Scribd Logo
Upload

Welcome to Scribd!

  • Análisis de Trafico

    Uploaded by

    Edgar Enrique Jimenez
    6 views21 pages
    Analizis de trafico

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Analizis de trafico

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    6 views21 pages

    Análisis de Trafico

    Uploaded by

    Edgar Enrique Jimenez
    Analizis de trafico

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 21

    Anlisis de trafico

    Willian de la espriella avila

    Jess Manuel quintana

    Elas David Zabaleta

    Juan Carlos Bustamante

    Jair Jos Suarez Lpez

    Edgar enrique Jimnez

    Anlisis de trfico

    Se llamaanlisis de trficoal proceso de


    inferir informacin a partir de las
    caractersticas del trfico de comunicacin
    sin analizar la informacin que se
    intercambian los comunicantes. Para obtener
    informacin podemos basarnos por ejemplo
    en el origen y destino de las comunicaciones,
    su tamao, su frecuencia, la temporicacin,
    patrones de comunicacin, etc.

    Aplicacin

    El origen del anlisis de trfico se encuentra


    en el anlisis de los trficos de informacin
    que tradicionalmente se ha hecho para
    aplicaciones militares. Este tipo de sistemas
    tradicionalmente infieren informacin a
    partir del anlisis de lasseales de
    comunicacin. Hoy da el anlisis de trfico
    es muy til para inferir informacin a partir
    del trfico que hay en lasredes de
    comunicaciones.

    Seales electromagnticas

    El origen de la realizacin de anlisis del trfico sobreseales


    electromagnticas que transportan informacin hay que buscarlo en la
    Primera Guerra Mundial. En ella se estudiaba la dinmica de las
    comunicaciones militares para a partir de ellas deducir informacin. Por
    ejemplo se poda deducir informacin sobre los movimientos de tropas,
    localizacin de cuarteles generales o cadenas de mando de las tropas. Este
    tipo de tcnicas tenan la ventaja de deducir informacin sin necesidad de
    acceder al contenido del mensaje en s, el cual estaba
    normalmentecifradouofuscado.

    Ejemplos

    Si detectamos frecuentes comunicaciones puede significar que se est


    planeando algo.

    Si detectamos comunicaciones rpidas y cortas puede significar


    negociaciones.

    Si detectamos falta de comunicaciones puede indicar la falta de actividad


    o que la realizacin del plan ha finalizado.

    Si detectamos frecuentes comunicaciones a una estacin especfica desde


    una estacin central puede indicar un algo cargo de la cadena de mando.

    Ejemplos

    Si detectamos quien habla con quien podemos averiguar que estaciones


    estn al mando o la estacin de control. Esto implica qu personal se
    comunica a travs de cierta estacin.

    Si detectamos quien habla y cuando podemos saber que estaciones estn


    activas cuando estn sucediendo ciertos eventos, lo cual puede implicar
    algo sobre la informacin que se est transmitiendo y quiz algo sobre el
    personal asociado a dicha estacin.

    Si detectamos cambios frecuentes de estacin o del medio utilizado para


    la comunicacin, podramos deducir posibles movimientos o miedo a la
    intercepcin.

    Redes de comunicaciones

    En

    el contexto de las redes de comunicaciones, el anlisis


    del trfico infiere informacin a partir las caractersticas
    observables de los datos que circulan por la red.

    Este

    tipo de tcnicas pueden ser utilizadas por atacantes


    para por ejemplo deducir tamaos de claves durante
    sesiones interactivas o para deducir el origen y destino de
    una comunicacin.

    Tambin

    puede ser utilizada por administradores de red para


    descubrir actividades potencialmente maliciosas y tener
    contramedidas para protegernos de dicho tipo de tcnicas

    Problemas de red

    Perdidas de conectividad general.

    Equipos desconectados sin razn aparente.

    Disminucin del rendimiento.

    Causas de los problemas

    No premeditada:
    puede
    configurado,

    se deben a una mala configuracin de la red como


    ser tormentas broadcast, spanning-tree mal
    enlaces redundantes, etc.

    Ataques de Terceros: pretenden dejar fuera de servicio un servidor web


    mediante un ataque DoS, husmear trfico mediante
    un
    envenenamiento ARP o simplemente infectar los
    equipos con cdigo malicioso para que formen
    parte
    de una red zombi o botnet.

    Anlisis del trfico de una red


    Detectar Problema
    Analizar trfico
    Correlacionar paquetes
    Identificar Incidente
    Limitar Impacto

    Herramientas

    appliance MARS

    (IDS/IPS)

    Tcpdump

    Wireshark

    Snort

    OSSIM

    Protocolo Netflow

    Stalket

    Ataques comunes
    ARP

    Spoof

    Port

    Flooding

    DDoS
    DHCP

    Spoof

    VLAN

    Hopping

    Man-in-middle

    Contramedidas
    El objetivo de las contramedidas es destruir, o al
    menos reducir, las relaciones existentes entre lo
    que se quiere comunicar, lo que se puede observa
    en el trfico y lo que quiere saber el observador
    sobre la comunicacin.

    Las tcnicas principales para evitar que se pueda inferir informacin a


    partir del anlisis del trfico son las siguientes:

    Hacer

    difcil la deteccin del trfico en s mismo y de las relaciones


    que existen entre los distintos mensajes
    Uso de tcnicas criptogrficas no solo para ocultar la informacin en
    s, sino tambin para ocultar cualquier informacin que viaje en el
    mensaje o asociado a este
    Simulacin del envo de informacin, es decir, enviar datos que no
    sirven ms que para confundir al analista y que no sepa distinguir el
    trfico de informacin del trfico deinformacin de relleno.
    Introduccin de mtodos de encaminamiento no directos
    Empleo de tcnicas que intentan engaar al observador para que
    este establezca relaciones falsas a partir de las que haga inferencias
    incorrectas

    Mitigacin de ARP Spoof

    Existen multitud de herramientas 8


    gratuitas destinadas a detectar este tipo
    de ataques, permiten generar alertas
    cuando se detecta un uso anormal del
    protocolo ARP.

    Arpwatch

    Nast

    Snort

    Patriot NG

    ArpON ARP.

    Mitigacin de Port Flooding

    Detectar este tipo de ataques usando un analizador de protocolos sera


    sencillo ya que, nicamente mirando el trfico generado en ese tramo de
    red, veramos gran cantidad de tramas con valores aleatorios

    Mitigacin de DDoS

    Contar con dispositivos que permitan frenar estos ataques resulta costoso, por
    este motivo contactar con el ISP es la idea ms acertada.

    Mitigacin de DHCP Spoof

    Una posible solucin para estos problemas es configurar ACLs en el switch


    impidiendo que aquellos puertos de acceso destinados a equipos de usuario,
    enven paquetes UDP cuyo puerto origen sea alguno predeterminado para
    evitar de esta forma el uso de servidores DHCP no legtimos en nuestra red.

    Mitigacin VLAN Hopping Suplantacin


    de Switch

    Se recomienda configurar aquellos puertos expuestos a usuarios como access


    port o configurar el estado DTP como no negociable (nonegotiate), para que
    de esta forma se ignoren negociaciones trunk.

    Bibliografa

    http://
    www.elladodelmal.com/2012/09/immunity-stalker-analizando-ficheros.html

    http://
    www.elladodelmal.com/2012/04/man-in-middle-en-redes-ipv4-por-medio.htm
    l

    https://es.wikipedia.org/wiki/An%C3%A1lisis_de_tr%C3%A1fico

    Gracias

    You might also like