2008.06_Analiza systemu SNORT.pdf

OBRONA

Analiza

MARCIN KLAMRA

systemu

SNORT

Stopień trudności

Konieczność analizy wszystkich pakietów przesyłanych w sieci

przez system wykrywania włamań jest niezwykle istotna. Zgubienie

choćby jednego pakietu może doprowadzić do sytuacji niewykrycia

ataku. Należy w taki sposób konfigurować system wykrywania

włamań, aby do tego typu sytuacji nie dopuścić.

identyfikowania i reagowania na

szkodliwą działalność skierowaną

przeciw zasobom informatycznym i sieciowym.

Narzędzia spełniające wyżej wymienione funkcje

nazywają się Systemami Wykrywania Włamań

(ang. Intrusion Detection Systems ).

Podziału systemów wykrywania włamań można

dokonać na wiele sposobów. Po pierwsze może

to być podział ze względu na źródło zdarzenia

zewnętrznego, a więc umiejscowienie generatora

zdarzeń. Możliwe jest także zastosowanie podziału

ze względu na sposób analizy danych. Systemy

IDS można także rozróżniać ze względu na rodzaj

bazy danych oraz sposób działania jednostki

reagującej. Nas jednak interesować będzie podział

opisany w dwóch pierwszych przypadkach.

Ze względu na źródło zdarzeń zewnętrznych

wyróżniamy następujące typy systemów

wykrywania włamań:

Zgodnie z zaprezentowanym wyżej podziałem jest

więc systemem opartym na sieci, wykrywającym

nadużycia ze wszystkimi tego konsekwencjami.

Z ARTYKUŁU

DOWIESZ SIĘ

jak liczba oraz rodzaje

stosowanych reguł wpływają na

wydajność systemu Snort,

jak tworzyć reguły dla systemu

Snort, aby nie powodowały

znacznego spadku wydajności

systemu,

jak zmienia się wydajność

systemu Snort wraz z

pojawianiem się nowych jego

wersji,

jaką wydajnością charakteryzuje

się filtr pakietów iptables w

porównaniu z systemem Snort.

Systemy IDS oparte na sieci

Systemy tego typu wykrywają ataki

przechwytując i analizując ruch w sieci. Dzięki

temu jeden system może monitorować działanie

i chronić wiele maszyn w danym segmencie

sieci. Jakość tej ochrony oraz możliwa liczba

chronionych maszyn w dużej mierze zależy od

poprawnego umiejscowienia sensora, czym tutaj

nie będę się zajmować.

Spotyka się różne konfiguracje pracy

sieciowego systemu IDS. Może to być system

zbudowany przy pomocy tylko jednej maszyny

(takim przypadkiem zajmuję się w tym artykule),

która wypełnia zadania przechwytywania

ruchu sieciowego, jego analizowania,

składowania i reagowania na ataki. Istnieje

także możliwość rozproszenia pracy poprzez

zaimplementowanie kilku sensorów w sieci.

Sensory te mogą przekazywać informacje do

jakiejś centralnej jednostki, która zajmować się

może składowaniem, analizą i korelacją danych

zebranych przez poszczególne sensory.

Dedykowane maszyny, które pracują jako

sensory sieciowego systemu wykrywania

włamań, jest łatwo zabezpieczyć. Wystarczy

zastosować ukryty tryb pracy (ang. stealth ),

co sprawia, że atakujący ma dużą trudność z

wykryciem i zidentyfikowaniem takiego systemu.

• systemy oparte na hoście (ang. host-based ),

• systemy oparte na sieci (ang. network-based ).

CO POWINIENEŚ

WIEDZIEĆ

co to jest system wykrywania

włamań,

jakie wyróżniamy typy systemów

wykrywania włamań i jakie są

ich podstawowe cechy,

Z kolei ze względu na sposób analizy danych

systemy IDS możemy podzielić na:

• systemy wykrywające anomalie,

• systemy wykrywające nadużycia.

czym jest sygnatura systemu IDS,

powinieneś znać podstawy

działania sieci komputerowych.

System Snort jest sieciowym systemem

wykrywania włamań opartym o sygnatury.

HAKIN9 6/2008

W ykrywanie włamań jest procesem

ANALIZA WYDAJNOŚCI SYSTEMU SNORT

Temat ten nie wchodzi jednak w zakres

artykułu.

