En la entrada que lleva por título "Espiando al vecino" hablé de proteger la red wireless doméstica frente a vecinos cotillas que analizan el tráfico de tu red para enterarse de todo lo que haces en Internet.
Hoy voy a hablar de una herramienta utilizada en el análisis forense para analizar el tráfico de la red, llamada Xplico (http://www.xplico.org/). Bajo licencia GPL, esta herramienta analiza el tráfico y nos muestra el contenido "relevante" de éste, es decir, interpreta el tráfico para sacarnos las páginas web visitadas. Contenidos como imágenes, vídeos flash, correos, conversaciones voip, sesiones ftp, conversaciones de mensajería, etc, todo muy bien organizado y presentado.
En realidad para hacer un análisis del tráfico con vistas a la seguridad habría que hacerlo a más bajo nivel, con un sniffer como wireshark para que no se nos escapase tráfico de protocolos no reconocidos por Xplico, o intentos de scaneo de puertos por parte de un host, tráfico anómalo... pero no es el objetivo de la entrada (existen muchos ejemplos prácticos de análisis sobre tráfico de red en Internet). Xplico funciona de una manera muy sencilla, se instala y a través de un interfaz web o por la shell se maneja y permite capturar e interpretar tráfico en tiempo real haciendo sniffing en una interfaz, o si se quiere importar una captura ya guardada con un sniffer en un archivo .pcap.
También aprovecho para comentar una herramienta open source que me encontré hace poco por la web, llamada msnshadow (http://msnshadow.blogspot.com/). La gracia de esta herramienta aparte de hacer un sniffing muy completo del tráfico msnms (del messenger) mostrándote directamente las conversaciones, incluso el stream de vídeo enviado a través de la webcam, es que permite hacer hijacking, es decir tomar la conexión y hacerte pasar por la otra persona con quien está hablando la víctima. Para ello el programa aprovecha la información del tráfico capturado e inyecta tráfico en la red como si viniese de "la otra persona" hacia la víctima manteniendo los parámetros coherentes de la conversación TCP (los números de secuencia y de ack).
También permite importar una captura .pcap.
Analizando el tráfico de la red
lunes, 15 de marzo de 2010
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios:
Publicar un comentario