Analisador de pacotes: diferenças entre revisões
Conteúdo apagado Conteúdo adicionado
m |
|||
Linha 39:
GigaStor Security Forensics: Fabricado pela Network Instruments, é um analisador de segurança da rede, facilitador da determinação detalhada da natureza do problema. O GigaStor opera como uma câmera de segurança, gravando cada ação que ocorre na rede. Em caso de suspeita de alguma violação da segurança, faz a comparação com milhares de ataques e anomalias de rede, com a funcionalidade de IDS. Faz também análise detalhada no nível do pacote para determinar a origem e o horário da ocorrência.
==Como Detectar==
Para detectar um dispositivo sniffer que somente coleta dados e não responde a nenhuma solicitação, é necessário o exame físico de todas as conexões ethernet e a verificação individual das interfaces.
Um sniffer, rodando em uma máquina, coloca a interface de rede em modo promístuo com o intuito de capturar todos os pacotes de um determinado segmento. Na maioria dos sistemas Unix é possível detectar uma interface promiscua.
Note que é possível usar um sniffer em modo não promístuo, porem somente poderão ser capturados os pacotes endereçados para a máquina onde ele está rodando.
Para SunOs, NetBSD, e diversos derivados de BSD Unix systems, o comando
# ifconfig -a mostrará informações relativas a todaas as interfaces. lo Link encap:Local Loopback inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST LOOPBACK RUNNING MTU:2000 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 TX packets:16930 errors:0 dropped:0 overruns:0 eth0 Link encap:10Mbps Ethernet HWaddr 00:80:A8:C3:45:ED inet addr:200.239.53.1 Bcast:200.239.53.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MTU:1500 Metric:1 ^^^^^^^ RX packets:227622 errors:0 dropped:0 overruns:0 TX packets:282918 errors:0 dropped:0 overruns:0 Interrupt:10 Base address:0x300 A utilização do comando "ifconfig" no DEC OSF/1, IRIX e em alguns outros Unix, requer que o dispositivo seja especificado. Uma maneira de saber o nome deste dispositivo é utilizar o comando
# netstat -r que mostrará a seguinte saída: Routinng tables Internet: Destination Gateway Flags Refs Use Interface default iss.net UG 1 24949 le0 localhost localhost UH 2 83 lo0 Assim, para testar a interface utiliza-se o comando: # ifconfig le0 le0: flags=8863 inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
No Ultrix é possivel detectar o uso de sniffer com os comandos pfstat e pfconfig.
pfconfig mostra quem está rodando o sniffer e o pfstat mostra se a interface está ou não em modo promístuo.
Em sistemas como Solaris, SCO e algumas versões do Irix, não existe indicação de modo promístuo, não havendo, portanto, maneiras de detectar o uso do sniffer.
Como o volume de informações que trafegam em uma rede tente a ser grande, grande também será o tamanho do log gerado pelo programa sniffer. Pacotes como o tigger tentam encontrar arquivos de log, com esta característica.
É altamente recomendado o uso da ferramenta lsof para procurar arquivos de log e programas acessando dispositivos como o /dev/nit (no caso do SunOS).
Não são conhecidos comandos para detectar um IBM PC compatível em modo promístuo.
[[Categoria:Redes de computadores]]
| |||