Zalety systemów IDS opartych na sieciach:

• nie potrafią analizować ruchu

szyfrowanego, ponieważ nie znają

kluczy sesyjnych; pojawia się problem

zaufanej trzeciej strony,

• brakuje możliwości stwierdzenia,

czy atak zainicjowany przez intruza

powiódł się, czy też nie; wynika to z

analizy jedynie ruchu sieciowego, w

którym skutki włamania nie muszą się

objawić,

• podatność na ataki typu wstawienia,

odrzucenia, ataki TTL.

dane pochodzące z innych źródeł (np. od

konkretnych aplikacji).

Zalety systemów IDS opartych na hoście:

• kilka dobrze umiejscowionych

sensorów sieciowego systemu

wykrywania włamań jest w stanie

monitorować dużą sieć,

• wdrożenie systemu nie ingeruje w

dotychczasową strukturę sieci, ani w

jej działanie; sieciowe systemy IDS są

często pasywnymi urządzeniami, które

badają ruch sieciowy bez ingerowania

w jego przebieg,

• systemy takie można dobrze

zabezpieczyć, a nawet sprawić, by nie

były widzialne dla intruzów,

• możliwe jest wykrywanie ataków

przeprowadzanych przy użyciu sieci, jak

również przeprowadzanych przeciwko

sieci jako całości, np. skanowania sieci.

• potrafią dokładnie pokazać, co zrobił

intruz – można stwierdzić, jakie wydał

komendy, jakie pliki otwierał,

• posiadają zdolność do monitorowania

lokalnych dla danego hosta zdarzeń,

• mogą pracować w środowisku, w

którym ruch sieciowy jest szyfrowany.

Wady systemów opartych na hoście:

Systemy IDS

oparte na hoście

Systemy IDS oparte na hoście

przetwarzają informacje dotyczące

jednego systemu. Najczęściej są to

informacje dotyczące pewnej konkretnej

maszyny. Ten dogodny punkt pracy

systemu wykrywania włamań pozwala

na analizę charakteryzującą się dużą

niezawodnością i dokładnością.

Możliwe jest dokładne określenie, które

procesy i którzy użytkownicy biorą

udział w przeprowadzaniu danego

ataku w systemie. W przeciwieństwie do

sieciowych systemów IDS, systemy oparte

na hoście mogą także badać efekt ataku.

Są one bowiem w stanie bezpośrednio

monitorować systemy plików oraz procesy

na atakowanej maszynie.

Tego typu systemy wykorzystują jako

źródło informacji przede wszystkim pliki

dziennika systemu operacyjnego. Znajdują

się tam dane pochodzące zarówno od

jądra systemu operacyjnego, często

obszerne i szczegółowe, jak również

• są trudne w zarządzaniu, ponieważ

każdy z systemów wykrywania włamań

musi zostać skonfigurowany oddzielnie,

• mogą zostać unieszkodliwione

podczas ataku, ponieważ stanowią

część atakowanego systemu,

• wykorzystują moc obliczeniową

maszyny, którą ochraniają – a co

za tym idzie, obniżają jej użyteczną

wydajność.

Wady systemów IDS opartych na sieciach:

• sieciowe systemy wykrywania włamań

posiadają pewne ograniczenia (ich

zaprezentowaniem zajmę się w

dalszej części artykułu) dotyczące

przetwarzania całego ruchu w

sieciach o dużej przepustowości, co

może prowadzić do niemożności

wykrycia ataku przeprowadzanego w

momencie wysokiego nasilenia ruchu

sieciowego (który często towarzyszy

przeprowadzaniu ataków pewnych

typów),

Systemy IDS

wykrywające anomalie

Systemy te identyfikują nienormalny,

niezwykły sposób zachowania (anomalie)

w sieci lub na danym hoście. Ich praca

opiera się na podstawowym założeniu,

iż ataki generują inne zachowania niż

normalna praca i dzięki temu mogą

być wykryte. Budowane są profile

reprezentujące normalne zachowania

użytkowników, hostów czy połączeń

sieciowych. Następnie zbierane są dane

o zachowaniu w określonej chwili, a

Rysunek 1. Wydajność systemu Snort dla

standardowego zestawu sygnatur

Rysunek 2. Wydajność systemu Snort dla

zbioru sygnatur otwartych

Rysunek 3. Wydajność systemu Snort dla zbioru sygnatur o stałym porcie

6/2008

HAKIN9

OBRONA

przy wykorzystaniu różnych sposobów

pomiaru stwierdza się, czy monitorowana

działalność odbiega od normy.

