Después de algún comentario y correos, vamos a estudiar el posicionamiento o colocación de un sniffer en nuestra red para obtener los resultados que esperamos.
Todo depende de la topología de red y el uso de hub o switch.
Este artículo es válido para cualquier sniffer de los que ya hemos visto. Wireshark, Tshark, WinDump / TCPdump, etc.
Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos.
Para la evaluación de rendimientos en las comunicaciones en nuestra red local y posterior optimización de los parámetros, disponemos de multitud de herramientas multiplataforma. Una de ellas es IPerf.
Con IPerf podemos medir el ancho de banda y rendimiento de una conexión entre dos host. Se trata, pues, de una herramienta cliente-servidor.
Aunque estamos viendo, en los diferentes artículos al respecto, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos), vamos a realizar una parada, para estudiarlo con más detenimiento, en content, opción de la regla que busca contenidos en la carga útil de un paquete o payload y las opciones de content como pueden ser:
Vamos a analizar una captura correspondiente al envio de correo a través del protocolo SMTP, lo que sería el diálogo entre cliente y servidor SMTP. Diálogo constituido por un conjunto de comandos en formato texto ASCII.
Una de las ventajas de las tecnologías de virtualización es que podemos crear un host virtual para nuestro propio entorno de pruebas. O mejor aún, crear una pequeña red virtual para analizar el comportamiento del herramientas como Snort, Wireshark, Windump, trabajar con sniffers y su detección, etc con aplicaciones maliciosas, virus o cualquier tipo de de tráfico de paquetes que pudiera comprometer un entorno físico o productivo pero no uno virtual de pruebas.
Herramientas de virtualización hay varias, aquí nos centraremos en VMware Server, VMware Converter y VMware Player, por ser las tres libres.
Nauscopio: Winup.es 2.9: Recopilatorio de parches para Windows XP Service Pack 2 (en español) en adelante
Windows XP Service Pack 3 en español. Modificación del número máximo de conexiones TCP/IP abiertas: EvID4226Patch223d.
Tags
Meneame
del.icio.us