Supongamos que tiene algún código malicioso en su computadora portátil Linux, por ejemplo, un rootkit o un troyano o algo así. Ahora restrinja su atención al caso de que el código malicioso transfiera cierta información al pirata informático a través de Internet, por ejemplo, porque el pirata informático quiere robar algunos archivos de su computadora o sus contraseñas a través de un registrador de teclas o porque quiere usar su máquina como Una base para hackear, por ejemplo, una empresa o servidor de gobierno.
Siendo un lego en la seguridad de la red, asumo que debería ser posible simplemente redirigir (por ejemplo, a través de ARP-spoofing o algo así) todo el tráfico de su caja (A) sobre otra caja no comprometida (B) y ver por Olfateo si hay algún tráfico sospechoso. Esto parece ser fácil si sabes que A no debería enviar ningún tráfico en este momento (porque no navegas por la web, etc.). Sin embargo, el código malicioso podría ser un poco más inteligente y enviar datos solo si hay algún otro tráfico que salga de (A), por ejemplo, cuando navega en la web. Entonces, necesitaría un método para generar tráfico controlado saliente de la máquina A. La máquina B debería saber qué tráfico se genera cuando se genera, es decir, esperar y debería poder encontrar el tráfico adicional y detectar el virus cuando se reporta al servidor. .
Supongo que este modelo es un poco ingenuo, pero quiero aprender más detalles técnicos sobre este punto:
- ¿Qué tan cerca está mi descripción anterior de la realidad?
- ¿Qué otros métodos más sofisticados puede usar el virus para enmascarar el envío de información?
- Si el sniffing descrito es un buen método para detectar dicho código cuando el código se reporta al servidor, ¿cómo podría uno hacer esto en detalle (en Linux)? ¿Y cómo asegurarse de detectar incluso formas muy inteligentes de enmascarar el envío de información?