Análise Passiva: Analisando seu tráfego de maneira segura

Neste artigo vamos falar sobre análise passiva. Veremos alguns cases simples de utilização dessa técnica, que pode ser extremamente extensível e também, demonstrar como é "inseguro" usar serviços que não utilizam criptografia, como o telnet e o FTP por exemplo.

[ Hits: 61.416 ]

Por: Anderson L Tamborim em 18/05/2004 | Blog: http://y2h4ck.wordpress.com


Análise usando Ethereal



Vamos agora dar uma olhada no Ethereal. Ele é uma ferramenta gráfica que também analisa o tráfego todo que passa pela placa, porém ele tem uma peculiaridade, reconstrói a sessão com incrível exatidão.

Ethereal vem junto com as distribuições Linux, é só dar uma procurada no CD, porém saíram umas vulnerabilidades para ele recentemente, acho bom pegarem a versão mais nova na internet.

Vamos lá, essa é a aparência do Ethereal:


Ele é bem simples, vamos começar nossa análise com ele. Primeiro clique em <Capture>, depois <Start>. Vai aparecer uma janela para você escolher alguns protocolos e portas, vamos deixar como está mesmo =]

Então clique em OK e vamos começar.

Bom, agora vamos fazer nova conexão e vamos deixar o Ethereal analisando tudo... Muito bem, conexão terminada.

Agora vamos escolher as flags que contenham chamadas [SYN,ACK] que caracterizam uma conexão:


Clique na conexão que vai restaurar com o botão direito e logo depois em Follow TCP Stream e você terá isso:


A sessão é perfeitamente reconstruída.

O mesmo teria acontecido com uma conexão de telnet, iria ser reconstruída perfeitamente, tudo que foi feito e enviado durante a sessão.

Deixo o telnet para vocês praticarem em casa ;)

Página anterior     Próxima página

Páginas do artigo
   1. O que vem a ser análise passiva?
   2. Uma análise simples
   3. Análise usando Ethereal
   4. Considerações
Outros artigos deste autor

Seguraça extrema com LIDS

Segurança extrema com LIDS: novos recursos

PaX: Solução eficiente para segurança em Linux

Análise Forense - Aspectos de perícia criminal

PSAD: Port Scan Attack Detector

Leitura recomendada

Construindo um Log Server utilizando Linux, Unix e Windows

Análise Forense - Aspectos de perícia criminal

Segurança em seu Linux (parte 2)

Elevação de privilégios locais

Sudo 1.8.12 - Parte I - Manual

  
Comentários
[1] Comentário enviado por naoexistemais em 18/05/2004 - 04:00h

Posso falar uma coisa, esse é o melhor artigo que já vi na história da Comunidade Linux....(risos)

Parabens mesmo.

[2] Comentário enviado por jeffestanislau em 18/05/2004 - 09:52h

Ficou muito bom... simples e objetivo!!!
Parabéns!!!

[3] Comentário enviado por agk em 18/05/2004 - 15:26h

Parabéns ótimo artigo, realmente essas tcpdump e ethereal são muito úteis para descobrir o que está acontecendo na nossa rede, com alguns filtros e configurações você consegue pegar certinho o que quiser.

[4] Comentário enviado por viniciusr em 18/05/2004 - 17:24h

hmm
vc ta ajudando bastante a galera hein? de onde vc é?

[5] Comentário enviado por y2h4ck em 21/05/2004 - 10:27h

Obrigado a todos que leram meu artigo, espero que possa ter adicionado um poco ao conhecimento de cada um.

Continuem Lendo e comentando.

Abraços a todos.

Spawn Locoust

[6] Comentário enviado por ryu em 07/06/2004 - 22:56h

isso ai... mais uma aula de rede do y2h4ck

[7] Comentário enviado por thiagoabb em 24/01/2005 - 19:03h

pra variar.... y2h4ck dando um show aki pra gente...

Abraço cara...

[8] Comentário enviado por removido em 16/05/2008 - 15:41h

excelente artigo cara!!! Ta de parabens... sou meio iniciante e estou com uma duvida... uso o kubuntu 7.10 aqui no meu notebook... tenho o tcpdump instalado... roda normalz... quando eu ponho o asctcpdump ele não acha o comando... naum sei como instalar essa ferramenta... se puder me ajudar cara... agradeço de mais!!! obrigado!!!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts