Analise de pacotes de forma estruturada
Com intuito de desmistificar o ato de analisar pacotes TCP/IP e transformar esta atividade em uma atividade mais clara e bem definida e que, possa ser executada por qualquer fornecendo resultados mais "palpaveis" podendo estes, serem analisados posteriormente ou em conjunto de outras areas, eliminando assim a palavra do "dito especialista" que normalmente fornece um parecer a respeito da situação, baseado em "feeling" e outras fontes de informações um tanto quanto obscura. Eu tenho algo que tento seguir quando sou envolvido em alguma atividade deste tipo ou informações, que eu gostariade receber se estivesse envolvido em um processo que depende de uma analise de pacotes feito por terceiros (Acredite, abrir o tcpdump e fazer cara de entendido, não adianta :-)) Dados importantes da analise: - Alvo da analise (Qual servidor/firewall/gateway, interface eth0/eth1/eth2, etc); - Periodo da analise (minutos, numero de pacotes e etc); - Identificar e sumarizar todos os protocolos e servicos contindos no trafego analisado (Top 10,Top 5, Numeros absolutos e etc); - Identificar todos endereços IPs e Portas (TCP/UDP,etc) envolvidos no trafego; e - Identificar dados das sessoes/conexoes; Com estas informações já se é possivel ter algumas respostas importantes como: - Qual o volume de trafego meu gateway (Ou qualquer outro dispositivo) estava processando no momento da analise (Capturar o trafego na interface interna e externa); - Quais são os protocolos e servicos mais utilizados; - Quem fala com quem (ip de origem e destino,portas de origem e destino, qual o volume de dados trocados entre as maquinas e etc); - Identificar a presença de algum trafego anomalo; - Identificar a presença de ações degradantes e gargalos; e - Violações da politica de segurança vigente; - Etc, Etc, Etc :-)