Impede Hacks com Analisadores de Rede

Impedir Hacks com Analisadores de Rede - dummies

A analisador de rede é uma ferramenta que permite que você examine uma rede e evite hacks, analisando dados atravessando o fio para fins de otimização de rede, segurança e / ou solução de problemas. Um analisador de rede é útil para sniffing pacotes no fio. Isso funciona colocando a placa de rede em modo promíscuo, , o que permite que o cartão veja todo o tráfego na rede.

O analisador de rede executa as seguintes funções:

  • Captura todo o tráfego de rede

  • Interpreta ou decodifica o que é encontrado em um formato legível para humanos

  • Exibe o conteúdo em ordem cronológica > Ao avaliar a segurança e responder a incidentes de segurança, um analisador de rede pode ajudá-lo

  • Desenvolva uma linha de base da atividade e desempenho da rede, como protocolos em uso, tendências de uso e endereços MAC antes de ocorrer um incidente de segurança.
  • Quando sua rede se comporta de forma errática, um analisador de rede pode ajudá-lo

Rastrear e isolar o uso de rede mal-intencionada

  • Detectar aplicativos malvados de cavalo de Tróia

  • Monitorar e rastrear ataques DoS

  • Programas de analisadores de rede

Você pode usar um dos seguintes programas para análise de rede:

WildPackets 'OmniPeek

  • Ele faz tudo o que você precisa e mais e é muito simples de usar. OmniPeek está disponível para sistemas operacionais Windows. O CommView

  • da TamoSoft é uma alternativa baseada em Windows de baixo custo. Cain & Abel

  • é uma ferramenta de recuperação de senha multifuncional gratuita para executar envenenamento ARP, capturar pacotes, quebrar senhas e muito mais. Wireshark

  • , anteriormente conhecido como Ethereal, é uma alternativa gratuita. Não é tão fácil de usar como a maioria dos produtos comerciais, mas é muito poderoso se você estiver disposto a aprender seus ins e outs. O Wireshark está disponível para Windows e OS X. ettercap

  • é outro utilitário poderoso para realizar análises de rede e muito mais em Windows, Linux e outros sistemas operacionais. Aqui estão algumas advertências para usar um analisador de rede:

Para capturar todo o tráfego, você deve conectar o analisador a uma das seguintes opções:

  • Um hub na rede

    • Um monitor / span / mirror porta em um interruptor

    • Um interruptor que você realizou um ataque de envenenamento ARP em

    • Se você quiser ver o tráfego semelhante ao que um IPS baseado em rede vê, você deve conectar o analisador de rede a um hub ou a mudar o monitor porta no lado de fora do firewall. Desta forma, o seu teste permite que você visualize

  • O que está entrando em sua rede

    • antes os filtros de firewall eliminam o tráfego de lixo. O que está deixando sua rede

    • após o tráfego passa pelo firewall. Pode ser uma quantidade impressionante de informações, mas você pode procurar essas questões primeiro:

Tráfego estranho,

  • , como: Uma quantidade incomum de pacotes ICMP

    • Quantidades excessivas de multicast ou tráfego de transmissão

    • Protocolos que não são permitidos pela política ou não devem existir, dada a sua configuração de rede atual

    • hábitos de uso da Internet,

  • que podem ajudar a apontar o comportamento mal-intencionado de um insider ou sistema rogue comprometido , tais como: Navegação na Web e mídias sociais

    • E-mail

    • Mensagens instantâneas e outros softwares P2P

    • Uso questionável,

  • , como: Muitos pacotes perdidos ou superdimensionados, indicando pirateamento as ferramentas ou o malware estão presentes

    • Consumo de alta largura de banda que pode apontar para um servidor web ou FTP que não pertence

    • Sondas de reconhecimento e perfil de sistema a partir de scanners de portas e ferramentas de avaliação de vulnerabilidades

  • , como uma quantidade significativa de tráfego de entrada de hosts desconhecidos - especialmente em portas que não são muito usados, s como FTP ou telnet. Hacking em progresso,

  • , como toneladas de pedidos de eco UDP ou ICMP de entrada, inundações SYN ou transmissões excessivas. Nomes de host não padronizados na sua rede.

  • Por exemplo, se seus sistemas são chamados Computer1, Computer2 e assim por diante, um computador chamado GEEKz4evUR deve criar uma bandeira vermelha. Servidores ocultos

  • que podem estar comendo largura de banda de rede, servindo software ilegal ou acessando nossos hosts de rede. Ataques em aplicativos específicos

  • que mostram comandos como / bin / rm, / bin / ls, echo e cmd. Exe, bem como consultas SQL e injeção de JavaScript. Se o seu analisador de rede o permitir, configure-o para usar um buffer first-in, first-out.

  • Se o seu analisador de rede o permitir, grave todo o tráfego em um arquivo de captura e guarde-o no disco rígido.

  • Este é o cenário ideal - especialmente se você tiver um disco rígido grande, como 500 GB ou mais. Quando o tráfego de rede não parece direito em um analisador de rede, provavelmente não é.

  • É melhor ser seguro do que remediar. Você pode verificar se o

top talkers está na rede. Se alguém estiver fazendo algo malicioso na rede, como hospedar um servidor FTP ou executar o software de compartilhamento de arquivos da Internet, o uso de um analisador de rede geralmente é a única maneira de descobrir. Um analisador de rede também é uma boa ferramenta para detectar sistemas infectados com malware, como um vírus ou cavalo de Tróia. Olhando para as estatísticas de sua rede, como bytes por segundo, utilização da rede e contagens de pacotes de entrada / saída, também é uma boa maneira de determinar se algo está a decorrer.

TamoSoft - o fabricante do CommView - tem outro produto chamado NetResident que pode rastrear o uso de protocolos bem conhecidos, como HTTP, e-mail, FTP e VoIP. Você pode usar o NetResident para monitorar as sessões da web e reproduzi-las.

NetResident também tem a capacidade de realizar envenenamento ARP, o que permite que o NetResident veja tudo no segmento de rede local.

Detecção de analisador de rede

Você pode usar um utilitário baseado em rede ou host para determinar se alguém está executando um analisador de rede não autorizado em sua rede:

Sniffdet

  • para sistemas baseados em UNIX PromiscDetect

  • para Windows Certos IPSs também podem detectar se um analisador de rede está sendo executado em sua rede. Essas ferramentas permitem que você monitore a rede para cartões Ethernet que estão sendo executados em modo promíscuo. Você simplesmente carrega os programas em seu computador e os programas o alertam se eles vejam comportamentos promíscuos na rede (Sniffdet) ou no sistema local (PromiscDetect).