Prevenir Hacks com Analisadores de Rede
UMA analisador de rede
é uma ferramenta que lhe permite olhar para uma rede e evitar hacks através da análise de dados que vão através do fio para fins de otimização de rede, segurança e / ou resolução de problemas. Um analisador de rede é útil para sniffing pacotes no fio. Ele funciona através da colocação da placa de rede no modo promíscuo, que permite que o cartão para ver todo o tráfego na rede.O analisador de rede executa as seguintes funções:
Captura todo o tráfego de rede
Interpreta ou decodifica o que é encontrado em um formato legível
Exibe o conteúdo em ordem cronológica
Ao avaliar a segurança e resposta a incidentes de segurança, um analisador de rede pode ajudá-lo
Ver o tráfego de rede anómalo e até mesmo rastrear um intruso.
Desenvolver uma linha de base da atividade de rede e desempenho, tais como protocolos em uso, as tendências de uso e endereços MAC, antes de ocorrer um incidente de segurança.
Quando a rede se comporta de forma irregular, um analisador de rede pode ajudá-lo
Rastrear e isolar o uso da rede maliciosa
Detectar aplicações cavalo de Tróia maliciosos
Monitorar e rastrear ataques DoS
programas analisador de rede
Você pode usar um dos seguintes programas para análise de rede:
OmniPeek WildPackets 'Ele faz tudo o que você precisa e muito mais e é muito simples de usar. OmniPeek está disponível para sistemas operacionais Windows.
CommView de TamoSoft é um baixo custo, alternativa baseada no Windows.
Caim Abel é uma ferramenta de recuperação de senha multifuncional livre para a realização de envenenamento ARP, captura de pacotes, rachaduras senhas e muito mais.
Wireshark, anteriormente conhecido como Ethereal, é uma alternativa livre. Não é tão fácil de usar como a maioria dos produtos comerciais, mas é muito poderoso se você estiver disposto a aprender os seus prós e contras. Wireshark está disponível para Windows e OS X.
ettercap é outro poderoso utilitário para a realização de análise de rede e muito mais no Windows, Linux e outros sistemas operacionais.
Aqui estão algumas ressalvas para o uso de um analisador de rede:
Para capturar todo o tráfego, é necessário conectar o analisador para um dos seguintes procedimentos:
Um cubo sobre a rede
Um monitor / span / porta espelho em um switch
Um interruptor que você executou uma ataque de envenenamento de ARP em
Se você quiser ver o tráfego semelhante ao que um IPS baseado em rede vê, você deve conectar o analisador de rede a um hub ou switch porta do monitor do lado de fora do firewall. Desta forma, o teste permite visualizar
O que está entrando em sua rede antes os filtros de firewall eliminar o tráfego de lixo.
O que está deixando sua rede depois de o tráfego passa pelo firewall.
Pode ser uma enorme quantidade de informações, mas você pode olhar para estas questões primeiros:
tráfego Odd, tal como:
Uma quantidade incomum de pacotes ICMP
Quantidades excessivas de tráfego multicast ou de difusão
Protocolos que não são permitidos pela política ou não deveria existir dada a sua configuração de rede atual
hábitos de uso da Internet, que pode ajudar a apontar comportamento malicioso de um insider desonestos ou sistema que foi comprometida, tais como:
navegar na web e mídias sociais
O email
mensagens instantâneas e outros softwares P2P
uso questionável, tal como:
Muitos pacotes perdidos ou de grandes dimensões, indicando ferramentas de hacking ou malware estão presentes
O alto consumo de largura de banda que pode apontar para um servidor Web ou FTP que não pertence
sondas de reconhecimento e profiling sistema a partir de scanners de portas e ferramentas de avaliação de vulnerabilidade, tais como uma quantidade significativa de tráfego de entrada de hosts desconhecidos - especialmente através de portas que não são usados muito, como FTP ou telnet.
Hacking em andamento, tais como toneladas de UDP de entrada ou de requisições ICMP, SYN floods, ou transmissões excessivas.
nomes de host fora do padrão em sua rede. Por exemplo, se seus sistemas são chamados Computer1, Computer2, e assim por diante, um computador chamado GEEKz4evUR deve levantar uma bandeira vermelha.
servidores ocultos que pode estar comendo largura de banda de rede, servindo software ilegal ou aceder aos nossos hosts da rede.
Ataques em aplicações específicas demonstrando que tais comandos como / Bin / rm, / bin / ls, eco, e cmd.exe bem como consultas SQL e injeção de javascript.
Se o seu analisador de rede permite, configurá-lo para usar um first-in first-out buffer,.
Se o seu analisador de rede permitir, gravar todo o tráfego em um arquivo de captura e guardá-lo para o disco rígido. Este é o cenário ideal - especialmente se você tiver um disco rígido grande, como 500 GB ou mais.
Quando o tráfego de rede não parece certo em um analisador de rede, provavelmente não é. É melhor prevenir do que remediar.
Você pode verificar é a top talkers na rede. Se alguém está fazendo algo malicioso na rede, tais como hospedagem de um servidor FTP ou executar software de Internet de compartilhamento de arquivos, usando um analisador de rede é frequentemente a única maneira que você vai descobrir mais sobre ele. Um analisador de rede é também uma boa ferramenta para os sistemas infectados com malware, como um vírus ou cavalo de Tróia detectar.
Olhando para as estatísticas da sua rede, tais como bytes por segundo, a utilização da rede, e contagens de pacotes de entrada / saída, é também uma boa maneira de determinar se algo suspeito está acontecendo.
TamoSoft - o fabricante de CommView - tem um outro produto chamado NetResident que podem controlar o uso de protocolos bem conhecidos, tais como HTTP, e-mail, FTP e VoIP. Você pode usar NetResident para monitorar sessões web e reproduzi-los.
NetResident também tem a capacidade de executar o envenenamento ARP, que permite NetResident para ver tudo no segmento de rede local.
detecção de analisador de rede
Você pode usar um utilitário de rede ou baseado em host para determinar se alguém está executando um analisador de rede não autorizado em sua rede:
Sniffdet para sistemas baseados em UNIX
PromiscDetect para Windows
Certain IPSs também pode detectar se um analisador de rede está sendo executado em sua rede. Estas ferramentas permitem monitorar a rede para placas Ethernet que estão em execução no modo promíscuo. Você simplesmente carregar os programas no seu computador, e os programas alertá-lo se vêem comportamentos promíscuos na rede (Sniffdet) ou sistema local (PromiscDetect).