Wednesday, December 14, 2005

Analise de Pacotes II:
Eu escrevi um perlzinho para gerar estatisticas de rede e o interessante é como o resultado é utilizado
No meu caso estou usando para contabilizar os SMTP top spammers e as regras de firewallque mais fazem match, para reodernar minha rulebase.
O Script se encontra aqui, como argumento é necessario se passar um arquivo pcap.Eu acho boa essa solução pois assim fico livre de plataforma e ferramenta.
O arquivo pcap precisa estar no formato do tcpdump, para transformar outros pcap files no formato do tcpdump basta utilizar o editcap (vem junto com o ethereal).

Friday, December 09, 2005

Analise de pacotes de forma estruturada


Com intuito de desmistificar o ato de analisar pacotes TCP/IP e transformar esta atividade em uma atividade mais clara e bem definida e que, possa ser executada por qualquer fornecendo resultados mais "palpaveis" podendo estes, serem analisados posteriormente ou em conjunto de outras areas, eliminando assim a palavra do "dito especialista" que normalmente fornece um parecer a respeito da situação, baseado em "feeling" e outras fontes de informações um tanto quanto obscura. Eu tenho algo que tento seguir quando sou envolvido em alguma atividade deste tipo ou informações, que eu gostariade receber se estivesse envolvido em um processo que depende de uma analise de pacotes feito por terceiros (Acredite, abrir o tcpdump e fazer cara de entendido, não adianta :-)) Dados importantes da analise: - Alvo da analise (Qual servidor/firewall/gateway, interface eth0/eth1/eth2, etc); - Periodo da analise (minutos, numero de pacotes e etc); - Identificar e sumarizar todos os protocolos e servicos contindos no trafego analisado (Top 10,Top 5, Numeros absolutos e etc); - Identificar todos endereços IPs e Portas (TCP/UDP,etc) envolvidos no trafego; e - Identificar dados das sessoes/conexoes; Com estas informações já se é possivel ter algumas respostas importantes como: - Qual o volume de trafego meu gateway (Ou qualquer outro dispositivo) estava processando no momento da analise (Capturar o trafego na interface interna e externa); - Quais são os protocolos e servicos mais utilizados; - Quem fala com quem (ip de origem e destino,portas de origem e destino, qual o volume de dados trocados entre as maquinas e etc); - Identificar a presença de algum trafego anomalo; - Identificar a presença de ações degradantes e gargalos; e - Violações da politica de segurança vigente; - Etc, Etc, Etc :-)