Metody pomiarów mogą być różne.

Można mierzyć wartość zasobów

zużywanych przez użytkownika czy proces

(np. liczba otwartych plików, niepoprawnych

zalogowań do systemu itp.). Przekroczenie

pewnej wartości granicznej może oznaczać

nienormalną sytuację.

Jako metodę pomiaru można także

stosować analizę statystyczną, zarówno

parametryczną jak i nieparametryczną. Przy

analizie statystycznej mamy do czynienia

z przypadkiem, kiedy rozkład zdarzeń musi

mieścić się w pewnym z góry określonym

zakresie. W innej sytuacji rozkład badanych

wielkości musi być podobny do rozkładu

wielkości, które przyjęte zostały jako zbiór

odniesienia. Może on się zmieniać wraz z

upływem czasu. Stosowane są także inne

metody oparte na sieciach neuronowych,

algorytmach genetycznych czy modelu

systemów odpornościowych.

Zalety systemów IDS wykrywających

anomalie:

• wymagają uczenia – takiemu

systemowi trzeba dostarczyć zbioru

uczącego, na podstawie którego

utworzone zostaną bazowe profile; zły

zbiór uczący uniemożliwi późniejszą

poprawną pracę systemu.

Wady systemów IDS wykrywających

nadużycia:

• potrafią wykrywać tylko ataki, które

już są znane; sygnatura ataku musi

znajdować w bazie wiedzy,

• wzrost liczby sygnatur powoduje

obniżenie wydajności systemu (tym

problemem zajmę się dokładnie w

dalszej części artykułu).

Systemy IDS

wykrywające nadużycia

Systemy te wyszukują w monitorowanym

środowisku zdarzeń lub ich grup, które

zdefiniowane zostały jako zabronione. Są

to opisy znanych ataków. Tak zdefiniowane

reguły nazywają się sygnaturami ataku.

W związku z tym faktem opisywane

rozwiązania bywają nazywane także

systemami opartymi na sygnaturach.

Najczęściej spotykanym podejściem

do tej techniki wykrywania włamań jest

porównywanie danych otrzymanych od

generatora zdarzeń do poszczególnych

wzorców (sygnatur).

Zalety systemów IDS wykrywających

nadużycia:

Sygnatury

Tworzone sygnatury powinny spełniać

kilka warunków. Powinny generować jak

najmniejszą (najlepiej zerową) liczbę

fałszywych alarmów. Sytuację taką można

osiągnąć poprzez tworzenie sygnatur

jednoznacznie opisujących atak, przy

użyciu jak największej liczby szczegółów,

ze szczególnym naciskiem na detale

opisujące charakterystykę chronionego

środowiska. Kolejną istotną kwestią jest

tworzenie wydajnych sygnatur, a więc takich,

które nie powodują znacznego wzrostu

zapotrzebowania na moc obliczeniową

systemu wykrywania włamań. Tworzeniem

wydajnych sygnatur oraz analizą systemu

Snort pod kątem jego wydajności zajmę się

w dalszej części artykułu.

• są bardzo efektywne w wykrywaniu

ataków, a przy tym generują niewielką

liczbę fałszywych alarmów,

• potrafią szybko i niezawodnie

diagnozować użycie specyficznego

narzędzia ataku lub techniki, co może

być pomocne przy podejmowaniu

odpowiednich działań przez

administratora,

• nie wymagają od osoby

administrującej dużej wiedzy, sygnatury

ataków są powszechnie dostępne i nie

ma konieczności tworzenia własnych

(aczkolwiek jest to w wielu przypadkach

wysoce wskazane).

• systemy te wykrywają niezwykłe

zachowania, w związku z tym posiadają

zdolność wykrywania nowych,

nieznanych do tej pory ataków,

• wynikiem ich działania może być

informacja, która w dalszej kolejności

zostanie poddana analizie systemu

działającego na zasadzie wykrywania

nadużyć; może to podnieść skuteczność

systemu, a w szczególności ograniczyć

liczbę fałszywych alarmów.

