¿Hay alguna forma de detectar paquetes de una dirección IP remota?

8

Me gustaría saber si es posible rastrear los paquetes de una dirección IP remota, en caso afirmativo, me gustaría saber:

  • ¿Cuál es la tasa de éxito, me refiero al porcentaje de paquetes que capturaría?
  • ¿Cuáles son los beneficios de proteger la LAN local si alguien puede capturar todos los paquetes de esa LAN simplemente al detectar la conexión WAN?
  • ¿Cuáles son las formas de evitar eso, y si hay una manera de evitar que el atacante conozca mis consultas de DNS y con ese conocimiento de qué sitios web estoy navegando?
pregunta Hanan N. 10.12.2011 - 20:49
fuente

4 respuestas

7

Si tiene control sobre la red, puede rastrear el tráfico de forma remota utilizando una vlan como destino para un puerto de tramo y luego trunking hacia donde lo necesite. Puede hacer esto a través de redes enrutadas y también utilizando túneles GRE, pero debe controlar la red.

1) Si tienes el control de la red, deberías poder capturar al 100%

2) Puede cifrar las conexiones WAN usando IPSec de host a host o en los enrutadores que se conectan al proveedor de servicios para evitar que el proveedor de servicios vea los datos. 3) Esto suena más como si estuviera preocupado por el software espía en su estación de trabajo. Si tiene malware en la caja, realmente no importa qué otra cosa haga. Necesitas limpiar la caja.

    
respondido por el Paul Ackerman 10.12.2011 - 21:43
fuente
6

IP es un mecanismo de direccionamiento que se encuentra en la capa 3 del modelo OSI. Por definición, la única forma en que puede "rastrear" estos paquetes es si se encuentra en la ruta del enrutador.

Por lo tanto, puede detectar paquetes con éxito en su LAN mientras esté en un medio de transmisión, como ciertas topologías de Ethernet o wifi sin capacidades de seguridad direccionales. A menos que esté sentado en un enrutador central en una instalación de telecomunicaciones o introduce rutas con éxito en Internet , no tienes oportunidad de capturar paquetes aleatorios en varias redes.

La historia vinculada aquí es interesante porque muestra cuán dinámicas son estas rutas. Se supone que Internet es tolerante a las fallas de ruta, por lo que está cambiando constantemente. La capacidad de crear accidental o maliciosamente una ruta central existe. Básicamente, podría capturar el 100% del tráfico que fluye a través de esa ruta, lo que no es lo mismo que capturar el 100% del flujo de paquetes específico. Los paquetes de IP individuales pueden llegar a lo largo de diferentes rutas. Una vez que sus paquetes salen de su computadora, están sujetos a los caprichos de los enrutadores intermedios.

Siempre use los protocolos de encriptación como SSL / TLS cuando tenga la opción.

    
respondido por el logicalscope 10.12.2011 - 21:52
fuente
6

Una forma de capturar el tráfico remoto a través de Internet, cuando no está en la misma LAN que el receptor o el remitente, es mediante el secuestro de BGP. Kapela y Pilosov dieron una excelente presentación sobre este tema en Defcon 16: enlace

El ataque requiere que el atacante tenga control sobre un AS. Puede enviar anuncios de prefijo falsos con propiedades favorables a sus compañeros para que elijan enrutar el tráfico para la víctima a través de él. Estos anuncios se propagarán y el atacante podrá capturar una gran parte del tráfico (o incluso todo) que estaba destinado a su víctima. Para que se le entregue el tráfico a la víctima, el atacante debe mantener a uno de sus compañeros "limpio" para que pueda pasar el tráfico allí.

El ataque es complejo y depende de muchos factores. Internet no es un lugar predecible en términos de flujo de tráfico. Sin embargo, Kapela y Pilosov dan una exitosa demostración en vivo de la captura del tráfico de la sede de Defcon. Otro ejemplo famoso es que Pakistán secuestró accidentalmente el tráfico de YouTube en 2008 (http://www.circleid.com/posts/82258_pakistan_hijacks_youtube_closer_look). China ha sido acusada de secuestrar gran parte del tráfico de Internet de EE. UU. (Http://bgpmon.net/blog/?p=282).

Una forma de protegerse contra esto es mediante el uso de cifrado de extremo a extremo, como el uso de SSL o IPSec. También hay algunas iniciativas que intentan hacer que BGP sea más seguro (SBGP, SOBGP).

    
respondido por el chris 11.12.2011 - 09:33
fuente
1

No estoy seguro exactamente a qué se dirige su pregunta. Si quiere decir, "¿Puede un atacante remoto ver el tráfico de mi LAN simplemente monitoreando el puerto WAN?", la respuesta es no, a menos que controlen el enrutador o el enrutador. Se configuró para transmitir todo (no normal)

En cuanto a sus detalles:

  

¿cuál es la tasa de éxito, quiero decir con eso cuánto por ciento de la   paquetes que capturarías?

Podrías capturar el 100% si estás en la ruta, pero como dice @greg, esa ruta puede moverse

  

¿Cuáles son los beneficios de asegurar la LAN local si alguien puede capturar   ¿Todos los paquetes de esa LAN simplemente detectando la conexión WAN?

No pueden.

  

¿Cuáles son las formas de prevenir eso, y si hay una manera de prevenirlo?   el atacante para saber mis consultas de DNS y por eso saber a qué web   sitios que estoy navegando.

Si están cerca, pueden encontrar sus consultas de DNS.

    
respondido por el Rory Alsop 10.12.2011 - 21:56
fuente

Lea otras preguntas en las etiquetas