paquetes olfateados, ¿hay alguna manera de armar el archivo?

La captura de paquetes ya produce un archivo de salida (un archivo de captura, en realidad) que incluye contenido de paquetes, información de temporización, encabezados, etc. Si desea separar estos paquetes en flujos individuales, un programa como wireshark puede hacer la búsqueda y el filtrado adecuados para usted. Incluso puede descifrar el tráfico SSL / TLS si tiene la clave de certificado.

Si todo lo que desea hacer es separar el contenido de las transmisiones TCP individuales, un programa llamado tcpflow Hará eso por ti. Tenga en cuenta que al hacerlo se descartan muchos datos útiles, incluidos el tiempo, los encabezados, etc. Pero puede ser muy útil si tiene mucho tráfico que le gustaría grep. Y sobre el tema del tráfico de grepping, eche un vistazo a ngrep para buscar contenido de tráfico en tiempo real.

Y esto apenas roza la superficie de la intercepción de la red, el análisis, la modificación y las herramientas relacionadas.

Si el sniffer tiene todos los paquetes que enviaste, puede reconstruir todos los datos (archivos, correos, lo que sea) que hayas enviado, por la sencilla razón de que tiene todo lo que tiene el destinatario deseado. Si el rastreador solo tiene algunos paquetes, aún puede reconstruir parte de su tráfico: archivos con agujeros, por así decirlo. Por ejemplo, si solo tiene algunos de los paquetes que recibió de un servidor HTTP, tiene partes del archivo, sabe en qué orden colocarlos y tiene una idea aproximada de cuánto se perdió, ya que cada paquete TCP contiene una el número de secuencia se incrementa en 1 para cada paquete sucesivo, y los paquetes TCP tienen diferentes tamaños, pero a menudo sin mucha variación.

Si la conexión está cifrada (por ejemplo, porque utiliza SSL), el rastreador solo ve el texto cifrado. Entonces él sabe con quién se está comunicando y la cantidad de datos que está intercambiando (a excepción de los protocolos poco comunes que mantienen la confidencialidad de los paquetes de interceptores, pero eso dificulta el enrutamiento, por lo que no se hace a menudo).

Si tiene cifrado en funcionamiento en una red inalámbrica, es posible que un intruso que no tenga acceso a la red (es decir, no tenga la contraseña wifi o la autenticación necesaria) aún sepa la cantidad de tráfico que está intercambiando. pero no con quien. Por lo tanto, hay algo de beneficio en el uso del cifrado wifi, incluso si está encriptando a nivel de la aplicación de todos modos. Otro beneficio del cifrado wifi es que no filtra datos no cifrados, como las solicitudes de DNS, que pueden revelar más información sobre su red de la que usted desea obtener sin esfuerzo alguno. Otro beneficio del cifrado wifi es que alguien podría querer enrutar el tráfico desde su red, ya sea para descargar su ancho de banda o cometer actos ilegales que se remontan a usted. Un tercer beneficio es que si accidentalmente dejó alguna aplicación no segura en su red local, el cifrado wifi protegerá esa aplicación de un atacante externo sin acceso físico para conectar su propio dispositivo.

En resumen, el cifrado wifi proporciona una protección significativa contra amenazas externas. Tenga en cuenta que escribí "encriptación wifi de trabajo" más arriba: WEP está rota (toma solo unos minutos), < a href="http://en.wikipedia.org/wiki/WPA2#WPA2"> WPA2 está bien contra los atacantes externos. Se supone que WEP y WPA (2) también brindan protección contra información privilegiada, pero ese aspecto se rompe: bajo WPA2-PSK, la variante más común (con una sola clave secreta compartida), cualquier participante puede efectivamente espiar y engañar a otros participantes (ver Cualquier ventaja para asegurar el WiFi con un PSK, aparte de mantenerlo fuera no autorizado y otras preguntas wpa2 ).

Si un atacante rastrea el tráfico, puede juntar todo lo que estaba en esos paquetes. Como ejemplo, intente ejecutar Wireshark en su red mientras transfiere un archivo entre dos computadoras.

El rastreo de paquetes le permitirá reconstruir todo el archivo. ¡Muy fácilmente!

Incluso si solo tomas el 50% de los paquetes, eso te proporcionará mucha información.

Así que sí, esto debería preocuparte, es fácilmente posible, ¡y es por eso que se usa el cifrado!     

¿hay una manera fácil de hacerlo?

Depende, ¿qué protocolos estás interesado en oler? HTTP, SMTP etc

Con el IDS de Bro puede especificar los tipos de mimo que desea descodificar a partir del tráfico HTTP y el tráfico ftp. Luego volcará estos archivos en el disco, para otros protocolos puede registrar el contenido del archivo, pero se mezclará con el protocolo de capa de aplicación, esto puede no ser un gran problema para usted.

Esta publicación de blog contiene la mayor parte de la información que busca sans.edu