Badanie

wydajności systemu Snort

Badaniom wydajnościowym został

poddany system Snort w wersji

2.8.0.1 – najnowszej dostępnej w

momencie pisania tego artykułu.

Dla porównania przytoczę tutaj także

wyniki publikowanych już wcześniej

badań przeprowadzonych dla Snorta w

wersji 1.9.1. Pozwoli to na porównanie

Wady systemów IDS wykrywających

anomalie:

• często generują dużą liczbę alarmów

spowodowaną nieprzewidywalnością

zachowań użytkowników czy sieci,

Rysunek 4. Wydajność systemu Snort dla

zestawu sygnatur o zmiennym porcie Rysunek 5. Standardowe reguły Snorta, ruch o zmiennym porcie docelowym

52 HAKIN9 6/2008

ANALIZA WYDAJNOŚCI SYSTEMU SNORT

wydajności różnych wersji systemu Snort

oraz na pokazanie jego rozwoju.

Aby zapewnić powtarzalność

kolejnych pomiarów, analiza wydajności

systemu Snort przeprowadzana była

z wykorzystaniem ruchu sieciowego

zapisanego do pliku w formacie tcpdump.

Plik ten miał rozmiar 1GB i zawierał ruch

przechwycony na wejściu do normalnie

działającej sieci. Nie był ruchem

wymuszonym, lecz ruchem naturalnym dla

tej sieci.

W trakcie wykonywania pomiarów

wydajności na wykorzystywanym

komputerze nie były wykonywane inne

zadania, a komputer odłączony był od

sieci – tak, aby zapewnić niezakłócone

warunki pracy. Każdy pomiar wykonany

został dziesięciokrotnie, a na poniższych

Rysunkach prezentowana jest wartość

średnia otrzymanych wyników.

Metodyka wykonywania pomiarów dla

systemu Snort w wersji 1.9.1 była podobna.

Inne były jedynie: wielkość pliku testowego

oraz parametry komputera wykorzystanego

do przeprowadzenia testów. Niemniej

jednak porównanie pozwoli na

wyciągnięcie kilku ciekawych wniosków.

Analiza przeprowadzona została dla

kilku zbiorów sygnatur. Dobór rodzaju

sygnatur pozwolił na pokazanie pewnych

interesujących cech systemu Snort.

Pierwszym przeprowadzonym

badaniem była analiza wydajności systemu

Snort z wykorzystaniem standardowych

sygnatur systemu. W momencie pisania

artykułu dla systemu Snort dostępne

były 9032 reguły. System Snort w wersji

1.9.1 dysponował zbiorem 1847 reguł. Na

Rysunku 1. przedstawiony jest czas analizy

pliku z zapisanym ruchem sieciowym

w funkcji liczby reguł wykorzystywanych

w analizie. W przypadku systemu Snort

w wersji 2.8.0.1 liczba reguł zwiększana

była co 1000, dla systemu w wersji 1.9.1

wartość ta wynosiła 100.

Jak widać na Rysunku 1., system Snort

w wersji 1.9.1 wykazuje dużą wrażliwość na

liczbę reguł. Niewielki jej wzrost powoduje

znaczny spadek wydajności systemu. W

przypadku wersji 2.8.0.1 zauważany spadek

wydajności jest niewielki, przy znacznie

większym przyroście liczby sygnatur.

Kolejnym przeprowadzonym badaniem,

była analiza wydajności systemu dla

sztucznie stworzonego zbioru reguł. Reguły

te zbudowane zostały zgodnie z poniższym

wzorcem:

są zdefiniowane adresy IP oraz porty

komunikacji sieciowej).

Jak można zauważyć na Rysunku 2., w

przypadku Snorta w wersji 2.8.0.1 znaczący

spadek wydajności systemu zauważa się

dopiero przy liczbie reguł na poziomie

20000. Pozwala to wytłumaczyć, dlaczego

dla standardowych reguł system ten

pracował właściwie z jednakową wydajnością

bez względu na liczbę reguł. Jej maksymalna

wartość wynosiła bowiem 9032.

Starsza wersja systemu Snort już

od niewielkich wartości liczby reguł

wykazuje znaczną wrażliwość na jej wzrost.

W przypadku tej wersji maksymalną

przeanalizowaną liczbą było 2000 sygnatur.

