Ya hace tiempo mientras navegaba por la red buscando información sobre detección de intrusos, encontré un artículos muy interesante.
Primeramente debo mencionar que lo que buscaba era información sobre cómo analizar el tráfico, como obtener muestras de capturas, etc, y me encontré con el hecho que según la infraestructura de la red, podría verse limitada la captura de muestras de tráfico cuando se trataba de redes switcheadas por ejemplo.
A pesar de que existen métodos que permiten capturar el tráfico en estos casos ya sea mediante software o mediante hardware (TAP), la primera parte de un análisis de tráfico es obtener muestras del mismo. Esta tarea no es tan trivial..
En mi experiencia, según la herramienta con la que se realice la captura se pueden tener resultados variables durante el análisis. Hago una cita que me parece muy cierta:
"Una de las desventajas de utilizar un sniffer es que puede ser detectado por otras máquinas. Existen varias formas de evitar la detección, como configurar el rastreador sin una dirección IP. Sin embargo, ninguna de ellas es tan efectiva como el uso de cables de sólo recepción (receive-only cables) o cables sniffing. Estos cables permiten a un sniffer monitorizar el tráfico de red sin ser detectado. Por ello, han demostrado ser especialmente útiles en entornos con Sistemas de Detección de Intrusiones (IDS), o tecnologías `honeypots' (como las `Honeynets' (Redes Trampa))."
En realidad la captura de tráfico a pesar de parecer una tarea sencilla puede convertirse en un gran dolor de cabeza para los analistas de tráfico si no está debidamente capturado. Dejo aquí una liga para aquellos interesados en aprender una manera muy efectiva de capturar tráfico sin ser detectado y que puede traer resultados positivos para un mejor análisis del mismo, me refiero a la creación de Cables de solo recepción.
http://www.dgonzalez.net/pub/roc_es/
Primeramente debo mencionar que lo que buscaba era información sobre cómo analizar el tráfico, como obtener muestras de capturas, etc, y me encontré con el hecho que según la infraestructura de la red, podría verse limitada la captura de muestras de tráfico cuando se trataba de redes switcheadas por ejemplo.
A pesar de que existen métodos que permiten capturar el tráfico en estos casos ya sea mediante software o mediante hardware (TAP), la primera parte de un análisis de tráfico es obtener muestras del mismo. Esta tarea no es tan trivial..
En mi experiencia, según la herramienta con la que se realice la captura se pueden tener resultados variables durante el análisis. Hago una cita que me parece muy cierta:
"Una de las desventajas de utilizar un sniffer es que puede ser detectado por otras máquinas. Existen varias formas de evitar la detección, como configurar el rastreador sin una dirección IP. Sin embargo, ninguna de ellas es tan efectiva como el uso de cables de sólo recepción (receive-only cables) o cables sniffing. Estos cables permiten a un sniffer monitorizar el tráfico de red sin ser detectado. Por ello, han demostrado ser especialmente útiles en entornos con Sistemas de Detección de Intrusiones (IDS), o tecnologías `honeypots' (como las `Honeynets' (Redes Trampa))."
En realidad la captura de tráfico a pesar de parecer una tarea sencilla puede convertirse en un gran dolor de cabeza para los analistas de tráfico si no está debidamente capturado. Dejo aquí una liga para aquellos interesados en aprender una manera muy efectiva de capturar tráfico sin ser detectado y que puede traer resultados positivos para un mejor análisis del mismo, me refiero a la creación de Cables de solo recepción.
http://www.dgonzalez.net/pub/roc_es/
No hay comentarios:
Publicar un comentario