Análise Passiva: Analisando seu tráfego de maneira segura

Neste artigo vamos falar sobre análise passiva. Veremos alguns cases simples de utilização dessa técnica, que pode ser extremamente extensível e também, demonstrar como é "inseguro" usar serviços que não utilizam criptografia, como o telnet e o FTP por exemplo.

[ Hits: 61.339 ]

Por: Anderson L Tamborim em 18/05/2004 | Blog: http://y2h4ck.wordpress.com


O que vem a ser análise passiva?



[1] O que é análise passiva

Analise passiva é o ato de analisar o tráfego de uma determinada rede em busca de anomalias no mesmo ou para obter informações necessárias ou de seu interesse.

Utilizamos o método de análise passiva quando não queremos chamar a atenção de algum IDS ou para tentar burlar algum firewall, ou então para tentar monitorar algum tráfego suspeito dentro de sua rede, como por exemplo possíveis ataques ou então tentar detectar movimentação de alguém que acessa seu servidor por backdoors ou outros meios.

Quando utilizamos esses meios para analisar, em geral nós apenas analisamos os pacotes que chegam até nos, raramente enviando alguma requisição para o host analisado, tornando esta técnica muito eficiente.

O sniffing pode ser considerada uma técnica de análise passiva, porém o sniffer não é muito exigente e pega tudo que passar ... e para nós isso não é muito interessante, quanto menos "lixo" precisarmos processar, melhor. Faremos o máximo possível para analisar somente informação que nos interesse.

[2] Ferramentas que iremos utilizar

Vamos utilizar algumas ferramentas listadas abaixo:
  • tcpdump
  • asctcpdump
  • Ethereal
  • hping
  • cliente FTP (qualquer)
  • cliente Telnet (qualquer)
  • netcat
  • Muita paciência e olhos bem atentos :-)

Essas ferramentas são muito fáceis de serem encontradas, uma busca rápida no Google irá lhe mostrar onde baixar as que você não tiver.

Vou dividir este artigo em dois para melhorar a didática dos mesmos, assim nesse primeiro abordarei o asctcpdump e o Ethereal.

Vamos começar uma análise simples.

    Próxima página

Páginas do artigo
   1. O que vem a ser análise passiva?
   2. Uma análise simples
   3. Análise usando Ethereal
   4. Considerações
Outros artigos deste autor

OpenVZ: Virtualização para servidores Linux

Race condition - vulnerabilidades em suids

Segurança extrema com LIDS: novos recursos

Segurança no SSH via plugins da PAM

Seguraça extrema com LIDS

Leitura recomendada

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

IPtables e seus módulos

Bloqueando e desbloqueando falhas de login em SSH usando o pam_tally2

PaX: Solução eficiente para segurança em Linux

Filtro de conteúdo e vírus: Slackware 10.2 + Squid + Dansguardian + Clamav

  
Comentários
[1] Comentário enviado por naoexistemais em 18/05/2004 - 04:00h

Posso falar uma coisa, esse é o melhor artigo que já vi na história da Comunidade Linux....(risos)

Parabens mesmo.

[2] Comentário enviado por jeffestanislau em 18/05/2004 - 09:52h

Ficou muito bom... simples e objetivo!!!
Parabéns!!!

[3] Comentário enviado por agk em 18/05/2004 - 15:26h

Parabéns ótimo artigo, realmente essas tcpdump e ethereal são muito úteis para descobrir o que está acontecendo na nossa rede, com alguns filtros e configurações você consegue pegar certinho o que quiser.

[4] Comentário enviado por viniciusr em 18/05/2004 - 17:24h

hmm
vc ta ajudando bastante a galera hein? de onde vc é?

[5] Comentário enviado por y2h4ck em 21/05/2004 - 10:27h

Obrigado a todos que leram meu artigo, espero que possa ter adicionado um poco ao conhecimento de cada um.

Continuem Lendo e comentando.

Abraços a todos.

Spawn Locoust

[6] Comentário enviado por ryu em 07/06/2004 - 22:56h

isso ai... mais uma aula de rede do y2h4ck

[7] Comentário enviado por thiagoabb em 24/01/2005 - 19:03h

pra variar.... y2h4ck dando um show aki pra gente...

Abraço cara...

[8] Comentário enviado por removido em 16/05/2008 - 15:41h

excelente artigo cara!!! Ta de parabens... sou meio iniciante e estou com uma duvida... uso o kubuntu 7.10 aqui no meu notebook... tenho o tcpdump instalado... roda normalz... quando eu ponho o asctcpdump ele não acha o comando... naum sei como instalar essa ferramenta... se puder me ajudar cara... agradeço de mais!!! obrigado!!!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts