Sobre trafico mailicioso y como identificarlo

14/02/2006 - 22:04 por Jaisol | Informe spam
No se si mi interpretacion sobre lo q es trafico malicioso (mucho se habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen uso
del recurso afectando (rendimiento, timeouts, cuellos de botella, problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos, ...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs del
ISA pero una vez dentro de ellos me resulta dificil interpretar este tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a la
pregunta de como interpretar estos datos me salen con una corta y una larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto, tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera bienvenido.

Saludos y Gracias.

Preguntas similare

Leer las respuestas

#1 josepe
15/02/2006 - 04:01 | Informe spam
Voy a describirte lo que he visto que afecta en una Lan.
Para comenzar cosas que no involucran internet: intercambio videos de
gran tamaño, intercambio de screensavers y fotos entre los usuarios, la
costumbre de curiosear por alli para ver si alguien ha dejado algun
sharing abierto. También está la estúpida idea de creer que con copiar
algunos Dll y otras librerias de un equipo a otro se pueden 'pasar'
programas instalados.
Sin olvidar la despreciable costumbre de personalizar los escritorios
con "geniales" temas como Animales Peligrosos y todos esos que traen
Windows -versiones anteriores- que le permiten a la pc emitir ridiculos
ruidos de animales.
Ahora, cómo catalogar todo eso; es dificil hacerlo unicamente desde la
lan porque algunas cuestiones comienzan en la pc y lo que haga el usuario.
Luego, si entramos al tema del internet allí es otra historia aún más
triste para los que nos preocupamos del buen rendimiento de la red y los
equipos que la componen.
Respuesta Responder a este mensaje
#2 josepe
15/02/2006 - 04:01 | Informe spam
Voy a describirte lo que he visto que afecta en una Lan.
Para comenzar cosas que no involucran internet: intercambio videos de
gran tamaño, intercambio de screensavers y fotos entre los usuarios, la
costumbre de curiosear por alli para ver si alguien ha dejado algun
sharing abierto. También está la estúpida idea de creer que con copiar
algunos Dll y otras librerias de un equipo a otro se pueden 'pasar'
programas instalados.
Sin olvidar la despreciable costumbre de personalizar los escritorios
con "geniales" temas como Animales Peligrosos y todos esos que traen
Windows -versiones anteriores- que le permiten a la pc emitir ridiculos
ruidos de animales.
Ahora, cómo catalogar todo eso; es dificil hacerlo unicamente desde la
lan porque algunas cuestiones comienzan en la pc y lo que haga el usuario.
Luego, si entramos al tema del internet allí es otra historia aún más
triste para los que nos preocupamos del buen rendimiento de la red y los
equipos que la componen.
Respuesta Responder a este mensaje
#3 josepe
15/02/2006 - 04:01 | Informe spam
Voy a describirte lo que he visto que afecta en una Lan.
Para comenzar cosas que no involucran internet: intercambio videos de
gran tamaño, intercambio de screensavers y fotos entre los usuarios, la
costumbre de curiosear por alli para ver si alguien ha dejado algun
sharing abierto. También está la estúpida idea de creer que con copiar
algunos Dll y otras librerias de un equipo a otro se pueden 'pasar'
programas instalados.
Sin olvidar la despreciable costumbre de personalizar los escritorios
con "geniales" temas como Animales Peligrosos y todos esos que traen
Windows -versiones anteriores- que le permiten a la pc emitir ridiculos
ruidos de animales.
Ahora, cómo catalogar todo eso; es dificil hacerlo unicamente desde la
lan porque algunas cuestiones comienzan en la pc y lo que haga el usuario.
Luego, si entramos al tema del internet allí es otra historia aún más
triste para los que nos preocupamos del buen rendimiento de la red y los
equipos que la componen.
Respuesta Responder a este mensaje
#4 josepe
15/02/2006 - 04:01 | Informe spam
Voy a describirte lo que he visto que afecta en una Lan.
Para comenzar cosas que no involucran internet: intercambio videos de
gran tamaño, intercambio de screensavers y fotos entre los usuarios, la
costumbre de curiosear por alli para ver si alguien ha dejado algun
sharing abierto. También está la estúpida idea de creer que con copiar
algunos Dll y otras librerias de un equipo a otro se pueden 'pasar'
programas instalados.
Sin olvidar la despreciable costumbre de personalizar los escritorios
con "geniales" temas como Animales Peligrosos y todos esos que traen
Windows -versiones anteriores- que le permiten a la pc emitir ridiculos
ruidos de animales.
Ahora, cómo catalogar todo eso; es dificil hacerlo unicamente desde la
lan porque algunas cuestiones comienzan en la pc y lo que haga el usuario.
Luego, si entramos al tema del internet allí es otra historia aún más
triste para los que nos preocupamos del buen rendimiento de la red y los
equipos que la componen.
Respuesta Responder a este mensaje
#5 Jose Ramirez
15/02/2006 - 21:34 | Informe spam
Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de revisiones
por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo cual,
nosotros a simple vista por puertos es imposible distinguir. Lo que se tiene
que hacer es analizar cada uno de los paquetes para encontrar informacion de
la aplicacion que esta pasando por ese puerto, y separarla de http, a esto
(en Checkpoint, en muy resumidas cuentas) se le llama "Aplication
Intelligence" lo cual siginifica que por medio del analisis de cada uno de
los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas, CheckPoint o
en SonicWALL con su IPS y de esta manera sabras exactamente que pasa en tu
red, ya que TU analizar todos esos millones de paquetes de un día, estaria
sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:
No se si mi interpretacion sobre lo q es trafico malicioso (mucho se habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs del
ISA pero una vez dentro de ellos me resulta dificil interpretar este tipo
de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida