INTERNET <-A-> ROUTER <-B-> PC
En teoría, pensemos que duplicamos el puerto en un ROUTER a un archivo. Así que el tráfico de la red completa en él.
Pregunta: ¿es posible que todavía haya comunicaciones en ese cable (entre la PC y INTERNET) que no estarán en el archivo de captura?
Para ser más específico: ¿Puede la PC omitir el rastreo con el ej .: usando un nuevo protocolo?
Lo importante es el tráfico. No es que esté encriptado o no.
Sí , pero en circunstancias muy limitadas.
Bajo cargas pesadas, se sabe que los puertos SPAN descargan paquetes. Forzado a elegir entre continuar enrutando / conmutando el tráfico o duplicándolo a una segunda interfaz, la primera siempre tendrá prioridad.
Es completamente posible que un PCAP no contenga todo el tráfico reflejado que espera, pero es poco probable que un usuario lo omita deliberadamente a menos que también haya inundado el dispositivo.
Este es prácticamente el caso de uso que tenemos para monitorear el tráfico del mainframe. Los puertos SPAN no son 100% confiables. No use la creación de reflejo si necesita evidencia incontrovertible de la actividad de la red. Compra un grifo.
No, el propósito de un sniffer es capturar todos los paquetes, a menos que se haya aplicado un filtro en el momento de la captura. El uso de un nuevo protocolo puede significar que los datos no pueden procesarse o analizarse automáticamente con más esfuerzo, pero encontrará que aún se guardan en el archivo.
Todo lo que el rastreador está haciendo es analizar los datos capturados de la misma manera que lo haría un enrutador o una puerta de enlace, la diferencia es que, opcionalmente, registra todo y no ignora automáticamente los paquetes mal formados o los paquetes que normalmente no podría enrutar a cualquier lugar .
Su mejor apuesta para ocultar datos de un sniffer es cifrar sus datos u ocultarlos entre otros tráficos comunes.
La duplicación de puertos (SPAN, RSPAN, RAP, etc.) normalmente copia el tráfico a nivel de paquete. Solo puede omitirlo en un nivel de red similar o inferior. Dependiendo de cómo esté configurada la creación de reflejo, esto significa que tendría que usar una conexión de capa física diferente (por ejemplo, un punto de acceso inalámbrico) o enrutar paquetes para evitar el punto de captura (puente, vlans).
Ahora, la duplicación de puertos no descifra mágicamente su tráfico. Por ejemplo, si crea un túnel VPN y enruta todo el tráfico a través de él, dicha captura será completamente inútil para determinar qué se está enviando, pero todavía es posible determinar el punto final al que VPN y la cantidad de datos y cuándo se envió. Si usa HTTPS, entonces será posible determinar qué sitios web visitó, pero no lo que hizo allí (por ejemplo, verificando Gmail, no podrán leer su correo electrónico solo con la duplicación de puertos). Si solo usa HTTP (por ejemplo, publicación en el intercambio de pila), es posible ver en la captura de paquetes no solo lo que visitó aquí, sino también lo que publicó.
Por supuesto que puede pasar por alto el sniffer. Siempre puede usar un punto de acceso en su teléfono y, por lo tanto, no puede ver el tráfico de esa PC. No sé dónde está buscando, pero siempre es una posibilidad ...