Rychlé zpracování aplikačních protokolů / Fast Processing of Application-Layer Protocols

Bárta, Stanislav

January 2014

This master's thesis describes the design and implementation of system for processing application protocols in high-speed networks using the concept of Software Defined Monitoring. The proposed solution benefits from hardware accelerated network card performing pre-processing of network traffic based on the feedback from monitoring applications. The proposed system performs pre-processing and filtering of network traffic which is handed afterwards passed to application modules. Application modules process application protocols and generate metadata that describe network traffic. Pre-processing consists of parsing of network protocols up to the transport layer, TCP reassembling and forwarding packet flow only to modules that are looking for a given network traffic. The proposed system closely links intercept related information internal interception function (IRI-IIF) and content of communication internal interception function (CC-IIF) to minimize the performing of duplicate operations and increase the efficiency of the system.

Korelace dat na vstupu a výstupu sítě Tor / Correlation of Inbound and Outbound Traffic of Tor Network

Coufal, Zdeněk

January 2014

Communication in public networks based on the IP protocol is not really anonymous because it is possible to determine the source and destination IP address of each packet. Users who want to be anonymous are forced to use anonymization networks, such as Tor. In case such a user is target of lawful interception, it presents a problem for those systems because they only see that the user communicated with anonymization network and have a suspicion that the data stream at the output of anonymization network belong to the same user. The aim of this master thesis was to design a correlation method to determine the dependence of the data stream at the input and the output of the Tor network. The proposed method analysis network traffic and compares characteristics of data streams extracted from metadata, such as time of occurence and the size of packets. This method specializes in correlating data flows of protocol HTTP, specifically web server responses. It was tested on real data from the Tor network and successfully recognized dependency of data flows.

Zákonné odposlechy: detekce identity / Lawful Interception: Identity Detection

Polčák, Libor

January 2017

Komunikace předávaná skrze Internet zahrnuje komunikaci mezi pachateli těžké trestné činnosti. Státní zástupci schvalují cílené zákonné odposlechy zaměřené na podezřelé z páchání trestné činnosti. Zákonné odposlechy se v počítačových sítích potýkají s mnoha překážkami. Identifikátory obsažené v každém paketu jsou koncovým stanicím přidělovány po omezenou dobu, nebo si je koncové stanice dokonce samy generují a automaticky mění. Tato dizertační práce se zabývá identifikačními metodami v počítačových sítích se zaměřením na metody kompatibilní se zákonnými odposlechy. Zkoumané metody musejí okamžitě detekovat použití nového identifikátoru spadajícího pod některý z odposlechů. Systém pro zákonné odposlechy následně nastaví sondy pro odposlech komunikace. Tato práce se převážně zabývá dvěma zdroji identifikačních informací: sledováním mechanismu pro objevování sousedů a detekcí identity počítače na základě přesností měření času jednotlivých počítačů. V rámci dizertačního výzkumu vznikly grafy identit, které umožňují spojování identit s ohledem na znění povolení k odposlechu. Výsledky výzkumu je možné aplikovat v rámci zákonných odposlechů, síťové forenzní analýzy i ve vysokoúrovňových programově řízených sítích.

Rozšíření systému pro zákonné odposlechy / Additions to Lawful Interception System

Hranický, Radek

January 2014

As a part of the Modern Tools for Detection and Mitigation of Cyber Criminality on the New Generation Internet project, a Lawful Interception System was developed. This thesis describes additions to the system, which provide a capability to intercept application protocols (eg. an e-mail communication) directly in a network of an Internet service provider. This new functionality enables automatic detection and filtering of a related TCP transfer. It is also able to handle situations, in which the identity (an IP address) of a target user is not known yet, or when it is difficult to detect it (NAT is in progress, user is at an Internet café, behind the firewall, etc.). One of the most important requirements for the developed prototype is the ability of a fast packet proccessing with maximum throughput and minimal packet loss. Therefore, this thesis also consists of a performance profiling, an identification of critical points and their optimalization.