Jak widać, dla wersji 2.8.0.1 bez problemu

wykonano pomiar dla zbioru 100000 reguł

i czas analizy w tym przypadku był krótszy

niż 10 minut.

W następnym przeprowadzonym

badaniu zmianie uległa jedynie

charakterystyka zbioru reguł. W regułach

tych numer portu docelowego ustawiony

został na wartość stałą. Tak stworzony zbiór

reguł pozwala na zbadanie wrażliwości

systemu na dużą liczbę reguł o podobnym

charakterze. Ten zbiór sygnatur możemy

nazwać zbiorem sygnatur o stałym porcie.

Rysunek 3. wskazuje, że dla systemu w

wersji 2.8.0.1 znaczący spadek wydajności

można zauważyć powyżej 20000 reguł.

W przypadku Snorta w wersji 1.9.1 testy

wykonane zostały tylko dla zakresu reguł od

100 do 2000 i w tym zakresie (podobnie jak

dla wersji 2.8.0.1) nie zauważa się wpływu

liczby reguł na wydajność systemu IDS.

W kolejnym, ostatnim już teście

wydajności badanego systemu, modyfikacji

uległ zbiór sygnatur. Tym razem w każdej

alert tcp any any -> any any

(msg: "Atak numer 00100"; content:

"atak00100"; sid:00100;)

W każdej z reguł różny był jednak numer

(w przypadku powyższej reguły jest to

wartość 00100). Tak stworzony zbiór reguł

pozwalał na przetestowanie możliwości

systemu Snort do filtrowania zawartości

pakietów. Proszę zauważyć, iż powyższa

reguła określa, że alarm ma zostać

wygenerowany, gdy spełnione zostaną

następujące warunki:

• tcp – określa, iż protokołem warstwy

transportowej ma być protokół TCP,

• any any -> any any – wskazuje,

że ruch sieciowy ma być generowany

z dowolnego adresu IP, z dowolnego

portu, na dowolny adres IP oraz

dowolny port,

• content:”atak001000” – definiuje, że

w treści pakietu musi pojawić się ciąg

znaków atak00100 ,

• pozostałe pola są polami

informacyjnymi, nie mają wpływu

na dopasowywanie sygnatury

do ruchu sieciowego (pole msg

definiuje informację, jaka ma zostać

zamieszczona w logach systemu

gdy opisywana reguła dopasowana

zostanie do przechwyconego

pakietu, zaś pole sid określa unikalny

identyfikator reguły).

Tak stworzony zbiór reguł możemy nazwać

zbiorem reguł otwartych (ponieważ nie

Rysunek 6. Reguły o tym samym porcie docelowym, ruch o zmiennym porcie docelowym

6/2008

HAKIN9

OBRONA

regule określony został port docelowy, lecz

za każdym razem był on inny. Biorąc pod

uwagę fakt, iż numer portu docelowego

zapisywany jest w polu 16-bitowym, testy

przeprowadzono dla zbioru do 60000

sygnatur. W przypadku systemu w wersji

1.9.1 maksymalna liczba reguł wynosiła

– podobnie jak wcześniej – 2000. Ten zbiór

wzorców ataków możemy nazwać zbiorem

sygnatur o zmiennym porcie.

Na Rysunku 4. widać, iż tym razem

znaczny spadek wydajności systemu Snort

w wersji 2.8.0.1 można zauważyć już przy

liczbie 5000 reguł. Wyraźnie zaznacza się

także fakt znacznie szybszego spadku

wydajności dla starszej wersji badanego

systemu.

reguł o podobnej specyfice. W przypadku

starszej wersji systemu reguły otwarte

stanowią poważny problem i obserwujemy

w tym przypadku znaczny spadek

wydajności.

Test przeprowadzony dla reguł o

zmiennym porcie pokazuje jednak, iż

liczba reguł różniących się między sobą

charakterystyką ma znacznie większy

wpływ na spadek wydajności niż miało to

miejsce w przypadku reguł o podobnej

strukturze. Jak widać na Rysunku 4., dla

liczby około 5000 reguł obserwujemy

początek istotnego narastania spadku

wydajności. Snort w wersji 1.9.1 cechuje

się taką samą, lecz znacznie szybciej

ujawniającą się tendencją.

