Neste artigo vamos falar sobre análise passiva. Veremos alguns cases simples de utilização dessa técnica, que pode ser extremamente extensível e também, demonstrar como é "inseguro" usar serviços que não utilizam criptografia, como o telnet e o FTP por exemplo.
Analise passiva é o ato de analisar o tráfego
de uma determinada rede em busca de anomalias no
mesmo ou para obter informações necessárias
ou de seu interesse.
Utilizamos o método de análise passiva quando não
queremos chamar a atenção de algum IDS ou para tentar
burlar algum firewall, ou então para tentar monitorar
algum tráfego suspeito dentro de sua rede, como por
exemplo possíveis ataques ou então tentar detectar
movimentação de alguém que acessa seu servidor por
backdoors ou outros meios.
Quando utilizamos esses meios para analisar, em geral
nós apenas analisamos os pacotes que chegam até nos,
raramente enviando alguma requisição para o host
analisado, tornando esta técnica muito eficiente.
O sniffing pode ser considerada uma técnica de análise
passiva, porém o sniffer não é muito exigente e pega
tudo que passar ... e para nós isso não é muito
interessante, quanto menos "lixo" precisarmos processar,
melhor. Faremos o máximo possível para analisar somente
informação que nos interesse.
[2] Ferramentas que iremos utilizar
Vamos utilizar algumas ferramentas listadas abaixo:
tcpdump
asctcpdump
Ethereal
hping
cliente FTP (qualquer)
cliente Telnet (qualquer)
netcat
Muita paciência e olhos bem atentos :-)
Essas ferramentas são muito fáceis de serem encontradas,
uma busca rápida no Google irá
lhe mostrar onde baixar as que você não tiver.
Vou dividir este artigo em dois para melhorar a didática dos mesmos,
assim nesse primeiro abordarei o asctcpdump e o Ethereal.
[3] Comentário enviado por agk em 18/05/2004 - 15:26h
Parabéns ótimo artigo, realmente essas tcpdump e ethereal são muito úteis para descobrir o que está acontecendo na nossa rede, com alguns filtros e configurações você consegue pegar certinho o que quiser.
[8] Comentário enviado por removido em 16/05/2008 - 15:41h
excelente artigo cara!!! Ta de parabens... sou meio iniciante e estou com uma duvida... uso o kubuntu 7.10 aqui no meu notebook... tenho o tcpdump instalado... roda normalz... quando eu ponho o asctcpdump ele não acha o comando... naum sei como instalar essa ferramenta... se puder me ajudar cara... agradeço de mais!!! obrigado!!!