Quiero ocultar el tráfico que hace una aplicación en la red local, para que parezca que la red es completamente silenciosa para el sistema y para otro software de monitoreo.
¿Esto es factible? ¿Cómo lograría esto?
En un sistema operativo típico, un controlador específico realiza el envío y recepción de tramas Ethernet de bajo nivel, y otra capa del sistema operativo puede dar una copia de cada trama entrante y saliente a cualquier aplicación (privilegiada) que solicite ellos. El software de monitoreo es ese tipo de aplicación. Por lo tanto, si desea poder enviar y recibir marcos sin el software de monitoreo instalado localmente para conocerlo, tiene que conectar su código en el núcleo del sistema operativo, ya sea como un controlador personalizado para el interfaz Ethernet, o en la capa inmediatamente por encima de ella.
Por supuesto, si puede hacerlo, entonces tiene el control completo de la máquina, lo que plantea la pregunta: ¿por qué no simplemente desactiva o desinstala el software de monitoreo en ese caso?
Además, el manejo de marcos entrantes puede ser complejo: tendría que reconocer qué marcos son para su propia aplicación y no para otras aplicaciones en la máquina. Si desea manejar algo tan complejo como una conexión de TCP , pronto terminará implementando su propia pila de TCP / IP. en su controlador personalizado. Es un ejercicio de programación muy pedagógico ...
Esto es para evitar la detección por parte de las aplicaciones de monitoreo local . Para las aplicaciones remotas , que se ejecutan en otras máquinas, no puede evitar que vean sus paquetes. Puede hacer que los paquetes sean opacos a través de la encriptación: el software de monitoreo vería paquetes de aspecto sospechoso, pero no podría perforar su contenido.
Para hacer que sus comunicaciones sean realmente discretas, tendría que hacer steganography : enmascarar sus datos como datos de apariencia inocente. Por ejemplo, podría abrir una conexión HTTPS a https://www.google.com/ : eso es lo suficientemente inocente, todos lo hacen todo el día. Como eso es HTTPS, las conexiones al servidor de Google comienzan con un protocolo de enlace SSL; y un protocolo de enlace SSL comienza con un mensaje ClientHello que incluye 28 bytes aleatorios del cliente (eso es parte del protocolo SSL / TLS ). Su aplicación podría reemplazar estos 28 bytes aleatorios mediante el cifrado de un mensaje de 28 bytes; un cómplice, que espía la conexión a Internet, vería estos 28 bytes (el ClientHello se envía sin cifrar) y descifraría el mensaje. El software de supervisión y el servidor de Google solo verían 28 bytes aparentemente aleatorios en un lugar donde se esperan 28 bytes aleatorios.
El ancho de banda ofrecido por la esteganografía es casi siempre abismalmente bajo; y es difícil hacerlo bien.
Necesitaría un controlador de nivel de kernel que pudiera subvertir la pila de red. En la práctica, va a ser bastante difícil de hacer. Requeriría un rootkit de manera efectiva, ya que generalmente la pila de IP en su computadora (parte del sistema operativo) maneja todo el tráfico en nombre de las aplicaciones y usted tendría que evitar esto.
¿Tiene que usar los cables y equipos existentes, o tiene la libertad de instalar hardware personalizado entre los dos puntos finales, o evitar la red?
Por ejemplo, podría ejecutar un equipo inalámbrico de 900 MHz, que es más lento que el wifi 802.11a / b / g / n, pero casi nadie lo usa, por lo que es menos probable que sea interceptado. También puede ejecutar Ethernet a través de cables eléctricos ( powerline Ethernet / homeplug ) o incluso ejecutar conexiones de red a través de Cables telefónicos con el hardware adecuado.
Si está intentando hacer algo en dos estaciones que ya forman parte de una red Ethernet, lo mejor sería usar algún tipo de canal oculto / oculto en las comunicaciones normales, como la sincronización o la colocación de mensajes en encabezados.
Si solo desea ocultar la actividad de la red de la estación local (por ejemplo, una botnet que oculta su presencia, pero sin preocuparse por el tráfico de la red), usaría un rootkit para bloquear el proceso y las conexiones que informa el sistema operativo, o simplemente puede intentar reemplazar programas clave como netstat y lsof que informa sobre la actividad de la red.