Wobec powyższego powstaje jeszcze

pytanie, dlaczego dla standardowych

reguł systemu Snort nie obserwujemy

spadku wydajności powyżej wartości

5000 reguł. Odpowiedź jest bardzo

prosta. Otóż standardowy zbiór reguł

badanego systemu nie charakteryzuje

się dużą zmiennością. Występują w nim

grupy podobnych reguł. Na przykład reguł

kierowanych na port 80 jest aż 2418, co

stanowi prawie 27% całego zbioru.

komputerów, z których każdy generował

ruch o wolumenie bliskim 100 Mb/s. Ruch

ten kierowany był na pojedynczą maszynę,

na której pracował system wykrywania

włamań. Rozwiązanie takie pozwoliło na

wygenerowanie dużego ruchu sieciowego,

przy czym maszyny generujące nie były

nadmiernie obciążone – co zapewniło

szybki i niezawodny proces generacji.

Zadaniem każdego komputera było jak

najszybsze wygenerowanie 1000000

pakietów o zadanej charakterystyce.

Charakterystyka ta była modyfikowana dla

poszczególnych testów.

Do tworzenia pakietów wykorzystano

generator pakietów wchodzący w skład

dystrybucji jądra systemu Linux. Jako że

wykorzystany generator pozwala tylko

na generowanie pakietów UDP, testy

przeprowadzone zostały na regułach

UDP systemu Snort oraz na sztucznie

tworzonych zbiorach reguł UDP.

Każdy pomiar wykonany został

dziesięciokrotnie. Na poniższych wykresach

prezentowana jest średnia arytmetyczna

wyników uzyskanych w kolejnych próbach.

Pierwszy test przeprowadzony został

dla zbioru standardowych reguł Snorta

dla protokołu UDP. Dla Snorta w wersji

2.8.0.1 dostępnych było 789 takich reguł,

dla wersji 1.9.1 było ich tylko 181. Wszystkie

tworzone dalej zbiory reguł złożone były

z takiej samej liczby sygnatur. Z kolei

generowany ruch sieciowy charakteryzował

się zmiennością źródłowego adresu

IP (z zakresu od 192.168.92.15 do

192.168.92.250), zmiennością źródłowego

portu (z zakresu od 10 do 65510) oraz

zmiennością docelowego portu (z zakresu

od 1 do 1024).

Wnioski

We wszystkich pomiarach wyraźnie

zaznacza się fakt dużo wyższej wydajności

najnowszej wersji systemu Snort. Pozwala

to jednoznacznie wysunąć tezę o

konieczności aktualizacji systemu Snort

– choćby z tego jednego powodu, choć

można by ich wyliczyć znacznie więcej.

Dzięki wymienionej powyżej

właściwości nowej wersji systemu, jest on

w stanie doskonale radzić sobie z analizą

ruchu sieciowego z wykorzystaniem

całego dostępnego standardowego zbioru

reguł. Stwierdzenie to jest nieprawdziwe

w odniesieniu do starszej wersji systemu,

mimo iż liczba reguł jest w tym przypadku

kilkukrotnie mniejsza.

W przypadku Snorta w wersji

2.8.0.1 można stwierdzić, iż liczba reguł

(do wartości około 20000) nie ma

znaczącego wpływu na wydajność

systemu, o ile są to reguły podobne.

Powyżej 20000 reguł obserwujemy

spadek wydajności systemu.

Charakterystyka wydajności na Rysunkach

2. i 3. jest niemal identyczna, mimo iż

rodzaje reguł są inne, ale należy zauważyć,

iż każdy z tych zbiorów zbudowany został z

Badanie zdolności systemu

Snort do poprawnej pracy w

sieci o dużym natężeniu ruchu

Badania przeprowadzone zostały

w warunkach laboratoryjnych z

wykorzystaniem wielu stanowisk

komputerowych oraz przełącznika

pozwalającego na przesyłanie

generowanego ruchu do pojedynczej

maszyny z prędkością bliską 1Gb/s. Ruch

generowany był z wykorzystaniem kilku

Rysunek 7. Reguły o tym samym

porcie docelowym, ruch o stałym porcie

docelowym

Rysunek 8. Reguły o zmiennym porcie docelowym, ruch o zmiennym porcie docelowym

54 HAKIN9 6/2008

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: