Análise Passiva: Analisando seu tráfego de maneira segura
Neste artigo vamos falar sobre análise passiva. Veremos alguns cases simples de utilização dessa técnica, que pode ser extremamente extensível e também, demonstrar como é "inseguro" usar serviços que não utilizam criptografia, como o telnet e o FTP por exemplo.
O que vem a ser análise passiva?
[1] O que é análise passiva
Analise passiva é o ato de analisar o tráfego de uma determinada rede em busca de anomalias no mesmo ou para obter informações necessárias ou de seu interesse.
Utilizamos o método de análise passiva quando não queremos chamar a atenção de algum IDS ou para tentar burlar algum firewall, ou então para tentar monitorar algum tráfego suspeito dentro de sua rede, como por exemplo possíveis ataques ou então tentar detectar movimentação de alguém que acessa seu servidor por backdoors ou outros meios.
Quando utilizamos esses meios para analisar, em geral nós apenas analisamos os pacotes que chegam até nos, raramente enviando alguma requisição para o host analisado, tornando esta técnica muito eficiente.
O sniffing pode ser considerada uma técnica de análise passiva, porém o sniffer não é muito exigente e pega tudo que passar ... e para nós isso não é muito interessante, quanto menos "lixo" precisarmos processar, melhor. Faremos o máximo possível para analisar somente informação que nos interesse.
[2] Ferramentas que iremos utilizar
Vamos utilizar algumas ferramentas listadas abaixo:
Essas ferramentas são muito fáceis de serem encontradas, uma busca rápida no Google irá lhe mostrar onde baixar as que você não tiver.
Vou dividir este artigo em dois para melhorar a didática dos mesmos, assim nesse primeiro abordarei o asctcpdump e o Ethereal.
Vamos começar uma análise simples.
Analise passiva é o ato de analisar o tráfego de uma determinada rede em busca de anomalias no mesmo ou para obter informações necessárias ou de seu interesse.
Utilizamos o método de análise passiva quando não queremos chamar a atenção de algum IDS ou para tentar burlar algum firewall, ou então para tentar monitorar algum tráfego suspeito dentro de sua rede, como por exemplo possíveis ataques ou então tentar detectar movimentação de alguém que acessa seu servidor por backdoors ou outros meios.
Quando utilizamos esses meios para analisar, em geral nós apenas analisamos os pacotes que chegam até nos, raramente enviando alguma requisição para o host analisado, tornando esta técnica muito eficiente.
O sniffing pode ser considerada uma técnica de análise passiva, porém o sniffer não é muito exigente e pega tudo que passar ... e para nós isso não é muito interessante, quanto menos "lixo" precisarmos processar, melhor. Faremos o máximo possível para analisar somente informação que nos interesse.
[2] Ferramentas que iremos utilizar
Vamos utilizar algumas ferramentas listadas abaixo:
- tcpdump
- asctcpdump
- Ethereal
- hping
- cliente FTP (qualquer)
- cliente Telnet (qualquer)
- netcat
- Muita paciência e olhos bem atentos :-)
Essas ferramentas são muito fáceis de serem encontradas, uma busca rápida no Google irá lhe mostrar onde baixar as que você não tiver.
Vou dividir este artigo em dois para melhorar a didática dos mesmos, assim nesse primeiro abordarei o asctcpdump e o Ethereal.
Vamos começar uma análise simples.
Parabens mesmo.