий обработки файлов дампа. Если опция не указывается, журнал событий будет выведен на экран


Внимание

Необходимо убедится, что директория, в которую будут сохранены обработанные данные, пуста, или вообще отсутствует.

Результатом работы утилиты будет набор файлов, содержащих дамп работы каждой из сессий клиентов с учетом заданных критериев фильтрации.

Примеры использования утилиты обработки файла дампа:

Пример 2. Создание файла с сессиями клиента с логином user01

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01


Пример 3. Создание файла с сессиями клиентов с логинами user01 или user02

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -u user02


Пример 4. Создание файла с сессиями клиента с логином user01 или с IP адреса 198.3.45.89

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -i 198.3.45.89


Пример 5. Создание файла с сессиями всех клиентов, которые были с IP адреса 198.3.45.89

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -i 198.3.45.89


Внимание

После обработки данных не забудьте удалить директорию с распакованными дампами трафика, т.к. они занимают много места и не нужны для работы системы FraudWall в штатном режиме.