Estoy por no significa muy brillante cuando se trata de redes. Pero yo sé un poco.
Digamos que sospecho que hay una puerta trasera en mi PC. Para contrarrestarlo, instalo un dispositivo entre el enrutador y mi PC para registrar todo.
¿Funcionaría esto en la idea de que eventualmente vería alguna dirección IP impar?
¿Funcionaría esto en la idea de que eventualmente vería alguna dirección IP impar?
En general, sí. Si el malware se está comunicando de forma activa, podrá capturar el tráfico y, finalmente, concluir con qué servidores se está contactando (y leer el tráfico si no está cifrado).
El problema con tu enfoque es que solo puedes confirmar que hay malware si haces descubres algo. Lo opuesto no es verdad. La puerta trasera podría permanecer inactiva por un tiempo arbitrario. Además, es probable que no reconozca el tráfico malicioso como tal:
Una puerta trasera inteligente podría diseñarse para enviar solo tráfico si otros procesos se comunican al mismo tiempo. Por ejemplo, si está navegando en la web, es muy difícil analizar todas las conexiones para todos los recursos cargados. Su puerta trasera podría simplemente imitar una solicitud a una imagen alojada en un servidor de AWS aparentemente no sospechoso y sería difícil para usted saber si esa solicitud se originó desde su navegador web o la puerta trasera. Además, es posible que el malware evade la detección mediante el uso de protocolos aparentemente no relacionados, por ejemplo, DNS o ICMP. Finalmente, el malware a menudo se comunica a través de TLS y tendrá que ser capaz de descifre el tráfico para obtener conclusiones definitivas sobre lo que está sucediendo.
Por lo tanto, capturar todo el tráfico solo llevará a una conclusión bajo el supuesto de que el malware se está comunicando activamente y que usted puede reconocer el tráfico por la puerta trasera como tal.